Dela via

Använda Kerberos för enkel inloggning (SSO) till SAP BW med gx64krb5

  • Artikel

Den här artikeln beskriver hur du konfigurerar din SAP Business Warehouse-datakälla (BW) för att aktivera enkel inloggning (SSO) från Power BI-tjänst med hjälp av gx64krb5.

Viktigt!

Med Microsoft kan du skapa anslutningar med hjälp av SNC-bibliotek (Secure Network Communications) (t.ex. gx64krb5) men ger inte stöd för dessa konfigurationer. Dessutom stöder SAP inte längre gx64krb5 för lokala datagatewayer i Power BI och de steg som krävs för att konfigurera den för gatewayen är betydligt mer komplexa jämfört med CommonCryptoLib. Därför rekommenderar Microsoft att du använder CommonCryptoLib i stället. Mer information finns i SAP Note 352295. Observera att gx64krb5 inte tillåter SSO-anslutningar från datagatewayen till SAP BW-meddelandeservrar. endast anslutningar till SAP BW-programservrar är möjliga. Den här begränsningen finns inte om du använder CommonCryptoLib som SNC-bibliotek. Information om hur du konfigurerar enkel inloggning med CommonCryptoLib finns i Konfigurera SAP BW för enkel inloggning med CommonCryptoLib. Använd CommonCryptoLib eller gx64krb5 som SNC-bibliotek, men inte båda. Slutför inte konfigurationsstegen för båda biblioteken.

Kommentar

Att konfigurera båda biblioteken (sapcrypto och gx64krb5) på samma gatewayserver är ett scenario som inte stöds. Vi rekommenderar inte att du konfigurerar båda biblioteken på samma gatewayserver eftersom det leder till en blandning av bibliotek. Om du vill använda båda biblioteken separerar du gatewayservern helt. Konfigurera till exempel gx64krb5 för server A och sedan sapcrypto för server B. Kom ihåg att eventuella fel på server A som använder gx64krb5 inte stöds eftersom gx64krb5 inte längre stöds av SAP och Microsoft.

Den här guiden är omfattande. Om du redan har slutfört några av de beskrivna stegen kan du hoppa över dem. Du kanske till exempel redan har konfigurerat SAP BW-servern för enkel inloggning med hjälp av gx64krb5.

Konfigurera gx64krb5 på gatewaydatorn och SAP BW-servern

Biblioteket gx64krb5 måste användas av både klienten och servern för att slutföra en SSO-anslutning via gatewayen. Både klienten och servern måste alltså använda samma SNC-bibliotek.

  1. Ladda ned gx64krb5.dll från SAP Note 2115486 (SAP s-user krävs). Kontrollera att du har minst version 1.0.11.x. Ladda också ned gsskrb5.dll (32-bitarsversionen av biblioteket) om du vill testa SSO-anslutningen i SAP GUI innan du försöker ansluta enkel inloggning via gatewayen (rekommenderas). 32-bitarsversionen krävs för att testa med SAP GUI eftersom SAP GUI endast är 32-bitars.

  2. Placera gx64krb5.dll på en plats på din gatewaydator som är tillgänglig för gatewaytjänstanvändaren. Om du vill testa SSO-anslutningen med SAP GUI placerar du även en kopia av gsskrb5.dll på datorn och anger SNC_LIB miljövariabeln så att den pekar på den. Både gatewaytjänstanvändaren och Active Directory-användare (AD) som tjänstanvändaren personifierar behöver läs- och körningsbehörighet för kopian av gx64krb5.dll. Vi rekommenderar att du beviljar behörigheter för .dll till gruppen Autentiserade användare. I testsyfte kan du också uttryckligen bevilja dessa behörigheter till både gatewaytjänstanvändaren och DEN AD-användare som du använder för att testa.

  3. Om BW-servern inte redan har konfigurerats för enkel inloggning med hjälp av gx64krb5.dll placerar du en annan kopia av .dll på SAP BW-serverdatorn på en plats som är tillgänglig för SAP BW-servern.

    Mer information om hur du konfigurerar gx64krb5.dll för användning med en SAP BW-server finns i SAP-dokumentationen (SAP s-användare krävs).

  4. På klient- och serverdatorerna anger du miljövariablerna SNC_LIB och SNC_LIB_64 :

    • Om du använder gsskrb5.dll anger du variabeln SNC_LIB till dess absoluta sökväg.
    • Om du använder gx64krb5.dll anger du variabeln SNC_LIB_64 till dess absoluta sökväg.

Konfigurera en SAP BW-tjänstanvändare och aktivera SNC-kommunikation på BW-servern

Slutför det här avsnittet om du inte redan har konfigurerat SAP BW-servern för SNC-kommunikation (till exempel SSO) med hjälp av gx64krb5.

Kommentar

Det här avsnittet förutsätter att du redan har skapat en tjänstanvändare för BW och bundit ett lämpligt SPN till den (det vill säga ett namn som börjar med SAP/).

  1. Ge tjänstanvändaren åtkomst till din SAP BW-programserver:

    1. På SAP BW-serverdatorn lägger du till tjänstanvändaren i gruppen Lokal administratör. Öppna programmet Datorhantering och identifiera den lokala administratörsgruppen för servern.

      Datorhanteringsprogram

    2. Dubbelklicka på gruppen Lokal administratör och välj sedan Lägg till för att lägga till tjänstanvändaren i gruppen.

    3. Välj Kontrollera namn för att se till att du har angett namnet korrekt och välj sedan OK.

  2. Ange SAP BW-serverns tjänstanvändare som den användare som startar SAP BW-servertjänsten på SAP BW-serverdatorn:

    1. Öppna Kör och ange sedan Services.msc.

    2. Leta reda på den tjänst som motsvarar din SAP BW Application Server-instans, högerklicka på den och välj sedan Egenskaper.

      Skärmbild av tjänster med egenskaper markerade

    3. Växla till fliken Logga in och ändra användaren till din SAP BW-tjänstanvändare.

    4. Ange användarens lösenord och välj sedan OK.

  3. Logga in på servern i SAP-inloggning och ange följande profilparametrar med hjälp av RZ10-transaktionen:

    1. Ange parametern snc/identity/as till p:<SAP BW-tjänstanvändare som du skapade>. Till exempel p:BWServiceUser@MYDOMAIN.COM. Observera att p: föregår tjänstanvändarens användarhuvudnamn (UPN), till skillnad från p:CN=, som föregår UPN när du använder CommonCryptoLib som SNC-bibliotek.

    2. Ange profilparametern snc/gssapi_lib till <sökväg till gx64krb5.dll på BW-servern>. Placera biblioteket på en plats som SAP BW-programservern kan komma åt.

    3. Ange följande ytterligare profilparametrar och ändra de värden som krävs för att passa dina behov. De senaste fem alternativen gör det möjligt för klienter att ansluta till SAP BW-servern med hjälp av SAP-inloggning utan att ha SNC konfigurerat.

      Inställning Värde
      snc/data_protection/max 3
      snc/data_protection/min 1
      snc/data_protection/use 9
      snc/accept_insecure_cpic 1
      snc/accept_insecure_gui 1
      snc/accept_insecure_r3int_rfc 1
      snc/accept_insecure_rfc 1
      snc/permit_insecure_start 1

    4. Ange egenskapen snc/enable till 1.

  4. När du har angett dessa profilparametrar öppnar du SAP-hanteringskonsolen på serverdatorn och startar om SAP BW-instansen.

    Om servern inte startar bekräftar du att du har angett profilparametrarna korrekt. Mer information om inställningar för profilparametrar finns i SAP-dokumentationen. Du kan också läsa felsökningsavsnittet i den här artikeln.

Mappa en SAP BW-användare till en Active Directory-användare

Om du inte redan har gjort det mappar du en AD-användare till en SAP BW Application Server-användare och testar SSO-anslutningen i SAP-inloggning.

  1. Logga in på SAP BW-servern med SAP-inloggning. Kör transaktionen SU01.

  2. För Användare anger du den SAP BW-användare som du vill aktivera SSO-anslutning för. Välj ikonen Redigera (pennikonen) längst upp till vänster i FÖNSTRET SAP-inloggning.

    Sap BW-användarunderhållsskärm

  3. Välj fliken SNC . I indatarutan SNC-namn anger du p:<din Active Directory-användare>@<din domän>. För SNC-namnet p: måste föregå AD-användarens UPN. Observera att UPN är skiftlägeskänsligt.

    Den AD-användare som du anger ska tillhöra den person eller organisation som du vill aktivera enkel inloggning för till SAP BW-programservern. Om du till exempel vill aktivera SSO-åtkomst för användaren testuser@TESTDOMAIN.COManger du p:testuser@TESTDOMAIN.COM.

    SKÄRMEN UNDERHÅLL AV ANVÄNDARE FÖR SAP BW

  4. Välj ikonen Spara (diskettdiskbild) längst upp till vänster på skärmen.

Testa inloggning via enkel inloggning

Kontrollera att du kan logga in på servern med hjälp av SAP-inloggning via enkel inloggning som AD-användare som du har aktiverat SSO-åtkomst för:

  1. Logga in på en dator i din domän där SAP-inloggning är installerad som AD-användare som du just har aktiverat enkel inloggning för. Starta SAP-inloggning och skapa en ny anslutning.

  2. Kopiera den gsskrb5.dll fil som du laddade ned tidigare till en plats på datorn som du loggade in på. Ange den SNC_LIB miljövariabeln till den absoluta sökvägen för den här platsen.

  3. Starta SAP-inloggning och skapa en ny anslutning.

  4. På skärmen Skapa ny systempost väljer du Användarangivet system och sedan Nästa.

    Skärmen Skapa ny systeminmatning

  5. Fyll i lämplig information på nästa skärm, inklusive programservern, instansnummer och system-ID. Välj sedan Slutför.

  6. Högerklicka på den nya anslutningen, välj Egenskaper och välj sedan fliken Nätverk.

  7. I rutan SNC-namn anger du p:<SAP BW-tjänstanvändarens UPN>. Till exempel p:BWServiceUser@MYDOMAIN.COM. Välj OK.

    Skärmen Egenskaper för systeminmatning

  8. Dubbelklicka på den anslutning som du nyss skapade för att försöka ansluta enkel inloggning till SAP BW-servern.

    Om anslutningen lyckas fortsätter du till nästa avsnitt. I annat fall granskar du de tidigare stegen i det här dokumentet för att kontrollera att de har slutförts korrekt eller granska avsnittet Felsökning . Om du inte kan ansluta till SAP BW-servern via enkel inloggning i den här kontexten kan du inte ansluta till SAP BW-servern med hjälp av enkel inloggning i gatewaykontexten.

Lägga till registerposter på gatewaydatorn

Lägg till nödvändiga registerposter i registret på den dator som gatewayen är installerad på och till datorer som är avsedda att ansluta från Power BI Desktop. Om du vill lägga till dessa registerposter kör du följande kommandon:

  • REG ADD HKLM\SOFTWARE\Wow6432Node\SAP\gsskrb5 /v ForceIniCredOK /t REG_DWORD /d 1 /f

  • REG ADD HKLM\SOFTWARE\SAP\gsskrb5 /v ForceIniCredOK /t REG_DWORD /d 1 /f

Lägg till en ny SAP BW Application Server-datakälla i Power BI-tjänst eller redigera en befintlig

  1. I konfigurationsfönstret för datakällan anger du SAP BW-programserverns värdnamn, systemnummer och klient-ID, precis som när du loggar in på SAP BW-servern från Power BI Desktop.

  2. I fältet SNC-partnernamn anger du p:<SPN som du mappade till din SAP BW-tjänstanvändare>. Om SPN till exempel är SAP/anger du p:SAP/BWServiceUser@MYDOMAIN.COM i fältet SNC-partnernamn.BWServiceUser@MYDOMAIN.COM

  3. För SNC-biblioteket väljer du alternativet Anpassad och anger den absoluta sökvägen för GX64KRB5.DLL eller GSSKRB5.DLL på gatewaydatorn.

  4. Välj Använd enkel inloggning via Kerberos för DirectQuery-frågor och välj sedan Använd. Om testanslutningen inte lyckas kontrollerar du att de tidigare konfigurations- och konfigurationsstegen har slutförts korrekt.

  5. Kör en Power BI-rapport.

Felsökning

Felsöka gx64krb5-konfiguration

Om du stöter på något av följande problem följer du de här stegen för att felsöka gx64krb5-installationen och SSO-anslutningarna:

  • Du får fel när du slutför installationsstegen för gx64krb5. SAP BW-servern startar till exempel inte när du har ändrat profilparametrarna. Visa serverloggarna (... work\dev_w0 på serverdatorn) för att felsöka dessa fel.

  • Du kan inte starta SAP BW-tjänsten på grund av ett inloggningsfel. Du kan ha angett fel lösenord när du angav SAP BW-start som användare. Verifiera lösenordet genom att logga in som SAP BW-tjänstanvändare på en dator i DIN AD-miljö.

  • Du får fel om underliggande autentiseringsuppgifter för datakällan (till exempel SQL Server), vilket hindrar servern från att starta. Kontrollera att du har beviljat tjänstanvändaren åtkomst till SAP BW-databasen.

  • Du får följande meddelande: (GSS-API) angivet mål är okänt eller kan inte nås. Det här felet innebär vanligtvis att du har angett fel SNC-namn. Se till att använda p: only, inte p:CN=, för att föregå tjänstanvändarens UPN i klientprogrammet.

  • Du får följande meddelande: (GSS-API) Ett ogiltigt namn angavs. Kontrollera att p: är värdet för serverns SNC-identitetsprofilparameter.

  • Du får följande meddelande: (SNC-fel) det gick inte att hitta den angivna modulen. Det här felet orsakas ofta av att gx64krb5.dll placeras på en plats som kräver utökade privilegier (.. /administratörsbehörighet) för åtkomst.

Felsöka gatewayanslutningsproblem

  1. Kontrollera gatewayloggarna. Öppna gatewaykonfigurationsprogrammet och välj Diagnostik och exportera loggar. De senaste felen är i slutet av alla loggfiler som du undersöker.

    Lokalt datagatewayprogram med diagnostik markerat

  2. Aktivera SAP BW-spårning och granska de genererade loggfilerna. Det finns flera olika typer av SAP BW-spårning (till exempel CPIC-spårning):

    a. Om du vill aktivera CPIC-spårning anger du två miljövariabler: CPIC_TRACE och CPIC_TRACE_DIR.

    Den första variabeln anger spårningsnivån och den andra variabeln anger spårningsfilkatalogen. Katalogen måste vara en plats som medlemmar i gruppen Autentiserade användare kan skriva till.

    b. Ange CPIC_TRACE till 3 och CPIC_TRACE_DIR till den katalog som du vill att spårningsfilerna ska skrivas till. Till exempel:

    CPIC-spårning

    c. Återskapa problemet och se till att CPIC_TRACE_DIR innehåller spårningsfiler.

    d. Granska innehållet i spårningsfilerna för att fastställa blockeringsproblemet. Du kan till exempel upptäcka att gx64krb5.dll inte lästes in korrekt, eller att en AD-användare som skiljer sig från den du förväntade dig initierade SSO-anslutningsförsöket.

Relaterat innehåll

Mer information om den lokala datagatewayen och DirectQuery finns i följande resurser: