你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

扩展 SAP 登陆区域以支持 Microsoft Power Platform

本文是 SAP 和 Power Platform 文章系列的一部分：

• 使用 Microsoft Power Platform 扩展 SAP
• SAP 和 Power Platform 体系结构工作流
• 扩展 SAP 登陆区域以支持 Power Platform

将 SAP 系统与 Microsoft Power Platform 集成时，所执行的操作取决于用例和使用的连接器。 每个连接器都有需要解决的独特技术要求。

本文概述了集成选项，并提供实现指南的链接，可帮助你建立每个方案所需的连接和技术设置。 根据组织的需求和用例，可以选择并实现相应的组件，以使用 Microsoft Power Platform 扩展 SAP 环境。

体系结构

根据将 Microsoft Power Platform 与 SAP 配合使用的方案，可能需要部署中间件组件。

此图显示了Microsoft Power Platform 与典型 SAP 登陆区域的集成体系结构。 该体系结构包含适用于客户端应用程序的 Power Platform 环境、SAP 环境和框。 Power Platform 环境包含 Power BI、Power Apps、Power Pages 和 Copilot Studio，所有这些内容都连接到 Power Automate。 Power Automate 连接到 SAP ERP 连接器、OData 连接器和自定义连接器。 Power Platform 环境连接到 Microsoft Entra 租户。 Power BI 和 SAP ERP 连接器中的数据通过防火墙，然后转到 SAP 环境。 来自 OData 连接器和自定义连接器的数据通过 API 网关进入 SAP 环境。 SAP 环境包含本地数据网关。 数据从防火墙输入此网关。 在此网关中，数据流向 SAP .NET 连接器。 SAP 环境还包含表示 OData API、REST/SOAP API 和 HANA SQL 端口的图标。 数据通过这些 API 从 API 网关流向 SAP。 HANA SQL 端口中的数据也流入 SAP。 客户端应用程序框包含笔记本电脑、移动设备、Power Automate 桌面、SAP GUI 和 Power BI Desktop。 在此框中，Power BI Desktop 中的数据流向 SAP .NET 连接器和 SAP HANA ODBC 驱动程序。 SAP .NET 连接器中的数据通过 SAP 环境中的 DIAG 和 RFC 端叉，然后流向 SAP。 SAP HANA ODBC 驱动程序中的数据流入 SAP 环境中的 HANA SQL 端口，然后流入 SAP。

下载此体系结构的 Visio 文件。

先决条件

在开始之前，请确保具备以下条件：

• 对 SAP 系统和 Azure 订阅的管理访问权限。
• Microsoft Power Platform 组件所需的许可证。 请考虑对试点项目使用 试用许可证 。
• 了解网络基础结构，包括防火墙和虚拟网络。
• 要扩展的现有 SAP 登陆区域 。

集成选项

Power Automate 桌面版中基于 SAP GUI 的 RPA

在查找自动执行频繁、平凡和基于规则的任务的方法时，请遵循此处和后续文章中所述的 SAP GUI 自动化模式和最佳做法：

• Power Automate 桌面中基于 SAP GUI 的 RPA 简介

使用 SAP HANA Business Warehouse 上的 Power BI 进行报告和分析

如果要实现实时分析、动态数据可视化和对 SAP Business Warehouse （BW）做出及时决策，请参阅 Power Query SAP Business Warehouse Application Server 连接器。

若要在 Power BI 中使用 SAP BW 消息服务器连接器，需要安装 SAP .NET 连接器。 有关详细信息，请参阅 Power Query SAP Business Warehouse Message Server 连接器。

使用 SAP HANA 上的 Power BI 进行报告和分析

如果要在 SAP HANA 系统上实现实时分析、动态数据可视化和及时决策，请参阅 Power Query SAP HANA 数据库连接器。

注意

可能无法始终允许从桌面访问 SAP HANA 数据库端口。 可能需要配置防火墙规则才能启用此访问。

使用连接器的自定义应用程序和 copilot

使用 SAP ERP 或 SAP OData 连接器创建应用、copilots、网页或自动化时，需要建立适当的网络连接。 具体配置因使用的连接器和 SAP 系统的位置而异。

注意

在 SAP 上下文的 RISE 中，SAP 系统托管在 Azure 上并由 SAP AG 管理、所需的中间件组件（如防火墙、本地数据网关和 Azure API 管理）安装在 Azure 订阅中，SAP 网络的 RISE 与 Azure 虚拟网络对等互连。

若要了解如何与 SAP 的 RISE 范围内的网络建立 Azure 订阅的网络连接，请参阅 将 Azure 与 SAP RISE 托管工作负载集成。

SAP ERP 连接器

此连接器需要本地数据网关：本地安装的 Windows 客户端应用程序，用作本地本地数据源与 Microsoft 云中的服务之间的桥梁。 它提供快速、高安全性的数据传输，无需向网络发送任何入站端口。 它只需要出站端口才能访问网关连接到的 Azure Web 服务。

• 本地网关应安装在靠近 SAP 系统的 Windows VM 上，并放置在防火墙后面，如体系结构图中所示。
• 为非生产环境和生产 SAP 环境划分本地数据网关。
• 请考虑合并非生产环境的本地数据网关。
• 对于生产环境中的业务关键型用例，请考虑实现两个本地数据网关以实现冗余。
• 若要了解如何设置此配置，请参阅 本地和虚拟网络数据网关文档。

有关详细信息，请参阅 SAP ERP 连接器。

注意

在具有 SAP 上下文的 RISE 中，本地数据网关安装在 Azure 订阅中，并通过网络对等互连连接到 RISE 与 SAP 环境。 如果 SAP 系统仍在本地运行，则必须在本地环境中安装网关。

SAP OData 连接器

与 SAP ERP 连接器不同，SAP OData 连接器通过基于 HTTP/S 的协议打开通信。 从 Microsoft Power Platform 中的连接器触发连接。

有关详细信息，请参阅 SAP OData 连接器。

至少需要将防火墙配置为允许Microsoft Power Platform 和 SAP 系统的公共 IP 之间的通信。 这样做可确保集成所需的功能。

• 有关 Microsoft Power Platform 的出站 IP 地址列表，请参阅 托管连接器出站 IP 地址。
• 如果使用Azure 防火墙，可以使用服务标记来简化此过程，无需手动管理单个 IP 地址范围。 有关详细信息，请参阅 Azure 服务标记概述。

对于生产工作负荷，我们建议你包括 API 管理，该管理支持单一登录（SSO）和其他有用的功能。 有关更多详细信息，请参阅下一部分。

注意

在 SAP 上下文中的 RISE 中，可以在 SAP Business Technology Platform 上使用 SAP API 管理服务。

设置 SSO

除了基本、匿名和 API 密钥身份验证之外，SAP OData 连接器现在还支持通过 Azure API 管理 进行 SSO（目前为预览版）。 它通过使用 Microsoft Entra ID（前 Azure Active Directory）作为标识提供者，使用 SAP 网关、S/4HANA 云、RISE 等 SAP 服务实现 SAP 主体传播。 使用此方法，跨Microsoft和 SAP 生态系统的低代码解决方案的用户将从其Microsoft Entra ID 标识映射到其命名的 SAP 后端用户。 SAP 授权将完全保留。

若要了解有关使用 SSO 的选项的详细信息，请参阅以下资源：

• SAP OData 连接器：通过 azure Microsoft SSO API 管理
• SAP OData 连接器现在支持 OAuth2 和 SAP 主体传播
• 使用 SAP API 管理将低代码解决方案与Microsoft集成

下一步

使用 SAP 和 Azure 进行创新