Подключение к SAP S/4HANA и управление ими в Microsoft Purview

В этой статье описывается регистрация SAP S/4HANA, а также аутентификация и взаимодействие с SAP S/4HANA в Microsoft Purview. Дополнительные сведения о Microsoft Purview см. в вводной статье.

Поддерживаемые возможности

Возможности сканирования

Извлечение метаданных	Полная проверка	Добавочное сканирование	Сканирование с заданной областью
Да	Да	Нет	Нет

При сканировании источника SAP S/4HANA Microsoft Purview поддерживает:

• Извлечение технических метаданных, включая:

  • Экземпляр
  • Компоненты приложения
  • Пакеты
  • Таблицы, включая поля, внешние ключи, индексы и члены индекса
  • Представления, включая поля
  • Транзакции
  • Программы
  • Классы
  • Группы функций
  • Модули функций
  • Домены, включая значения домена
  • Элементы данных

• Получение статического происхождения данных о связях ресурсов между таблицами и представлениями.

Другие возможности

Сведения о классификациях, метках конфиденциальности, политиках, происхождении данных и динамическом представлении см. в списке поддерживаемых возможностей.

Известные ограничения

При удалении объекта из источника данных в настоящее время при последующей проверке соответствующий ресурс в Microsoft Purview автоматически не удаляется.

Предварительные условия

• Учетная запись Azure с активной подпиской. Создайте учетную запись бесплатно.

• Активная учетная запись Microsoft Purview.

• Для регистрации источника данных и управления им на портале управления Microsoft Purview требуются разрешения администратора источника и читателя данных. Дополнительные сведения о разрешениях см. в статье Управление доступом в Microsoft Purview.

• Настройте правильную среду выполнения интеграции для своего сценария:

  • Чтобы использовать локальную среду выполнения интеграции, выполните следующие действия.
    • Следуйте инструкциям в этой статье, чтобы создать и настроить локальную среду выполнения интеграции.
    • Убедитесь, что JDK 11 установлен на компьютере, где установлена локальная среда выполнения интеграции. Перезапустите компьютер после установки JDK, чтобы он вступил в силу.
    • Убедитесь, что Распространяемый компонент Visual C++ (версия Visual Studio 2012 с обновлением 4 или более поздней) установлена на компьютере, где запущена локальная среда выполнения интеграции. Если у вас не установлено это обновление, скачайте его сейчас.
    • Скачайте 64-разрядный соединитель SAP для Microsoft .NET 3.0 с веб-сайта SAP и установите его на локальном компьютере среды выполнения интеграции. Во время установки убедитесь, что вы выбрали параметр Установить сборки в GAC в окне Необязательные шаги установки .
    • Соединитель считывает метаданные из SAP с помощью API соединителя SAP Java (JCo) 3.0. Убедитесь, что соединитель Java доступен на виртуальной машине, где установлена локальная среда выполнения интеграции. Убедитесь, что вы используете правильное распределение JCo для своей среды. Например, на компьютере с Microsoft Windows убедитесь, что файлы sapjco3.jar и sapjco3.dll доступны. Запишите путь к папке, который будет использоваться для настройки проверки.
    • Локальная среда выполнения интеграции взаимодействует с сервером SAP через порт диспетчера 32NN и порт шлюза 33NN, где NN — это номер экземпляра SAP от 00 до 99. Убедитесь, что исходящий трафик разрешен в брандмауэре.
  • Чтобы использовать локальную среду выполнения интеграции, поддерживаемую Kubernetes, выполните следующие действия.
    • Следуйте инструкциям в этой статье, чтобы создать и настроить среду выполнения интеграции, поддерживаемую Kubernetes.
    • Скачайте 64-разрядный соединитель SAP для Microsoft .NET 3.0 с веб-сайта SAP и установите его на локальном компьютере среды выполнения интеграции. Во время установки убедитесь, что вы выбрали параметр Установить сборки в GAC в окне Необязательные шаги установки .
    • Соединитель считывает метаданные из SAP с помощью API соединителя SAP Java (JCo) 3.0. Убедитесь, что соединитель Java доступен на виртуальной машине, где установлена локальная среда выполнения интеграции. Убедитесь, что вы используете правильное распределение JCo для своей среды. Например, на компьютере с Microsoft Windows убедитесь, что файлы sapjco3.jar и sapjco3.dll доступны. Запишите путь к папке, который будет использоваться для настройки проверки.
    • Локальная среда выполнения интеграции взаимодействует с сервером SAP через порт диспетчера 32NN и порт шлюза 33NN, где NN — это номер экземпляра SAP от 00 до 99. Убедитесь, что исходящий трафик разрешен в брандмауэре.

  Примечание.

  Сканирование SAP ECC — это операция с большим объемом памяти. Рекомендуется установить локальную Integration Runtime на компьютере с ОЗУ не менее 128 ГБ.

• Разверните модуль функции ABAP извлечения метаданных на сервере SAP, выполнив действия, описанные в руководстве по развертыванию функций ABAP. Для создания модуля функции RFC на сервере SAP требуется учетная запись разработчика ABAP. Для выполнения сканирования учетной записи пользователя требуются достаточные разрешения для подключения к серверу SAP и выполнения следующих модулей функций RFC:

  • STFC_CONNECTION (проверка подключение)
  • RFC_SYSTEM_INFO (сведения о системе проверка)
  • OCS_GET_INSTALLED_COMPS (версии программного обеспечения проверка)
  • Z_MITI_DOWNLOAD (main импорт метаданных— модуль функции, создаваемый в соответствии с руководством по Purview)

  Базовые библиотеки соединителя SAP Java (JCo) могут вызывать дополнительные модули функций RFC; например, RFC_PING, RFC_METADATA_GET и т. д. Дополнительные сведения см. в 460089 примечании о поддержке SAP .

Регистрация

В этом разделе описывается, как зарегистрировать SAP S/4HANA в Microsoft Purview с помощью портала управления Microsoft Purview.

Проверка подлинности для регистрации

Единственной поддерживаемой проверкой подлинности для источника SAP S/4HANA является обычная проверка подлинности.

Действия по регистрации

1. Откройте портал управления Microsoft Purview, выполнив следующие действия.

   • Перейдите непосредственно к https://web.purview.azure.com учетной записи Microsoft Purview и выберите ее.
   • Открытие портал Azure, поиск и выбор учетной записи Microsoft Purview. Нажмите кнопку портала управления Microsoft Purview .

2. Выберите Карта данных в области навигации слева.

3. Выберите Зарегистрировать

4. В разделе Регистрация источников выберите SAP S/4HANA. Нажмите кнопку Продолжить.

   

На экране Регистрация источников (SAP S/4HANA) выполните следующие действия.

1. Введите имя , которое источник данных будет указан в каталоге.

2. Введите имя сервера приложений для подключения к источнику SAP S/4HANA. Он также может быть IP-адресом узла сервера приложений SAP.

3. Введите номер системы SAP. Это двухзначное целое число от 00 до 99.

4. Выберите коллекцию из списка.

5. Завершите регистрацию источника данных.

   

Проверка

Выполните следующие действия, чтобы проверить SAP S/4HANA для автоматической идентификации ресурсов. Дополнительные сведения о сканировании в целом см. в статье Введение в сканирование и прием данных.

Создание и запуск сканирования

1. В Центре управления выберите Среды выполнения интеграции. Убедитесь, что настроена локальная среда выполнения интеграции. Если она не настроена, выполните действия, описанные в предварительных требованиях , чтобы создать локальную среду выполнения интеграции.

2. Перейдите в раздел Источники.

3. Выберите зарегистрированный источник SAP S/4HANA.

4. Выберите + Создать сканирование.

5. Укажите следующие сведения:

   1. Имя: имя сканирования

   2. Подключение через среду выполнения интеграции. Выберите настроенную локальную среду выполнения интеграции.

   3. Учетные данные. Выберите учетные данные для подключения к источнику данных. Убедитесь, что:

      • При создании учетных данных выберите Обычная проверка подлинности.
      • Укажите идентификатор пользователя для подключения к серверу SAP в поле Ввода имени пользователя.
      • Сохраните пароль пользователя, используемый для подключения к серверу SAP, в секретном ключе.

   4. Идентификатор клиента. Введите идентификатор клиента SAP. Это трехзначное число от 000 до 999.

   5. Режим SNC (необязательно). Включите переключатель, если вы предпочитаете использовать режим безопасной сетевой связи (SNC) для защиты технических подключений к SAP RFC с помощью механизма проверки подлинности на основе сертификатов. Режим SNC отключен по умолчанию.

      Чтобы настроить личную безопасную среду SAP с сертификатом SNC, выполните следующие действия:

      Получение SAPCAR

      • Перейдите в Центр загрузки программного обеспечения SAP и войдите с учетными данными SAP.
      • Найдите SAPCAR и выберите последнюю неархивированную версию.
      • Выберите операционную систему.
      • .EXE file to C:\sap\SARСкачайте .

      Получение общей библиотеки шифрования SAP

      • В Центре загрузки программного обеспечения SAP найдите "COMMONCRYPTOLIB" и выберите последнюю версию.
      • Выберите операционную систему.
      • Скачайте . SAR-файл с последней датой выпуска — C:\sap\SAR.

      Извлечение общей библиотеки шифрования SAP

      • Откройте PowerShell и перейдите по адресу C:\sap\SAR.
      • Введите следующую команду, заменив xxxx своими значениями: .\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib.
      • Убедитесь, что sapgenpse.exe находится в каталоге C:\sap\libs\sapcryptolib .

      Создание сертификатов

      Примечание. Этот метод предназначен только для демонстрационных целей и не рекомендуется для производственных систем. Для рабочих систем обратитесь к внутреннему руководству по PKI или группе безопасности.

      • Настройте структуру папок:

        • mkdir rootCA
        • mkdir sncCert

      • Создайте необходимые последовательные файлы и файлы индексов, если они не существуют:

        • if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" ItemType File }
        • if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }

      • Создайте корневой ЦС:

        • openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048
        • openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"

      • Создание сертификата SNC

        • openssl genrsa -out sncCert/snc.key.pem 2048
        • openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem subj "/O=Contoso/CN=SNC"

      • Создайте файл sncCert/extensions.cnfконфигурации OpenSSL для подписывания:

        • subjectKeyIdentifier = hash
        • authorityKeyIdentifier = keyid,issuer
        • basicConstraints = critical,CA:false
        • keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment
        • extendedKeyUsage = clientAuth,emailProtection

      • Подпишите сертификат SNC в корневом ЦС:

        • openssl x509 -req in sncCert/snc.csr.pem CA rootCA/ca.cert.pem CAkey rootCA/ca.key.pem CAcreateserial out sncCert/snc.cert.pem days 3650 sha256 extfile sncCert\extensions.cnf extensions v3_leaf

      Создание личной безопасной среды

      Создайте личную безопасную среду (PSE) для локального шлюза данных. Библиотека NCo ищет сертификат SNC внутри PSE.

      • Создайте контейнер PKCS#12:

        • openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem

      • Создайте переменную среды SECUDIR.

      • Откройте свойства системы. В проводник щелкните правой кнопкой мыши Этот компьютер и выберите Свойства>Дополнительные параметры системы.

      • Выберите Переменные среды.

      • В разделе Системные переменные выберите Создать.

      • Задайте имя переменной SECUDIR.

      • Задайте для параметра значение C:\sapsecudir.

      • Нажмите OK.

      Импортируйте контейнер PKCS#12 в PSE: C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki certs\snc.p12

      Разрешить процессу SHIR использовать SAP PSE

      Проверьте, какой пользователь или служба используется клиентом SNC, чтобы получить сертификат для взаимодействия с SAP. SHIR Microsoft Purview использует пользователя службы NT SERVICE\DIAHostService.

      • Добавьте учетные данные, чтобы разрешить запрос на получение сертификата из PSE: .\sapgenpse.exe seclogin -p C:\sapsecudir\SAPSNCSKERB.pse -x your-pse-pin -O "NT SERVICE\DIAHostService"
      • Проверьте учетные данные следующим образом: .\sapgenpse.exe seclogin -l -O "NT SERVICE\DIAHostService"
      • Их можно удалить следующим образом: .\sapgenpse.exe seclogin -d -O "NT SERVICE\DIAHostService"
      • Используйте параметр -h, чтобы получить справку по средству командной строки sapgenpse или проверка ссылку на команду здесь.

      Предоставление разрешения на доступ к библиотеке SAP JCo для процесса SHIR

      Проверьте, имеет ли пользователь Microsoft Purview SHIR NT SERVICE\DIAHostService разрешения на чтение, запись, выполнение и перечисление в следующих папках:

      • Путь к библиотеке SNC: папка с библиотекой SNC. sapcrypto.dll Пример: C:\Users\shir-admin\Desktop\snc\SAPCRYPTOLIBP_8557-20011729\sapcrypto.dll

      • Путь к библиотеке JCo: папка с JAR-файлом соединителя SAP Java. Пример: C:\Users\shir-admin\Desktop\snc\sapjco3-ntamd64-3.1\sapjco3-ntamd64-3.1.3

      Библиотека SAP NCo также должна быть установлена на виртуальной машине, чтобы тестовое подключение работало правильно, так как она по-прежнему использует библиотеку NCo. Это необязательно, и проверить подключение можно пропустить.

      Введите сведения о scN для моего имени, имени партнера, пути к библиотеке и качества защиты, как показано ниже, и инициируйте сканирование:

      

   6. Путь к библиотеке JCo. Укажите путь к каталогу, в котором находятся библиотеки JCo, например D:\Drivers\SAPJCo. Убедитесь, что путь доступен локальной среде выполнения интеграции. Дополнительные сведения см. в разделе предварительных требований.

      1. Для локальной среды выполнения интеграции на локальном компьютере: D:\Drivers\SAPJCo. Это путь к допустимому расположению jar-папки. Значение должно быть допустимым абсолютным путем к файлу и не содержать пробела. Убедитесь, что драйвер доступен локальной среде выполнения интеграции; Дополнительные сведения см. в разделе предварительных требований.
      2. Для локальной среды выполнения интеграции, поддерживаемой Kubernetes: ./drivers/SAPJCo. Это путь к допустимому расположению jar-папки. Значение должно быть допустимым относительным путем к файлу. Сведения о предварительной настройке проверки с внешними драйверами для отправки драйверов см. в документации.

   7. Максимальный объем доступной памяти: Максимальный объем памяти (в ГБ), доступный на виртуальной машине клиента для использования процессами сканирования. Это зависит от размера проверяемого источника SAP S/4HANA. Рекомендуется предоставить большую доступную память, например 100.

   

6. Нажмите Продолжить.

7. Выберите триггер сканирования. Вы можете настроить расписание или запустить проверку один раз.

8. Просмотрите проверку и выберите Сохранить и запустить.

Просмотр проверок и запусков сканирования

Чтобы просмотреть существующие проверки, выполните приведенные далее действия.

1. Перейдите на портал Microsoft Purview. В левой области выберите Карта данных.
2. Выберите источник данных. Список существующих проверок для этого источника данных можно просмотреть в разделе Последние проверки или просмотреть все проверки на вкладке Сканирование .
3. Выберите сканирование с результатами, которые вы хотите просмотреть. На панели отображаются все предыдущие запуски сканирования, а также состояние и метрики для каждого запуска сканирования.
4. Выберите идентификатор запуска, чтобы проверка сведения о выполнении проверки.

Управление проверками

Чтобы изменить, отменить или удалить сканирование:

1. Перейдите на портал Microsoft Purview. В левой области выберите Карта данных.

2. Выберите источник данных. Список существующих проверок для этого источника данных можно просмотреть в разделе Последние проверки или просмотреть все проверки на вкладке Сканирование .

3. Выберите проверку, которой вы хотите управлять. Далее вы можете:

   • Измените сканирование, выбрав Изменить проверку.
   • Отмените выполняемую проверку, выбрав Отмена выполнения проверки.
   • Удалите сканирование, выбрав Удалить сканирование.

Примечание.

• При удалении сканирования ресурсы каталога, созданные на основе предыдущих проверок, не удаляются.

Lineage

После сканирования источника SAP S/4HANA можно просмотреть Единый каталог или выполнить поиск Единый каталог, чтобы просмотреть сведения об активе.

Перейдите на вкладку asset — lineage (Ресурс —> происхождение), и при необходимости вы увидите связь активов. Сведения о поддерживаемых сценариях происхождения данных SAP S/4HANA см. в разделе поддерживаемых возможностей . Дополнительные сведения о происхождении данных в целом см. в руководстве пользователя по происхождению данных и происхождению данных.

Дальнейшие действия

Теперь, когда вы зарегистрировали источник, следуйте приведенным ниже руководствам, чтобы узнать больше о Microsoft Purview и ваших данных.

• Аналитика ресурсов данных в Microsoft Purview
• Происхождение происхождения в Microsoft Purview
• Поиск Единый каталог