Kerberos gebruiken voor eenmalige aanmelding bij SAP HANA
In dit artikel wordt beschreven hoe u uw SAP HANA-gegevensbron configureert om eenmalige aanmelding (SSO) in te schakelen vanuit de Power BI-service.
Belangrijk
Omdat SAP OpenSSL niet meer ondersteunt, heeft Microsoft ook de ondersteuning stopgezet. Uw bestaande verbindingen blijven werken, maar u kunt geen nieuwe verbindingen meer maken. Gebruik in plaats daarvan SAP Cryptographic Library (CommonCryptoLib) of sapcrypto.
Notitie
Voordat u probeert een sap HANA-rapport te vernieuwen dat gebruikmaakt van Kerberos SSO, voert u de stappen in dit artikel uit en configureert u eenmalige aanmelding van Kerberos.
Eenmalige aanmelding inschakelen voor SAP HANA
Ga als volgt te werk om eenmalige aanmelding voor SAP HANA in te schakelen:
Zorg ervoor dat de SAP HANA-server de vereiste minimale versie uitvoert, die afhankelijk is van het platformniveau van uw SAP HANA-server:
Installeer op de gatewaycomputer het nieuwste SAP HANA ODBC-stuurprogramma. De minimale versie is HANA ODBC versie 2.00.020.00 van augustus 2017.
Zorg ervoor dat de SAP HANA-server is geconfigureerd voor eenmalige aanmelding op basis van Kerberos. Zie Eenmalige aanmelding met Kerberos voor meer informatie over het instellen van eenmalige aanmelding voor SAP HANA met behulp van Kerberos. Zie ook de koppelingen vanaf die pagina, met name SAP Note 1837331 – HOWTO HANA DBSSO Kerberos/Active Directory.
We raden u ook aan deze extra stappen te volgen, wat een kleine prestatieverbetering kan opleveren:
Zoek en open dit configuratiebestand in de installatiemap van de gateway: Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config.
Zoek naar de eigenschap en wijzig de
FullDomainResolutionEnabled
waarde ervan inTrue
.<setting name=" FullDomainResolutionEnabled " serializeAs="String"> <value>True</value> </setting>
Problemen oplossen
Deze sectie bevat instructies voor het oplossen van problemen met kerberos voor eenmalige aanmelding (SSO) bij SAP HANA in de Power BI-service. Door deze stappen voor probleemoplossing te gebruiken, kunt u zelf vaststellen en veel problemen oplossen die u mogelijk ondervindt.
Als u de stappen in deze sectie wilt volgen, moet u gatewaylogboeken verzamelen.
TLS/SSL-fout (certificaat)
Dit probleem heeft meerdere symptomen.
Wanneer u probeert een nieuwe gegevensbron toe te voegen, ziet u mogelijk een foutbericht zoals in het volgende bericht:
Unable to connect: We encountered an error while trying to connect to. Details: "We could not register this data source for any gateway instances within this cluster. Please find more details below about specific errors for each gateway instance."
Wanneer u probeert een rapport te maken of te vernieuwen, ziet u mogelijk het volgende foutbericht:
Wanneer u de Mashup[date]*.log onderzoekt, ziet u het volgende foutbericht:
A connection was successfully established with the server, but then an error occurred during the login process and the certificate chain was issued by an authority that is not trusted.
Oplossing
Als u deze TLS/SSL-fout wilt oplossen, gaat u naar de gegevensbronverbinding en schakelt u in de sectie Servercertificaat valideren de instelling uit, zoals wordt weergegeven in de volgende afbeelding:
Nadat u deze instelling hebt uitgeschakeld, wordt het foutbericht niet meer weergegeven.
Imitatie
Logboekvermeldingen voor imitatie bevatten vermeldingen die vergelijkbaar zijn met:
About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation).
Het belangrijke element in deze logboekvermelding is de informatie die na de ImpersonationLevel:
vermelding wordt weergegeven. Elke andere waarde dan Impersonation
blijkt dat imitatie niet goed optreedt.
Oplossing
U kunt de juiste instellingen instellen ImpersonationLevel
door de instructies te volgen in De lokale beleidsrechten voor het gatewayserviceaccount verlenen op de gateway.
Nadat u het configuratiebestand hebt gewijzigd, start u de gatewayservice opnieuw zodat de wijziging van kracht wordt.
Validatie
Vernieuw of maak het rapport en verzamel vervolgens de gatewaylogboeken. Open het meest recente GatewayInfo-bestand en controleer de volgende tekenreeks: About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation)
. Zorg ervoor dat de ImpersonationLevel
instelling wordt geretourneerd Impersonation
.
Delegering
Delegatieproblemen worden meestal weergegeven in de Power BI-service als algemene fouten. Om ervoor te zorgen dat het probleem geen delegatieprobleem is, verzamelt u Wireshark-traceringen en gebruikt u Kerberos als filter. Zie Kerberos-fouten in netwerkopnamen voor meer informatie over Wireshark en voor informatie over Kerberos-fouten.
De volgende symptomen en stappen voor probleemoplossing kunnen helpen bij het oplossen van enkele veelvoorkomende problemen.
SPN-problemen
Als u de volgende fout ziet: The import [table] matches no exports. Did you miss a module reference?:
tijdens het onderzoeken van de Mashup[date]*.log, ondervindt u problemen met service-principal name (SPN).
Wanneer u verder onderzoek doet met wireshark-traceringen, onthult u de fout KRB4KDC_ERR_S_PRINCIPAL_UNKOWN
, wat betekent dat de SPN niet is gevonden of niet bestaat. In de volgende afbeelding ziet u een voorbeeld:
Oplossing
Als u SPN-problemen zoals dit probleem wilt oplossen, moet u een SPN toevoegen aan een serviceaccount. Zie de SAP-documentatie in Kerberos configureren voor SAP HANA-databasehosts voor meer informatie.
Volg bovendien de oplossingsinstructies die in de volgende sectie worden beschreven.
Geen problemen met referenties
Er zijn mogelijk geen duidelijke symptomen met betrekking tot dit probleem. Wanneer u de Mashup[date]*.log onderzoekt, ziet u de volgende fout:
29T20:21:34.6679184Z","Action":"RemoteDocumentEvaluator/RemoteEvaluation/HandleException","HostProcessId":"1396","identity":"DirectQueryPool","Exception":"Exception:\r\nExceptionType: Microsoft.Mashup.Engine1.Runtime.ValueException, Microsoft.MashupEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35\r\nMessage:
Wanneer u hetzelfde bestand verder onderzoekt, wordt de volgende (niet-helpende) fout weergegeven:
No credentials are available in the security package
Bij het vastleggen van Wireshark-traceringen wordt de volgende fout weergegeven: KRB5KDC_ERR_BADOPTION
.
Deze fouten betekenen meestal dat het BESTAND SPN hdb/hana2-s4-sso2.westus2.cloudapp.azure.com kan worden gevonden, maar zich niet in de services bevindt waarvoor dit account gedelegeerde referenties kan weergeven in het deelvenster Delegatie in het gatewayserviceaccount.
Oplossing
Volg de stappen die worden beschreven in Beperkte Kerberos-delegering configureren om het probleem met geen referenties op te lossen. Wanneer dit goed is voltooid, weerspiegelt het delegatietabblad op het gatewayserviceaccount het HDB-bestand (HansaWorld Database) en de FQDN (Fully Qualified Domain Name) in de lijst met services waarvoor dit account gedelegeerde referenties kan presenteren.
Validatie
Door de voorgaande stappen uit te voeren, moet het probleem worden opgelost. Als u nog steeds Kerberos-problemen ondervindt, hebt u mogelijk een onjuiste configuratie in de Power BI-gateway of in de HANA-server zelf.
Referentiesfouten
Als u referentiesfouten ondervindt, worden fouten in de logboeken of traceringen weergegeven die fouten beschrijven Credentials are invalid
of vergelijkbare fouten. Deze fouten kunnen zich anders voordoen aan de gegevensbronzijde van de verbinding, zoals SAP HANA. In de volgende afbeelding ziet u een voorbeeldfout:
Symptoom 1
In HANA-verificatietraceringen ziet u mogelijk vermeldingen die vergelijkbaar zijn met het volgende bericht:
[Authentication|manager.cpp:166] Kerberos: Using Service Principal
Name johnny@contoso.com@CONTOSO.COM with name type: GSS_KRB5_NT_PRINCIPAL_NAME
[Authentication|methodgssinitiator.cpp:367] Got principal name:
johnny@contoso.com@CONTOSO.COM
Oplossing
Volg de instructies die worden beschreven in configuratieparameters voor gebruikerstoewijzing instellen op de gatewaycomputer, zelfs als u de Microsoft Entra Connect-service al hebt geconfigureerd.
Validatie
Nadat u de validatie hebt voltooid, kunt u het rapport laden in de Power BI-service.
Symptoom 2
In HANA-verificatietraceringen ziet u mogelijk vermeldingen die vergelijkbaar zijn met de volgende vermelding:
Authentication ManagerAcceptor.cpp(00233) : Extending list of expected
external names by johnny@CONTOSO.COM (method: GSS) Authentication
AuthenticationInfo.cpp(00168) : ENTER getAuthenticationInfo
(externalName=johnny@CONTOSO.COM) Authentication AuthenticationInfo.cpp(00237) :
Found no user with expected external name!
Oplossing
Controleer de externe Kerberos-id onder HANA-gebruiker om te bepalen of de id's correct overeenkomen.
Validatie
Nadat u het probleem hebt opgelost, kunt u rapporten maken of vernieuwen in de Power BI-service.
Gerelateerde inhoud
Zie de volgende bronnen voor meer informatie over de on-premises gegevensgateway en DirectQuery: