Déployer un agent de connecteur de données SAP depuis la ligne de commande
Cet article décrit les options de la ligne de commande pour déployer un agent de connecteur de données SAP. Pour les déploiements classiques, nous vous recommandons d’utiliser le portail au lieu de la ligne de commande, car les agents de connecteur de données installés via la ligne de commande peuvent être gérés seulement via celle-ci.
Cependant, si vous utilisez un fichier de configuration pour stocker vos informations d’identification au lieu d’Azure Key Vault, ou si vous êtes un utilisateur avancé souhaitant déployer manuellement le connecteur de données, comme dans un cluster Kubernetes, utilisez à la place les procédures décrites dans cet article.
Vous pouvez exécuter plusieurs agents de connecteur de données sur une même machine, mais nous vous recommandons de commencer par un seul, de surveiller les performances, puis d’augmenter progressivement le nombre de connecteurs. Nous recommandons également à votre équipe en charge de la sécurité d’effectuer cette procédure avec l’aide de l’équipe SAP BASIS.
Remarque
Cet article s’applique uniquement à l’agent de connecteur de données. Il ne s’applique pas à la solution sans agent SAP (préversion limitée).
Prérequis
Avant de déployer votre connecteur de données, veillez à créer une machine virtuelle et à configurer l’accès à vos informations d’identification.
Si vous utilisez SNC pour des connexions sécurisées, assurez-vous que votre système SAP est configuré correctement, puis préparez le script Kickstart pour la communication sécurisée avec SNC avant de déployer l’agent de connecteur de données.
Pour plus d’informations, consultez la documentation SAP.
Déployer l’agent de connecteur de données en utilisant une identité managée ou une application inscrite
Cette procédure explique comment créer un agent et le connecter à votre système SAP via la ligne de commande, en vous authentifiant avec une identité managée ou une application inscrite par Microsoft Entra ID.
Si vous utilisez SNC, veillez à effectuer d’abord la procédure décrite dans Préparer le script Kickstart pour la communication sécurisée avec SNC.
Si vous utilisez un fichier de configuration pour stocker vos informations d’identification, consultez à la place Déployer le connecteur de données en utilisant un fichier de configuration.
Pour déployer votre agent de connecteur de données :
Téléchargez et exécutez le script Kickstart de déploiement :
Pour une identité managée, utilisez une des options de commande suivantes :
Pour le cloud commercial public Azure :
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.sh
Pour Microsoft Azure géré par 21Vianet, ajoutez
--cloud mooncake
à la fin de la commande copiée.Pour Azure Government : États-Unis, ajoutez
--cloud fairfax
à la fin de la commande copiée.
Pour une application inscrite, utilisez les commandes suivantes pour télécharger le script Kickstart de déploiement depuis le dépôt GitHub Microsoft Sentinel et le marquer comme exécutable :
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.sh
Exécutez le script, en spécifiant l’ID d’application, le secret (le mot de passe), l’ID de locataire et le nom du coffre de clés que vous avez copiés aux étapes précédentes. Par exemple :
./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>
Pour configurer la configuration SNC sécurisée, spécifiez les paramètres de base suivants :
--use-snc
--cryptolib <path to sapcryptolib.so>
--sapgenpse <path to sapgenpse>
--server-cert <path to server certificate public key>
Si le certificat client est au format .crt ou .key, utilisez les commutateurs suivants :
--client-cert <path to client certificate public key>
--client-key <path to client certificate private key>
Si le certificat client est au format .pfx ou .p12, utilisez les commutateurs suivants :
--client-pfx <pfx filename>
--client-pfx-passwd <password>
Si le certificat client a été émis par une autorité de certification d’entreprise, ajoutez le commutateur suivant pour chaque autorité de certification dans la chaîne d’approbation :
--cacert <path to ca certificate>
Par exemple :
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.sh --use-snc --cryptolib /home/azureuser/libsapcrypto.so --sapgenpse /home/azureuser/sapgenpse --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
Le script met à jour les composants du système d’exploitation, installe l’interface de ligne de commande Azure et le logiciel Docker et d’autres utilitaires requis (jq, netcat, curl) et vous invite à entrer des valeurs de paramètres de configuration. Fournissez des paramètres supplémentaires au script pour réduire au minimum le nombre d’invites ou pour personnaliser le déploiement du conteneur. Pour plus d’informations sur les options de ligne de commande disponibles, consultez référence du script kickstart.
Suivez les instructions à l’écran pour entrer les détails de votre instance SAP et de votre coffre Key Vault, et effectuez le déploiement. Une fois le déploiement terminé, un message de confirmation s’affiche :
The process has been successfully completed, thank you!
Prenez note du nom du conteneur Docker dans la sortie du script. Pour afficher la liste des conteneurs Docker sur votre machine virtuelle, exécutez :
docker ps -a
Vous allez utiliser le nom du conteneur Docker à l’étape suivante.
Le déploiement de l’agent de connecteur de données SAP nécessite d’accorder à l’identité de la machine virtuelle de votre agent des autorisations spécifiques pour l’espace de travail Log Analytics activé pour Microsoft Sentinel, en utilisant les rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur.
Pour exécuter la commande de cette étape, vous devez être propriétaire du groupe de ressources sur votre espace de travail Log Analytics activé pour Microsoft Sentinel. Si vous n’êtes pas propriétaire d’un groupe de ressources sur votre espace de travail, cette procédure peut également être effectuée ultérieurement.
Attribuez les rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur à l’identité de la machine virtuelle :
Obtenez l’ID de l’agent en exécutant la commande suivante, en remplaçant l’espace réservé
<container_name>
par le nom du conteneur Docker que vous avez créé avec le script Kickstart :docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+
Par exemple, un ID d’agent retourné peut être
234fba02-3b34-4c55-8c0e-e6423ceb405b
.Attribuez les rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur en exécutant les commandes suivantes :
az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER> az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
Remplacez les valeurs d’espace réservé comme suit :
Paramètre substituable Valeur <OBJ_ID>
L’ID d’objet d’identité de votre machine virtuelle.
Pour trouver l’ID d’objet de l’identité de votre machine virtuelle dans Azure :
- Pour une identité managée, l’ID d’objet se trouve dans la page Identité de la machine virtuelle.
- Pour un principal de service, accédez à Application d’entreprise dans Azure. Sélectionnez Toutes les applications, puis sélectionnez votre machine virtuelle. L’ID d’objet est affiché dans la page Vue d’ensemble.<SUB_ID>
L’ID d’abonnement pour votre espace de travail Log Analytics activé pour Microsoft Sentinel. <RESOURCE_GROUP_NAME>
Le nom du groupe de ressources pour votre espace de travail Log Analytics activé pour Microsoft Sentinel. <WS_NAME>
Le nom de votre espace de travail Log Analytics activé pour Microsoft Sentinel <AGENT_IDENTIFIER>
L’ID de l’agent affiché après avoir exécuté la commande de l’étape précédente. Pour configurer le conteneur Docker pour démarrer automatiquement, exécutez la commande suivante, en remplaçant l’espace réservé
<container-name>
par le nom de votre conteneur :docker update --restart unless-stopped <container-name>
La procédure de déploiement génère un fichier systemconfig.json qui contient les détails de configuration de l’agent de connecteur de données SAP. Le fichier se trouve dans le répertoire /sapcon-app/sapcon/config/system
sur votre machine virtuelle.
Déployer le connecteur de données en utilisant un fichier de configuration
Azure Key Vault est la méthode recommandée pour stocker vos informations d’identification d’authentification et vos données de configuration. Si vous ne pouvez pas utiliser Azure Key Vault, cette procédure décrit comment déployer le conteneur de l’agent de connecteur de données en utilisant à la place un fichier de configuration.
Si vous utilisez SNC, veillez à effectuer d’abord la procédure décrite dans Préparer le script Kickstart pour la communication sécurisée avec SNC.
Si vous utilisez une identité managée ou une application inscrite, consultez à la place Déployer l’agent de connecteur de données en utilisant une identité managée ou une application inscrite.
Pour déployer votre agent de connecteur de données :
Créez une machine virtuelle sur laquelle déployer l’agent.
Transférez le SDK SAP NetWeaver sur la machine sur laquelle vous souhaitez installer l’agent.
Exécutez les commandes suivantes pour télécharger le script Kickstart de déploiement à partir du dépôt Microsoft Sentinel GitHub et le marquer comme exécutable :
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.sh
Exécutez le script :
./sapcon-sentinel-kickstart.sh --keymode cfgf
Le script met à jour les composants du système d’exploitation, installe l’interface de ligne de commande Azure et le logiciel Docker et d’autres utilitaires requis (jq, netcat, curl) et vous invite à entrer des valeurs de paramètres de configuration. Fournissez si nécessaire des paramètres supplémentaires au script pour réduire au minimum le nombre d’invites ou pour personnaliser le déploiement du conteneur. Pour plus d’informations, consultez les Informations de référence sur les scripts Kickstart.
Suivez les instructions à l’écran pour entrer les détails de votre instance SAP et de votre coffre Key Vault, et effectuez le déploiement. Une fois le déploiement terminé, un message de confirmation s’affiche :
The process has been successfully completed, thank you!
Prenez note du nom du conteneur Docker dans la sortie du script. Pour afficher la liste des conteneurs Docker sur votre machine virtuelle, exécutez :
docker ps -a
Vous allez utiliser le nom du conteneur Docker à l’étape suivante.
Le déploiement de l’agent de connecteur de données SAP nécessite d’accorder à l’identité de la machine virtuelle de votre agent des autorisations spécifiques pour l’espace de travail Log Analytics activé pour Microsoft Sentinel, en utilisant les rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur.
Pour exécuter les commandes de cette étape, vous devez être propriétaire du groupe de ressources sur votre espace de travail. Si vous n’êtes pas propriétaire d’un groupe de ressources sur votre espace de travail, cette étape peut également être effectuée ultérieurement.
Attribuez les rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur à l’identité de la machine virtuelle :
Obtenez l’ID de l’agent en exécutant la commande suivante, en remplaçant l’espace réservé
<container_name>
par le nom du conteneur Docker que vous avez créé avec le script Kickstart :docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'
Par exemple, un ID d’agent retourné peut être
234fba02-3b34-4c55-8c0e-e6423ceb405b
.Attribuez les rôles Opérateur d’agent d’applications métiers Microsoft Sentinel et Lecteur en exécutant les commandes suivantes :
az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER> az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>
Remplacez les valeurs d’espace réservé comme suit :
Paramètre substituable Valeur <OBJ_ID>
L’ID d’objet d’identité de votre machine virtuelle.
Pour trouver l’ID d’objet de l’identité de votre machine virtuelle dans Azure : pour une identité managée, l’ID d’objet se trouve dans la page Identité de la machine virtuelle. Pour un principal de service, accédez à Application d’entreprise dans Azure. Sélectionnez Toutes les applications, puis sélectionnez votre machine virtuelle. L’ID d’objet est affiché dans la page Vue d’ensemble.<SUB_ID>
L’ID d’abonnement pour votre espace de travail Log Analytics activé pour Microsoft Sentinel. <RESOURCE_GROUP_NAME>
Le nom du groupe de ressources pour votre espace de travail Log Analytics activé pour Microsoft Sentinel <WS_NAME>
Le nom de votre espace de travail Log Analytics activé pour Microsoft Sentinel <AGENT_IDENTIFIER>
L’ID de l’agent affiché après avoir exécuté la commande de l’étape précédente.
Exécutez la commande suivante pour configurer le conteneur Docker de fàçon à ce qu’il démarre automatiquement.
docker update --restart unless-stopped <container-name>
La procédure de déploiement génère un fichier systemconfig.json qui contient les détails de configuration de l’agent de connecteur de données SAP. Le fichier se trouve dans le répertoire /sapcon-app/sapcon/config/system
sur votre machine virtuelle.
Préparer le script Kickstart pour la communication sécurisée avec SNC
Cette procédure explique comment préparer le script de déploiement afin de configurer des paramètres pour des communications sécurisées avec votre système SAP en utilisant SNC. Si vous utilisez SNC, vous devez effectuer cette procédure avant de déployer l’agent de connecteur de données.
Pour configurer le conteneur pour une communication sécurisée avec SNC :
Transférez les fichiers libsapcrypto.so et sapgenpse sur le système où vous créez le conteneur.
Transférez le certificat client, y compris les clés privées et publiques, sur le système où vous créez le conteneur.
Le certificat client et la clé peuvent être au format .p12, .pfx ou Base64 .crt et .key.
Transférez le certificat de serveur (seulement la clé publique) sur le système où vous créez le conteneur.
Le certificat de serveur doit être au format Base64 .crt.
Si le certificat client a été émis par une autorité de certification d’entreprise, transférez l’autorité de certification émettrice et les certificats d’autorité de certification racine sur le système où vous créez le conteneur.
Obtenez le script kickstart à partir du dépôt GitHub Microsoft Sentinel :
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh
Modifiez les autorisations du script pour le rendre exécutable :
chmod +x ./sapcon-sentinel-kickstart.sh
Pour plus d’informations, consultez Informations de référence sur les scripts de déploiement Kickstart pour l’agent de connecteur de données de Microsoft Sentinel pour les applications SAP.
Optimiser la surveillance des tables SAP PAHI (recommandé)
Pour obtenir des résultats optimaux dans la surveillance de la table SAP PAHI, ouvrez le fichier systemconfig.json pour l'éditer et, dans la section [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector)
, activez les paramètres PAHI_FULL
et PAHI_INCREMENTAL
.
Pour plus d’informations, consultez Systemconfig.json référence de fichier et vérifiez que la table PAHI est mise à jour à intervalles réguliers.
Vérifier la connectivité et l’intégrité
Après avoir déployé l’agent de connecteur de données SAP, vérifiez l’intégrité et la connectivité de votre agent. Pour plus d’informations, consultez Surveiller l’intégrité et le rôle de vos systèmes SAP.
Étape suivante
Une fois le connecteur déployé, passez au déploiement du contenu des applications Solution Microsoft Sentinel pour SAP :