共用方式為

在 Microsoft Purview 中連線及管理 SAP Business Warehouse

本文概述如何註冊 SAP Business Warehouse (BW) ,以及如何在 Microsoft Purview 中驗證 SAP BW 並與其互動。 如需 Microsoft Purview 的詳細資訊,請閱讀 簡介文章

支援的功能

掃描功能

元數據擷取 完整掃描 增量掃描 限域掃描

支援的 SAP BW 版本為 7.3 到 7.5。 不支援 SAP BW/4HANA。

掃描 SAP BW 來源時,Microsoft Purview 支援擷取技術元數據,包括:

  • 執行個體
  • InfoArea
  • InfoSet
  • InfoSet 查詢
  • 傳統 InfoSet
  • InfoObject 包括度量單位、時間特性、導覽屬性、數據封包特性、貨幣、特性、欄位和索引鍵圖
  • 數據存放區物件 (DSO) 包括其 InfoObject 屬性和主鍵的架構
  • ADSO (進階數據存放區物件) 包括其 InfoObject 屬性和主鍵的架構
  • 匯總層級
  • 開啟中樞目的地
  • 包含查詢條件的查詢
  • 查詢檢視
  • HybridProvider
  • MultiProvider
  • InfoCube
  • Aggregate
  • 維度
  • 時間維度

其他功能

需分類敏感度標籤原則數據譜系即時檢視,請參閱 支援的功能清單

已知限制

  • 從數據源刪除物件時,後續掃描目前不會自動移除 purview Microsoft對應的資產。
  • 只有sap_bw_query_condition可以在sap_bw_query下擷取。

必要條件

  • 具有使用中訂用帳戶的 Azure 帳戶。 免費建立帳戶

  • 作用 中Microsoft Purview 資源

  • 您需要數據源系統管理員和數據讀取者許可權,才能在傳統 Microsoft Purview 治理入口網站中註冊來源及進行管理。 如需許可權的詳細資訊,請參閱 Microsoft Purview 中的訪問控制

  • 當您第一次建立掃描時,您必須在 SAP 伺服器中建立函式模組。 Microsoft Purview 會在 Microsoft Purview 資料對應 的資產頁面中提供一些程式代碼來建立模組。 若要下載此程式碼,您必須擁有資料對應中根集合的數據源管理員許可權。

  • 為您的案例設定正確的整合運行時間

    • 若要使用自我載入整合執行時間:
      • 請遵循文章來建立和設定自我裝載整合運行時間
      • 確定已在安裝自我裝載整合運行時間的計算機上安裝 JDK 11 。 在新安裝 JDK 之後重新啟動電腦,使其生效。
      • 確定 C++ 可轉散發套件 (版本 Visual Studio 2012 Update 4 或更新版本的) 安裝在自我裝載整合運行時間執行所在的電腦上。 如果您尚未安裝此更新,請 立即下載
      • 連接器會使用 SAP Java Connector (JCo) 3.0 API 從 SAP 讀取元數據。 請確定已安裝自我裝載整合運行時間的電腦上有 Java Connector 可用。 請確定您為環境使用正確的 JCo 散發套件,且 sapjco3.jarsapjco3.dll 檔案可供使用。
    • 若要使用 kubernetes 支援的自我裝載整合運行時間:

    注意事項

    此驅動程式應該可供計算機中的所有帳戶存取。 請勿將它放在用戶帳戶下的路徑中。

    • 自我裝載整合運行時間會透過發送器埠 32NN 和閘道埠 33NN 與 SAP 伺服器通訊,其中 NN 是您的 SAP 實例號碼,從 00 到 99。 請確定您的防火牆上允許輸出流量。

  • 遵循 ABAP 函式部署指南中所述的步驟,在 SAP 伺服器上部署元數據擷取 ABAP 函式模組。 您需要 ABAP 開發人員帳戶,才能在 SAP 伺服器上建立 RFC 函式模組。 針對掃描執行,用戶帳戶需要足夠的許可權才能連線到 SAP 伺服器,並執行下列 RFC 函式模組:

    • STFC_CONNECTION (检查联机)
    • RFC_SYSTEM_INFO (检查系统信息)
    • OCS_GET_INSTALLED_COMPS (检查软件版本)
    • Z_MITI_BW_DOWNLOAD (主要元数据汇入,您會遵循 Purview 指南建立的函式模組)

    基礎 SAP Java Connector (JCo) 連結庫可能會呼叫更多 RFC 函式模組,例如 。 RFC_PING、RFC_METADATA_GET。 如需詳細資訊,請參閱 SAP 支援附註460089

登錄

本節說明如何使用傳統 Microsoft Purview 治理入口網站,在 Microsoft Purview 中註冊 SAP BW。

註冊的驗證

SAP BW 來源唯一支持的驗證是 基本身份驗證

註冊步驟

  1. 開啟傳統Microsoft Purview 治理入口網站,方法如下:

  2. 選取左側導覽上的 [數據對應 ]。

  3. 選取 [登錄]

  4. [註冊來源] 中,選取 [SAP BW>繼續]

在 [ 註冊來源 (SAP BW) 畫面上,執行下列動作:

  1. 輸入要在目錄中列出數據來源的 [名稱 ]。

  2. 輸入要連線到 SAP BW 來源的應用程式 伺服器 名稱。 它也可以是 SAP 應用程式伺服器主機的 IP 位址。

  3. 輸入 SAP 系統號碼。 它是介於 0 和 99 之間的整數。

  4. 從清單中選取集合。

  5. 完成註冊數據源。

    註冊 SAP BW 來源的螢幕快照。

掃描

請遵循下列步驟掃描 SAP BW 以自動識別資產。 如需一般掃描的詳細資訊,請參閱 掃描和擷取簡介

重要事項

當您第一次建立掃描時,您必須在 SAP 伺服器中建立函式模組。 Microsoft Purview 會在 Microsoft Purview 資料對應 的資產頁面中提供一些程式代碼來建立模組。 若要下載此程式碼,您必須擁有資料對應中根集合的數據源管理員許可權。

建立和執行掃描

  1. 在管理中心中,選取 [整合運行時間]。 請確定已設定自我裝載整合運行時間。 如果未設定,請使用 必要條件中 所述的步驟來建立自我裝載整合運行時間。

  2. 流覽至 來源

  3. 選取已註冊的 SAP BW 來源。

  4. 取 [+ 新增掃描]

  5. 提供下列詳細資料:

    1. 名稱:掃描的名稱

    2. 透過整合運行時間連線:選取設定的自我裝載整合運行時間。

    3. 認證:選取要連線到數據源的認證。 請務必:

      • 建立認證時選取 [基本身份驗證]。
      • 在 [使用者名稱輸入] 字段中提供使用者識別碼以連線到 SAP 伺服器。
      • 將用來連線到 SAP 伺服器的使用者密碼儲存在秘密金鑰中。

    4. 用戶端識別碼:輸入SAP用戶端識別碼。 它是從 000 到 999 的三位數數位。

    5. SNC 模式 (選擇性) :如果您想要使用安全網路通訊 (SNC) 模式,透過憑證式驗證機制來保護 SAP RFC 的技術連線,請開 切換。 SNC 模式預設為 關閉

      請遵循下列步驟,使用 SNC 憑證設定 SAP 個人安全環境:

      取得 SAPCAR

      • 移至 SAP 軟體下載中心,並使用您的 SAP 認證登入。
      • 搜尋 SAPCAR,然後選取最新的非架構版本。
      • 選取您的作系統。
      • .EXE file to C:\sap\SAR下載 。

      取得 SAP 一般密碼編譯連結庫

      • 在 SAP 軟體下載中心中,搜尋 「COMMONCRYPTOLIB」,然後選取最新版本。
      • 選取您的作系統。
      • 下載 。最新發行日期為 C:\sap\SAR的SAR 檔案。

      擷取 SAP 一般密碼編譯連結庫

      • 開啟 PowerShell 並瀏覽至 C:\sap\SAR
      • 輸入下列命令,以您的值取代xxxx: .\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib
      • sapgenpse.exe確認 位於目錄中C:\sap\libs\sapcryptolib

      產生憑證

      注意:此方法僅供示範之用,不建議用於生產系統。 針對生產系統,請參閱您的內部 PKI 指引或安全性小組。

      • 設定資料夾結構:

        • mkdir rootCA
        • mkdir sncCert

      • 如果不存在,請建立必要的序列和索引檔案:

        • if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" ItemType File }
        • if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }

      • 產生根 CA:

        • openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048
        • openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"

      • 產生SNC 憑證

        • openssl genrsa -out sncCert/snc.key.pem 2048
        • openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem subj "/O=Contoso/CN=SNC"

      • 建立 OpenSSL 組態檔 sncCert/extensions.cnf,以進行簽署:

        • subjectKeyIdentifier = hash
        • authorityKeyIdentifier = keyid,issuer
        • basicConstraints = critical,CA:false
        • keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment
        • extendedKeyUsage = clientAuth,emailProtection

      • 使用根 CA 簽署 SNC 憑證:

        • openssl x509 -req in sncCert/snc.csr.pem CA rootCA/ca.cert.pem CAkey rootCA/ca.key.pem CAcreateserial out sncCert/snc.cert.pem days 3650 sha256 extfile sncCert\extensions.cnf extensions v3_leaf

      建立個人安全環境

      建立內部部署數據閘道的個人安全環境 (PSE) 。 NCo 連結庫會在 PSE 內尋找 SNC 憑證。

      • 建立 PKCS#12 容器:

        • openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem

      • 建立 SECUDIR 環境變數。

      • 啟 [系統屬性]:在 [檔案總管] 中,以滑鼠右鍵按兩下 [此計算機],然後選取 [屬性>][進階系統設定]

      • 選取 環境變數

      • [系統變數] 下,選取 [ 新增]

      • 將變數名稱設定為 SECUDIR

      • 將值設定為 C:\sapsecudir

      • 選取 [確定]

      將 PKCS#12 容器匯入 PSE: C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki certs\snc.p12

      允許 SHIR 程式使用 SAP PSE

      確認您的SNC用戶端正在使用哪一個用戶或服務來取得憑證以與SAP通訊。 Microsoft Purview SHIR 會使用服務使用者 NT SERVICE\DIAHostService

      • 新增認證以允許從 PSE 擷取憑證要求: .\sapgenpse.exe seclogin -p C:\sapsecudir\SAPSNCSKERB.pse -x your-pse-pin -O "NT SERVICE\DIAHostService"
      • 驗證認證,如下所示: .\sapgenpse.exe seclogin -l -O "NT SERVICE\DIAHostService"
      • 您可以像這樣刪除它們: .\sapgenpse.exe seclogin -d -O "NT SERVICE\DIAHostService"
      • 使用 -h 參數來取得 sapgenpse 命令行工具的說明,或在這裡檢查命令參考。

      將 SAP JCo 連結庫的存取權授與 SHIR 進程

      確認 Microsoft Purview SHIR 使用者 NT SERVICE\DIAHostService 是否具有這些資料夾的 讀取/寫入/執行/列表 許可權:

      • SNC 連結庫路徑:具有 SNC 連結函式庫 的資料夾。 sapcrypto.dll 範例:C:\Users\shir-admin\Desktop\snc\SAPCRYPTOLIBP_8557-20011729\sapcrypto.dll

      • JCo 連結庫路徑:具有 SAP Java Connector jar 檔案的資料夾。 範例:C:\Users\shir-admin\Desktop\snc\sapjco3-ntamd64-3.1\sapjco3-ntamd64-3.1.3

      SAP NCo 連結庫也應該安裝在虛擬機上,測試連線才能正常運作,因為它仍然使用 NCo 連結庫。 這並非必要,而且可以略過測試連線。

      輸入 SCN 詳細數據,以取得 我的名稱合作夥伴名稱、連結 庫路徑保護品質,如下所示,並起始掃描:

      使用者的影像

    6. JCo 連結庫路徑:指定 JCo 連結庫所在的目錄路徑,例如: D:\Drivers\SAPJCo。 請確定自我裝載整合運行時間可存取路徑,請從 必要條件一節深入瞭解。

      • 針對本機電腦上的自我裝載整合運行時間: D:\Drivers\SAPJCo。 這是有效 JAR 資料夾位置的路徑。 值必須是有效的絕對檔案路徑,且不包含空間。 請確定自我裝載整合運行時間可存取驅動程式;請從 必要條件一節深入瞭解。

      • 針對 Kubernetes 支援的自我裝載整合運行時間: ./drivers/SAPJCo。 這是有效 JAR 資料夾位置的路徑。 值必須是有效的相對檔案路徑。 請參閱檔,以 使用外部驅動 程式設定掃描,以事先上傳驅動程式。

    7. 可用的記憶體上限:自我裝載 Integration Runtime 計算機上可用的最大記憶體 (為 GB) 供掃描進程使用。 這取決於要掃描的SAP BW來源大小。設定SAP BW 掃描的螢幕快照。

  6. 取 [測試連線]

  7. 選取 [繼續]

  8. 選擇掃描 觸發程式。 您可以設定排程或執行掃描一次。

  9. 檢閱您的掃描,然後選取 [ 儲存並執行]

檢視掃描和掃描執行

若要檢視現有的掃描:

  1. 移至 Microsoft Purview 入口網站。 在左窗格中,選取 [ 數據對應]
  2. 選取數據源。 您可以在 [最近掃描] 底下檢視該數據源上現有 掃描的清單,也可以在 [掃描] 索引 卷標上 檢視所有掃描。
  3. 選取具有您想要檢視結果的掃描。 此窗格會顯示所有先前的掃描執行,以及每個掃描執行的狀態和計量。
  4. 選取執行標識碼以檢查 掃描執行詳細數據

管理您的掃描

若要編輯、取消或刪除掃描:

  1. 移至 Microsoft Purview 入口網站。 在左窗格中,選取 [ 數據對應]

  2. 選取數據源。 您可以在 [最近掃描] 底下檢視該數據源上現有 掃描的清單,也可以在 [掃描] 索引 卷標上 檢視所有掃描。

  3. 選取您要管理的掃描。 然後您可以:

    • 選取 [編輯掃描 ],以編輯掃描
    • 選取 [ 取消掃描執行],以取消進行中的掃描。
    • 選取 [ 刪除掃描],以刪除掃描

注意事項

  • 刪除掃描並不會刪除從先前掃描建立的類別目錄資產。

後續步驟

既然您已註冊來源,請遵循下列指南來深入瞭解 Microsoft Purview 和您的數據。