Sdílet prostřednictvím

Použití protokolu Kerberos pro jednotné přihlašování k SAP BW pomocí gx64krb5

  • Článek

Tento článek popisuje, jak nakonfigurovat zdroj dat SAP Business Warehouse (BW) tak, aby umožňoval jednotné přihlašování z služba Power BI pomocí gx64krb5.

Důležité

Microsoft vám umožní vytvářet připojení pomocí knihoven SNC (Secure Network Communications), jako je gx64krb5, ale nebude poskytovat podporu pro tyto konfigurace. SAP navíc nepodporuje gx64krb5 pro místní brány dat v Power BI a kroky potřebné ke konfiguraci brány jsou v porovnání s CommonCryptoLib výrazně složitější. Proto Microsoft doporučuje místo toho používat CommonCryptoLib. Další informace najdete v 352295 SAP Note. Mějte na paměti, že gx64krb5 neumožňuje připojení jednotného přihlašování z brány dat k serverům zpráv SAP BW; Jsou možná pouze připojení k aplikačním serverům SAP BW. Toto omezení neexistuje, pokud jako knihovnu SNC používáte Knihovnu CommonCryptoLib . Informace o konfiguraci jednotného přihlašování pomocí knihovny CommonCryptoLib naleznete v tématu Konfigurace SAP BW pro jednotné přihlašování pomocí knihovny CommonCryptoLib. Jako knihovnu SNC použijte CommonCryptoLib nebo gx64krb5, ale ne obojí. Neprovádějte kroky konfigurace obou knihoven.

Poznámka:

Konfigurace obou knihoven (sapcrypto i gx64krb5) na stejném serveru brány je nepodporovaný scénář. Nedoporučuje se konfigurovat obě knihovny na stejném serveru brány, protože to povede ke kombinaci knihoven. Pokud chcete použít obě knihovny, zcela oddělte server brány. Například nakonfigurujte gx64krb5 pro server A a pak sapcrypto pro server B. Mějte na paměti, že všechna selhání na serveru A, který používá gx64krb5, není podporována, protože sap a Microsoft už gx64krb5 nepodporují.

Tento průvodce je komplexní; Pokud jste už dokončili některé z popsaných kroků, můžete je přeskočit. Server SAP BW jste už například nakonfigurovali pro jednotné přihlašování pomocí gx64krb5.

Nastavení gx64krb5 na počítači brány a serveru SAP BW

Knihovnu gx64krb5 musí používat klient i server k dokončení připojení přes jednotné přihlašování přes bránu. To znamená, že klient i server musí používat stejnou knihovnu SNC.

  1. Stáhněte si gx64krb5.dll ze sap Note 2115486 (vyžaduje se sap s-user). Ujistěte se, že máte aspoň verzi 1.0.11.x. Také si stáhněte gsskrb5.dll (32bitová verze knihovny), pokud chcete otestovat připojení přes jednotné přihlašování v grafickém uživatelském rozhraní SAP, než se pokusíte o připojení přes jednotné přihlašování přes bránu (doporučeno). 32bitová verze se vyžaduje k testování s grafickým uživatelským rozhraním SAP, protože rozhraní SAP GUI je pouze 32bitové.

  2. Umístěte gx64krb5.dll do umístění na počítači brány, ke kterému má přístup uživatel služby brány. Pokud chcete otestovat připojení jednotného přihlašování pomocí grafického uživatelského rozhraní SAP, vložte do počítače také kopii gsskrb5.dll a nastavte proměnnou prostředí SNC_LIB tak, aby na ni odkazovat. Uživatel služby brány i uživatelé služby Active Directory (AD), které uživatel služby zosobní, musí ke kopii gx64krb5.dll číst a spouštět oprávnění. Doporučujeme udělit oprávnění pro .dll skupině Ověření uživatelé. Pro účely testování můžete tato oprávnění explicitně udělit uživateli služby brány i uživateli ad, který používáte k otestování.

  3. Pokud váš server BW ještě není nakonfigurovaný pro jednotné přihlašování pomocí gx64krb5.dll, vložte další kopii .dll na serverový počítač SAP BW do umístění přístupného serverem SAP BW.

    Další informace o konfiguraci gx64krb5.dll pro použití se serverem SAP BW najdete v dokumentaci k SAP (vyžaduje se uživatel SAP).

  4. Na klientských a serverových počítačích nastavte proměnné prostředí SNC_LIB a SNC_LIB_64 :

    • Pokud používáte gsskrb5.dll, nastavte proměnnou SNC_LIB na absolutní cestu.
    • Pokud používáte gx64krb5.dll, nastavte proměnnou SNC_LIB_64 na absolutní cestu.

Konfigurace uživatele služby SAP BW a povolení komunikace SNC na serveru BW

Pokud jste ještě nenakonfigurovali server SAP BW pro komunikaci SNC (například jednotné přihlašování) pomocí gx64krb5, dokončete tuto část.

Poznámka:

V této části se předpokládá, že jste už vytvořili uživatele služby pro BW a vázali k němu vhodný hlavní název služby (to znamená název, který začíná sap /).

  1. Poskytněte uživateli služby přístup k aplikačnímu serveru SAP BW:

    1. Na serverovém počítači SAP BW přidejte uživatele služby do skupiny Místních správců. Otevřete program Správa počítače a identifikujte skupinu místních správců pro váš server.

      Program Správa počítače

    2. Poklikejte na skupinu Místní správce a pak vyberte Přidat a přidejte uživatele služby do skupiny.

    3. Vyberte Zkontrolovat jména , abyste měli jistotu, že jste jméno zadali správně, a pak vyberte OK.

  2. Nastavte uživatele služby serveru SAP BW jako uživatele, který spouští serverovou službu SAP BW na počítači serveru SAP BW:

    1. Spusťte příkaz Spustit a zadejte Services.msc.

    2. Vyhledejte službu odpovídající vaší instanci aplikačního serveru SAP BW, klikněte na ni pravým tlačítkem myši a vyberte Vlastnosti.

      Snímek obrazovky se službami se zvýrazněnou možností Vlastnosti

    3. Přepněte na kartu Přihlásit se a změňte uživatele na uživatele služby SAP BW.

    4. Zadejte heslo uživatele a pak vyberte OK.

  3. V APLIKACI SAP Logon se přihlaste k serveru a nastavte následující parametry profilu pomocí transakce RZ10:

    1. Nastavte parametr profilu snc/identity/as na uživatele služby p:<SAP BW, který jste vytvořili>. Například p:BWServiceUser@MYDOMAIN.COM. Všimněte si, že p: předchází hlavnímu názvu uživatele služby (UPN) místo p:CN=, který předchází hlavnímu názvu uživatele (UPN) při použití knihovny SNC CommonCryptoLib.

    2. Nastavte parametr profilu snc/gssapi_lib na cestu k <gx64krb5.dll na serveru> BW. Umístěte knihovnu do umístění, ke kterému má aplikační server SAP BW přístup.

    3. Nastavte následující další parametry profilu a změňte hodnoty tak, aby vyhovovaly vašim potřebám. Posledních pět možností umožňuje klientům připojit se k serveru SAP BW pomocí SAP Logon bez konfigurace SNC.

      Nastavení Hodnota
      snc/data_protection/max 3
      snc/data_protection/min 0
      snc/data_protection/use 9
      snc/accept_insecure_cpic 0
      snc/accept_insecure_gui 0
      snc/accept_insecure_r3int_rfc 0
      snc/accept_insecure_rfc 0
      snc/permit_insecure_start 0

    4. Nastavte vlastnost snc/enable na hodnotu 1.

  4. Po nastavení těchto parametrů profilu otevřete konzolu pro správu SAP na serverovém počítači a restartujte instanci SAP BW.

    Pokud se server nespustí, ověřte, že jste správně nastavili parametry profilu. Další informace o nastavení parametrů profilu najdete v dokumentaci k SAP. Můžete se také podívat do části Řešení potíží v tomto článku.

Mapování uživatele SAP BW na uživatele služby Active Directory

Pokud jste to ještě neudělali, namapujte uživatele AD na uživatele aplikačního serveru SAP BW a otestujte připojení jednotného přihlašování v SAP Logon.

  1. Přihlaste se k serveru SAP BW pomocí SAP Logon. Spusťte transakci SU01.

  2. Jako uživatel zadejte uživatele SAP BW, pro kterého chcete povolit připojení pomocí jednotného přihlašování. Vyberte ikonu Upravit (ikona pera) v levém horním rohu okna SAP Logon.

    Obrazovka údržby uživatele SAP BW

  3. Vyberte kartu SNC. Do pole pro zadání názvu SNC zadejte p:your Active Directory user>@<your domain>.< Pro název SNC, p: musí před hlavní název uživatele AD. Všimněte si, že hlavní název uživatele (UPN) rozlišují malá a velká písmena.

    Zadaný uživatel AD by měl patřit osobě nebo organizaci, pro kterou chcete povolit přístup přes jednotné přihlašování k aplikačnímu serveru SAP BW. Pokud například chcete povolit přístup pomocí jednotného přihlašování pro uživatele testuser@TESTDOMAIN.COM, zadejte p:testuser@TESTDOMAIN.COM.

    Obrazovka Pro správu uživatelů SAP BW

  4. Vyberte ikonu Uložit (obrázek diskety) v levém horním rohu obrazovky.

Testování přihlášení přes jednotné přihlašování

Ověřte, že se k serveru můžete přihlásit pomocí SAP Logon prostřednictvím jednotného přihlašování jako uživatel AD, pro kterého jste povolili přístup přes jednotné přihlašování:

  1. Jako uživatel AD, pro kterého jste právě povolili přístup přes jednotné přihlašování, se přihlaste k počítači ve vaší doméně, na kterém je nainstalováno SAP Logon. Spusťte SAP Logon a vytvořte nové připojení.

  2. Zkopírujte soubor gsskrb5.dll, který jste si stáhli dříve, do umístění počítače, ke který jste se přihlásili. Nastavte proměnnou prostředí SNC_LIB na absolutní cestu k tomuto umístění.

  3. Spusťte SAP Logon a vytvořte nové připojení.

  4. Na obrazovce Create New System Entry (Vytvořit novou položku systému) vyberte User Specified System (Zadaný systém uživatele) a pak vyberte Next (Další).

    Obrazovka Vytvořit novou položku systému

  5. Na další obrazovce vyplňte příslušné podrobnosti, včetně aplikačního serveru, čísla instance a ID systému. Pak vyberte Dokončit.

  6. Klikněte pravým tlačítkem myši na nové připojení, vyberte Vlastnosti a pak vyberte kartu Síť .

  7. Do pole Název SNC zadejte hlavní název> uživatele služby p:<SAP BW. Například p:BWServiceUser@MYDOMAIN.COM. Vyberte OK.

    Obrazovka Vlastnosti položky systému

  8. Poklikejte na připojení, které jste právě vytvořili, a pokuste se o připojení jednotného přihlašování k vašemu serveru SAP BW.

    Pokud bude připojení úspěšné, pokračujte k další části. V opačném případě si projděte předchozí kroky v tomto dokumentu a ujistěte se, že jsou správně dokončené, nebo si projděte část Řešení potíží . Pokud se v tomto kontextu nemůžete připojit k serveru SAP BW přes jednotné přihlašování, nebudete se moct připojit k serveru SAP BW pomocí jednotného přihlašování v kontextu brány.

Přidání položek registru do počítače brány

Přidejte požadované položky registru do registru počítače, na který je brána nainstalovaná, a do počítačů určených k připojení z Power BI Desktopu. Pokud chcete přidat tyto položky registru, spusťte následující příkazy:

  • REG ADD HKLM\SOFTWARE\Wow6432Node\SAP\gsskrb5 /v ForceIniCredOK /t REG_DWORD /d 1 /f

  • REG ADD HKLM\SOFTWARE\SAP\gsskrb5 /v ForceIniCredOK /t REG_DWORD /d 1 /f

Přidání nového zdroje dat aplikačního serveru SAP BW do služba Power BI nebo úprava existujícího zdroje dat

  1. V okně konfigurace zdroje dat zadejte název hostitele aplikačního serveru SAP BW, číslo systému a ID klienta, jako byste se přihlásili k serveru SAP BW z Power BI Desktopu.

  2. Do pole Název partnera SNC zadejte p:<SPN, který jste namapovali na uživatele> služby SAP BW. Pokud je hlavní název služby například SAP/BWServiceUser@MYDOMAIN.COM, zadejte p:SAP/BWServiceUser@MYDOMAIN.COM do pole Název partnera SNC.

  3. Pro knihovnu SNC vyberte možnost Vlastní a zadejte absolutní cestu pro GX64KRB5.DLL nebo GSSKRB5.DLL na počítači brány.

  4. Pro dotazy DirectQuery vyberte Použít jednotné přihlašování přes Kerberos a pak vyberte Použít. Pokud testovací připojení není úspěšné, ověřte, že předchozí kroky instalace a konfigurace byly správně dokončeny.

  5. Spusťte sestavu Power BI.

Řešení problému

Řešení potíží s konfigurací gx64krb5

Pokud narazíte na některý z následujících problémů, při řešení potíží s instalací a jednotným přihlašováním gx64krb5 postupujte takto:

  • Při dokončení kroků instalace gx64krb5 dojde k chybám. Server SAP BW se například po změně parametrů profilu nespustí. Zobrazení protokolů serveru (... work\dev_w0 na serverovém počítači) k řešení těchto chyb.

  • Službu SAP BW nejde spustit kvůli selhání přihlášení. Při nastavování start-as uživatele SAP BW jste možná zadali nesprávné heslo. Ověřte heslo přihlášením jako uživatel služby SAP BW na počítači ve vašem prostředí AD.

  • Zobrazí se chyby související s přihlašovacími údaji ke zdroji dat (například SQL Server), které brání spuštění serveru. Ověřte, že jste uživateli služby udělili přístup k databázi SAP BW.

  • Zobrazí se následující zpráva: Zadaný cíl GSS-API je neznámý nebo nedostupný. Tato chyba obvykle znamená, že máte zadaný nesprávný název SNC. Nezapomeňte použít pouze p: ne p:CN=, aby se před hlavní název uživatele služby v klientské aplikaci používal hlavní název uživatele služby.

  • Zobrazí se následující zpráva: (GSS-API) Byl zadán neplatný název. Ujistěte se, že p: je hodnota parametru profilu identity SNC serveru.

  • Zobrazí se následující zpráva: (chyba SNC) zadaný modul nebyl nalezen. Tato chyba je často způsobena umístěním gx64krb5.dll do umístění, které vyžaduje zvýšená oprávnění (.). /oprávnění správce) pro přístup.

Řešení potíží s připojením brány

  1. Zkontrolujte protokoly brány. Otevřete aplikaci konfigurace brány a vyberte Diagnostika a pak export protokolů. Nejnovější chyby jsou na konci všech souborů protokolu, které prozkoumáte.

    Aplikace místní brány dat se zvýrazněnou diagnostikou

  2. Zapněte trasování SAP BW a zkontrolujte vygenerované soubory protokolu. K dispozici je několik různých typů trasování SAP BW (například trasování CPIC):

    a. Pokud chcete povolit trasování CPIC, nastavte dvě proměnné prostředí: CPIC_TRACE a CPIC_TRACE_DIR.

    První proměnná nastaví úroveň trasování a druhá proměnná nastaví adresář trasovacího souboru. Adresář musí být umístění, do kterého můžou zapisovat členové skupiny Authenticated Users.

    b. Nastavte CPIC_TRACE na hodnotu 3 a CPIC_TRACE_DIR na adresář, do kterého chcete trasovací soubory zapisovat. Příklad:

    Trasování CPIC

    c. Reprodukujte problém a ujistěte se, že CPIC_TRACE_DIR obsahuje trasovací soubory.

    d. Prozkoumejte obsah trasovacích souborů a zjistěte problém s blokováním. Můžete například zjistit, že gx64krb5.dll nebyl správně načten nebo že se uživatel AD liší od uživatele, který očekáváte, inicioval pokus o připojení přes jednotné přihlašování.

Související obsah

Další informace o místní bráně dat a DirectQuery najdete v následujících zdrojích informací: