Ligar e gerir o SAP ECC no Microsoft Purview

Este artigo descreve como registar o SAP ECC e como autenticar e interagir com o SAP ECC no Microsoft Purview. Para obter mais informações sobre o Microsoft Purview, leia o artigo introdutório.

Recursos compatíveis

Capacidades de análise

Extração de Metadados	Verificação Completa	Análise Incremental	Análise de Âmbito
Sim	Sim	Não	Não

Ao analisar a origem SAP ECC, o Microsoft Purview suporta:

• Extrair metadados técnicos, incluindo:

  • Instância
  • Componentes da aplicação
  • Pacotes
  • Tabelas, incluindo os campos, chaves externas, índices e membros do índice
  • Vistas, incluindo os campos
  • Transações
  • Programas
  • Aulas
  • Grupos de funções
  • Módulos de função
  • Domínios, incluindo os valores de domínio
  • Elementos de dados

• Obter linhagem estática nas relações de recursos entre tabelas e vistas.

Outras capacidades

Para classificações, etiquetas de confidencialidade, políticas, linhagem de dados e vista dinâmica, veja a lista de capacidades suportadas.

Limitações conhecidas

Quando o objeto é eliminado da origem de dados, atualmente a análise subsequente não remove automaticamente o recurso correspondente no Microsoft Purview.

Pré-requisitos

• Uma conta do Azure com uma subscrição ativa. Crie uma conta gratuitamente.

• Uma conta ativa do Microsoft Purview.

• Precisa de permissões de Administrador de Origem de Dados e Leitor de Dados para registar uma origem e geri-la no portal de governação do Microsoft Purview. Para obter mais informações sobre permissões, consulte Controlo de acesso no Microsoft Purview.

• Configure o runtime de integração certo para o seu cenário:

  • Para utilizar um runtime de integração autoalojado:
    • Siga o artigo para criar e configurar um runtime de integração autoalojado.
    • Certifique-se de que o JDK 11 está instalado no computador onde o runtime de integração autoalojado está instalado. Reinicie o computador depois de instalar recentemente o JDK para que este entre em vigor.
    • Certifique-se de que Pacote Redistribuível do Visual C++ (versão Visual Studio 2012 Update 4 ou mais recente) está instalado no computador onde o runtime de integração autoalojado está em execução. Se não tiver esta atualização instalada, transfira-a agora.
    • Transfira o Conector SAP de 64 bits para Microsoft .NET 3.0 a partir do site do SAP e instale-o no computador de runtime de integração autoalojado. Durante a instalação, certifique-se de que seleciona a opção Instalar Assemblagens para GAC na janela Passos de configuração opcionais .
    • O conector lê metadados do SAP com a API do Conector Java (JCo) 3.0 do SAP. Certifique-se de que o Conector Java está disponível na máquina virtual onde o runtime de integração autoalojado está instalado. Certifique-se de que está a utilizar a distribuição JCo correta para o seu ambiente. Por exemplo: num computador Microsoft Windows, certifique-se de que os ficheiros sapjco3.jar e sapjco3.dll estão disponíveis. Anote o caminho da pasta que irá utilizar para configurar a análise.
    • O runtime de integração autoalojado comunica com o servidor SAP através da porta dispatcher 32NN e da porta de gateway 33NN, em que NN é o número da instância SAP de 00 a 99. Certifique-se de que o tráfego de saída é permitido na firewall.
  • Para utilizar um runtime de integração autoalojado suportado pelo kubernetes:
    • Siga o artigo para criar e configurar um runtime de integração suportado pelo kubernetes.
    • Transfira o Conector SAP de 64 bits para Microsoft .NET 3.0 a partir do site do SAP e instale-o no computador de runtime de integração autoalojado. Durante a instalação, certifique-se de que seleciona a opção Instalar Assemblagens para GAC na janela Passos de configuração opcionais .
    • O conector lê metadados do SAP com a API do Conector Java (JCo) 3.0 do SAP. Certifique-se de que o Conector Java está disponível na máquina virtual onde o runtime de integração autoalojado está instalado. Certifique-se de que está a utilizar a distribuição JCo correta para o seu ambiente. Por exemplo: num computador Microsoft Windows, certifique-se de que os ficheiros sapjco3.jar e sapjco3.dll estão disponíveis. Anote o caminho da pasta que irá utilizar para configurar a análise.
    • O runtime de integração autoalojado comunica com o servidor SAP através da porta dispatcher 32NN e da porta de gateway 33NN, em que NN é o número da instância SAP de 00 a 99. Certifique-se de que o tráfego de saída é permitido na firewall.

  Observação

  A análise do SAP ECC é uma operação de memória intensiva. Recomenda-se que instale Integration Runtime Autoalojado num computador com, pelo menos, 128 GB de RAM.

• Implemente o módulo de função ABAP de extração de metadados no servidor SAP ao seguir os passos mencionados no guia de implementação das funções ABAP. Precisa de uma conta de programador ABAP para criar o módulo de função RFC no servidor SAP. Para a execução da análise, a conta de utilizador necessita de permissões suficientes para ligar ao servidor SAP e executar os seguintes módulos de função RFC:

  • STFC_CONNECTION (conectividade marcar)
  • RFC_SYSTEM_INFO (marcar informações do sistema)
  • OCS_GET_INSTALLED_COMPS (marcar versões de software)
  • Z_MITI_DOWNLOAD (importação de metadados main, o módulo de função que criar seguindo o guia do Purview)

  As bibliotecas subjacentes do Conector Java (JCo) do SAP podem chamar mais módulos de função RFC; por exemplo, RFC_PING, RFC_METADATA_GET, etc. Veja a nota de suporte do SAP 460089 para obter detalhes.

Registrar

Esta secção descreve como registar o SAP ECC no Microsoft Purview com o portal de governação do Microsoft Purview.

Autenticação para registo

A única autenticação suportada para a origem SAP ECC é a autenticação Básica.

Passos para registar

1. Abra o portal de governação do Microsoft Purview ao:

   • Navegue diretamente para https://web.purview.azure.com e selecione a sua conta do Microsoft Purview.
   • Abrir o portal do Azure, procurar e selecionar a conta do Microsoft Purview. Selecionar o botão portal de governação do Microsoft Purview .

2. Selecione Mapa de Dados no painel de navegação esquerdo.

3. Selecione Registar

4. Em Registar origens, selecione SAP ECC. Selecione Continuar.

   

No ecrã Registar origens (SAP ECC), faça o seguinte:

1. Introduza um Nome que a origem de dados será listada no Catálogo.

2. Introduza o Nome do servidor da aplicação para ligar à origem SAP ECC. Também pode ser um endereço IP do anfitrião do servidor de aplicações SAP.

3. Introduza o número do Sistema SAP. Este é um número inteiro de dois dígitos entre 00 e 99.

4. Selecione uma coleção na lista.

5. Concluir para registar a origem de dados.

   

Examinar

Siga os passos abaixo para analisar o SAP ECC para identificar automaticamente os recursos. Para obter mais informações sobre a análise em geral, veja a nossa introdução às análises e ingestão.

Criar e executar a análise

1. No Centro de Gestão, selecione Runtimes de integração. Certifique-se de que está configurado um runtime de integração autoalojado. Se não estiver configurado, utilize os passos mencionados nos pré-requisitos para criar um runtime de integração autoalojado.

2. Navegar para Origens

3. Selecione a origem SAP ECC registada.

4. Selecionar + Nova análise

5. Indique os detalhes abaixo:

   1. Nome: o nome da análise

   2. Ligar através do runtime de integração: selecione o runtime de integração autoalojado configurado.

   3. Credencial: selecione a credencial para ligar à sua origem de dados. Certifique-se de que:

      • Selecione Autenticação Básica ao criar uma credencial.
      • Indique um ID de utilizador para ligar ao servidor SAP no campo de entrada Nome de utilizador.
      • Armazene a palavra-passe de utilizador utilizada para ligar ao servidor SAP na chave secreta.

   4. ID de Cliente: introduza o ID de Cliente SAP. É um número numérico de três dígitos de 000 a 999.

   5. Modo SNC (Opcional): ative o botão de alternar se preferir utilizar o modo SNC (Secure Network Communications) para proteger as suas ligações técnicas a RFCs SAP através de um mecanismo de autenticação baseado em certificado. O Modo SNC está desativado por predefinição.

      Siga estes passos para configurar o Sap Personal Secure Environment com o Certificado SNC:

      Obter SAPCAR

      • Aceda ao Centro de Transferências de Software SAP e inicie sessão com as suas credenciais SAP.
      • Procure SAPCAR e selecione a versão não selecionada mais recente.
      • Selecione o seu sistema operativo.
      • Transfira o .EXE file to C:\sap\SAR.

      Obter Biblioteca Criptográfica Comum do SAP

      • No Centro de Transferências de Software SAP, procure "COMMONCRYPTOLIB" e selecione a versão mais recente.
      • Selecione o seu sistema operativo.
      • Transfira o . Ficheiro SAR com a data de lançamento mais recente para C:\sap\SAR.

      Extrair Biblioteca Criptográfica Comum do SAP

      • Abra o PowerShell e navegue para C:\sap\SAR.
      • Introduza o seguinte comando, substituindo xxxx pelos seus valores: .\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib.
      • Confirme que sapgenpse.exe está no C:\sap\libs\sapcryptolib diretório .

      Gerar certificados

      Nota: este método destina-se apenas a fins de demonstração e não é recomendado para sistemas de produção. Para sistemas de produção, consulte a sua equipa de segurança ou orientação de PKI interna.

      • Configurar a estrutura de pastas:

        • mkdir rootCA
        • mkdir sncCert

      • Crie os ficheiros de série e de índice necessários se estes não existirem:

        • if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" ItemType File }
        • if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }

      • Gerar uma AC de Raiz:

        • openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048
        • openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"

      • Gerar o certificado SNC

        • openssl genrsa -out sncCert/snc.key.pem 2048
        • openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem subj "/O=Contoso/CN=SNC"

      • Crie um ficheiro de configuração OpenSSL, sncCert/extensions.cnf, para assinar:

        • subjectKeyIdentifier = hash
        • authorityKeyIdentifier = keyid,issuer
        • basicConstraints = critical,CA:false
        • keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment
        • extendedKeyUsage = clientAuth,emailProtection

      • Assine o certificado SNC com a AC de Raiz:

        • openssl x509 -req in sncCert/snc.csr.pem CA rootCA/ca.cert.pem CAkey rootCA/ca.key.pem CAcreateserial out sncCert/snc.cert.pem days 3650 sha256 extfile sncCert\extensions.cnf extensions v3_leaf

      Criar um Ambiente Seguro Pessoal

      Crie um Ambiente Seguro Pessoal (PSE) para o gateway de dados no local. A biblioteca NCo procura o certificado SNC dentro do PSE.

      • Crie um contentor PKCS#12:

        • openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem

      • Crie a variável de ambiente SECUDIR.

      • Abra Propriedades do Sistema: no Explorador de Arquivos, clique com o botão direito do rato em Este PC e, em seguida, selecione Propriedades Definições avançadas>do sistema.

      • Selecione Variáveis de Ambiente.

      • Em Variáveis de sistema, selecione Novo.

      • Defina o nome da variável como SECUDIR.

      • Defina o valor como C:\sapsecudir.

      • Selecione OK.

      Importe o contentor PKCS#12 para um PSE: C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki certs\snc.p12

      Permitir que o seu processo SHIR utilize o seu SAP PSE

      Verifique que utilizador ou serviço está a ser utilizado pelo cliente SNC para obter o certificado para comunicar com o SAP. O SHIR do Microsoft Purview utiliza o utilizador de serviço NT SERVICE\DIAHostService.

      • Adicione uma credencial para permitir o pedido de obtenção do certificado do PSE: .\sapgenpse.exe seclogin -p C:\sapsecudir\SAPSNCSKERB.pse -x your-pse-pin -O "NT SERVICE\DIAHostService"
      • Verifique as credenciais da seguinte forma: .\sapgenpse.exe seclogin -l -O "NT SERVICE\DIAHostService"
      • Pode eliminá-los da seguinte forma: .\sapgenpse.exe seclogin -d -O "NT SERVICE\DIAHostService"
      • Utilize o parâmetro -h para obter ajuda com a ferramenta de linha de comandos sapgenpse ou marcar a referência de comando aqui.

      Conceder permissão para aceder à biblioteca do SAP JCo para o Processo SHIR

      Verifique se o utilizador NT SERVICE\DIAHostService do Microsoft Purview SHIR tem permissões de Leitura/Escrita/Execução/Lista nestas pastas:

      • Caminho da Biblioteca SNC: a pasta que tem a Biblioteca SNC, sapcrypto.dll. Exemplo: C:\Users\shir-admin\Desktop\snc\SAPCRYPTOLIBP_8557-20011729\sapcrypto.dll

      • Caminho da Biblioteca JCo: a pasta que tem o ficheiro jar do Conector Java SAP. Exemplo: C:\Users\shir-admin\Desktop\snc\sapjco3-ntamd64-3.1\sapjco3-ntamd64-3.1.3

      A Biblioteca NCo do SAP também deve ser instalada na máquina virtual para que a ligação de teste funcione corretamente, uma vez que ainda utiliza a biblioteca NCo. Isto não é necessário e a Ligação de Teste pode ser ignorada.

      Introduza os detalhes do SCN para o meu nome, nome do parceiro, caminho da biblioteca e qualidade de proteção, conforme mostrado abaixo, e inicie a análise:

      

   6. Caminho da biblioteca JCo: especifique o caminho do diretório onde estão localizadas as bibliotecas JCo, por exemplo: D:\Drivers\SAPJCo. Certifique-se de que o caminho está acessível pelo runtime de integração autoalojado. Saiba mais na secção de pré-requisitos.

      1. Para o runtime de integração autoalojado num computador local: D:\Drivers\SAPJCo. É o caminho para a localização válida da pasta JAR. O valor tem de ser um caminho de ficheiro absoluto válido e não contém espaço. Certifique-se de que o controlador está acessível através do runtime de integração autoalojado; saiba mais na secção de pré-requisitos.
      2. Para o runtime de integração autoalojado suportado pelo Kubernetes: ./drivers/SAPJCo. É o caminho para a localização válida da pasta JAR. O valor tem de ser um caminho de ficheiro relativo válido. Veja a documentação para configurar uma análise com controladores externos para carregar controladores com antecedência.

   7. Memória máxima disponível: Memória máxima (em GB) disponível no computador Integration Runtime autoalojado a utilizar através de processos de análise. Isto depende do tamanho da origem SAP ECC a analisar. É recomendado fornecer uma grande memória disponível, por exemplo, 100.

      

6. Selecione Continuar.

7. Escolha o acionador de análise. Pode configurar uma agenda ou executar a análise uma vez.

8. Reveja a análise e selecione Guardar e Executar.

Ver as suas análises e execuções de análise

Para ver as análises existentes:

1. Aceda ao portal do Microsoft Purview. No painel esquerdo, selecione Mapa de dados.
2. Selecione a origem de dados. Pode ver uma lista de análises existentes nessa origem de dados em Análises recentes ou pode ver todas as análises no separador Análises .
3. Selecione a análise que tem os resultados que pretende ver. O painel mostra-lhe todas as execuções de análise anteriores, juntamente com as status e as métricas de cada execução de análise.
4. Selecione o ID de execução para marcar os detalhes da execução da análise.

Gerir as suas análises

Para editar, cancelar ou eliminar uma análise:

1. Aceda ao portal do Microsoft Purview. No painel esquerdo, selecione Mapa de Dados.

2. Selecione a origem de dados. Pode ver uma lista de análises existentes nessa origem de dados em Análises recentes ou pode ver todas as análises no separador Análises .

3. Selecione a análise que pretende gerir. Você poderá:

   • Edite a análise ao selecionar Editar análise.
   • Cancele uma análise em curso ao selecionar Cancelar execução de análise.
   • Elimine a análise ao selecionar Eliminar análise.

Observação

• Eliminar a análise não elimina os recursos de catálogo criados a partir de análises anteriores.

Linhagem

Depois de analisar a origem do SAP ECC, pode procurar Catálogo unificado ou procurar Catálogo unificado para ver os detalhes do recurso.

Aceda ao separador ativo -> linhagem. Pode ver a relação de recursos quando aplicável. Veja a secção de capacidades suportadas nos cenários de linhagem SAP ECC suportados. Para obter mais informações sobre a linhagem em geral, veja Guia do utilizador da linhagem e linhagem de dados.

Próximas etapas

Agora que registou a sua origem, siga os guias abaixo para saber mais sobre o Microsoft Purview e os seus dados.

• Data Estate Insights no Microsoft Purview
• Linhagem no Microsoft Purview
• Procurar Catálogo unificado