SAP ERP

Este conector está disponível nos seguintes produtos e regiões:

Serviço	Class	Regiões
Estúdio Copiloto	Premium	Todas as Power Automate regiões
Aplicações Power	Premium	Todas as regiões do Power Apps
Automatize o poder	Premium	Todas as Power Automate regiões

Contato
Nome	Microsoft
URL	https://learn.microsoft.com/connectors/saperp/

Metadados do conector
Editora	Microsoft
Sítio Web	https://www.sap.com/products/enterprise-management-erp.html
Política de privacidade	https://www.sap.com/about/legal/privacy.html
Categorias	Produtividade

Usando o conector SAP ERP

Para começar a usar esse conector, leia as seguintes postagens no blog:

• Power Platform e SAP Hub
• Apresentando o conector SAP ERP
• Anunciando uma integração SAP mais profunda para a Power Platform

Pre-requisites

O conector SAP ERP depende dos seguintes componentes, que devem ser instalados na mesma máquina:

• Gateway de dados local (Versão de outubro de 2023 - 3000.194 ou superior)
• Microsoft C++ Runtime DLL Versão 14.x (Visual Studio 2015, 2017, 2019 e 2022) (dependência SAP NCo)
• Conector SAP .NET da SAP
  • Escolha a versão NCo 3.1 de 64 bits (32 bits não é suportada)
  • Não instale o NCo 3.0 (não suportado)
  • Requer S-user válido para acesso ao download. Talvez seja necessário entrar em contato com sua equipe SAP.

Autorizações SAP

Sua conta de usuário SAP precisa acessar o grupo de RFC_METADATA funções e os respetivos módulos de função para as seguintes operações:

Operations	Acesso aos módulos de função
Ações RFC	RFC_GROUP_SEARCH, DD_LANGU_TO_ISOLA
Ações BAPI	BAPI_TRANSACTION_COMMIT, BAPI_TRANSACTION_ROLLBACK, RPY_BOR_TREE_INIT, SWO_QUERY_METHODS, SWO_QUERY_API_METHODS
Ações do IDoc	IDOCTYPES_LIST_WITH_MESSAGES, IDOCTYPES_FOR_MESTYPE_READ, INBOUND_IDOCS_FOR_TID, OUTBOUND_IDOCS_FOR_TID, GET_STATUS_FROM_IDOCNR, IDOC_RECORD_READ
Leia a ação da tabela SAP	RFC BBP_RFC_READ_TABLE ou RFC_READ_TABLE
Acesso mínimo	RFC_METADATA_GET, RFC_METADATA_GET_TIMESTAMP

Authentication

O conector suporta Autenticação SAP, Autenticação do Windows, ID do Microsoft Entra com Kerberos e ID do Microsoft Entra com Certificados.

Como o conector foi projetado para ser usado por vários usuários de um aplicativo, as conexões não são compartilhadas. Em vez disso, cada usuário será autenticado com o sistema SAP. As credenciais do usuário são fornecidas na conexão, enquanto detalhes adicionais necessários para se conectar ao sistema SAP (como detalhes do servidor, configuração de segurança) são fornecidos como parte da ação.

Autenticação SAP

Autenticação SAP básica usando nome de usuário e senha SAP.

Autenticação do Windows

Requer configuração adicional para a Comunicação de Rede Segura (SNC). Requer configuração adicional para SSO baseado em Kerberos da Power Platform para fontes de dados locais.

Microsoft Entra ID (com Kerberos)

Requer configuração adicional para a Comunicação de Rede Segura (SNC). Requer configuração adicional para SSO baseado em Kerberos da Power Platform para fontes de dados locais.

Microsoft Entra ID (com Certificados)

Requer configuração adicional para a Comunicação de Rede Segura (SNC). Requer configuração adicional para SSO baseado em certificado da Power Platform para fontes de dados locais.

Configurar SSO baseado em Kerberos

O nome SNC do SAP para um usuário (p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM) deve ser igual ao nome de domínio totalmente qualificado (JANEDOE@REDMOND.CORP.CONTOSO.COM) do Microsoft Entra ID dos usuários para autenticação do Windows e do Microsoft Entra ID.

Propriedade	Description
Usar SNC	Defina como "Sim" se quiser ativar o SNC
Biblioteca SNC	O nome ou caminho da biblioteca SNC relativo ao local de instalação NCo ou caminho absoluto. Exemplos são sapcrypto.dll ou .\security\sapcrypto.dll, ou c:\security\sapcrypto.dll.
SNC SSO	Especifica se o conector usará a identidade do serviço ou as credenciais do usuário final
SNC Meu Nome	Se necessário, especifique a identidade a ser usada
Nome do parceiro SNC	O nome do servidor SNC back-end
Qualidade de proteção SNC	A qualidade do serviço a ser usado para a comunicação SNC deste destino ou servidor específico. O valor padrão é definido pelo sistema back-end. O valor máximo é definido pelo produto de segurança usado para SNC.

Se o Microsoft Entra ID ou a Autenticação do Windows for necessária para o SAP ERP Connector, você precisará:

• Configurar o SSO baseado em Kerberos da Power Platform para fontes de dados locais
• Configurar o SAP ERP para habilitar o uso do CommonCryptoLib (sapcrypto.dll)

Configurar SSO baseado em Kerberos da Power Platform para fontes de dados locais Pré-requisitos

Após a instalação do Data Gateway, o gateway é executado como a conta de serviço local da máquina, NT Service\PBIEgwService. Para habilitar a delegação restrita de Kerberos, você tem duas opções:

• O gateway deve ser executado como uma conta de domínio, consulte a documentação sobre como alterar a conta de serviço do gateway ; quer
• Ter sua instância de ID do Microsoft Entra sincronizada com sua instância local de ID do Microsoft Entra (usando o Microsoft Entra ID DirSync/Connect)

Etapas de configuração:

• Obter direitos de administrador de domínio para configurar SPNs (SetSPN) e configurações de delegação restrita Kerberos
• Configurar a delegação restrita de Kerberos para o gateway e a fonte de dados
• Configurar um SPN para a conta de serviço de gateway
• Adicionar conta de serviço de gateway ao Grupo de Autorização e Acesso do Windows, se necessário
• Decida o tipo de delegação restrita de Kerberos a ser usada:
  • Configurar a conta de serviço de gateway para delegação restrita Kerberos padrão
  • Configurar a conta de serviço de gateway para delegação restrita de Kerberos baseada em recursos
• Conceder direitos de política local à conta de serviço de gateway na máquina de gateway
• Definir parâmetros de configuração de mapeamento de usuário na máquina de gateway (se necessário)

Para obter mais detalhes sobre como configurar isso, consulte a documentação do Power BI para Configurar SSO baseado em Kerberos do serviço do Power BI para fontes de dados locais.

Configurar o SAP ERP para habilitar o uso do CommonCryptoLib (sapcrypto.dll)

1. Certifique-se de que seu servidor SAP ERP esteja configurado corretamente para Kerberos SSO usando CommonCryptoLib. Se estiver, você pode usar o SSO para acessar seu servidor SAP ERP com uma ferramenta SAP como SAP GUI que foi configurada para usar CommonCryptoLib. Para obter mais informações sobre as etapas de configuração, consulte SAP Single Sign-On: Authenticate with Kerberos/SPNEGO. Seu servidor deve usar CommonCryptoLib como sua biblioteca SNC e ter um nome SNC que começa com CN. Para obter mais informações sobre os requisitos de nome SNC (especificamente, o snc/identity/as parâmetro), consulte Parâmetros SNC para configuração Kerberos.
2. Verifique se o SAP Secure Login Client (SLC) não está em execução no computador em que o gateway está instalado. O SLC armazena em cache tíquetes Kerberos de uma forma que pode interferir na capacidade do gateway de usar Kerberos para SSO. Se o SLC estiver instalado, desinstale-o ou certifique-se de sair do SAP Secure Login Client. Clique com o botão direito do mouse no ícone na bandeja do sistema e selecione Sair e Sair antes de tentar uma conexão SSO usando o gateway. SLC não é suportado para uso em máquinas Windows Server. Para obter mais informações, consulte SAP Note 2780475 (s-user required).

3. Se você desinstalar o SLC ou selecionar Sair e Sair, abra uma janela cmd e entre klist purge para limpar todos os tíquetes Kerberos armazenados em cache antes de tentar uma conexão SSO através do gateway.
4. Faça o download do CommonCryptoLib () de 64 bits versãosapcrypto.dll 8.5.25 ou superior do SAP Launchpad e copie-o para uma pasta na máquina do gateway. No mesmo diretório onde você copiou sapcrypto.dll, crie um arquivo chamado sapcrypto.ini, com o seguinte conteúdo:

ccl/snc/enable_kerberos_in_client_role = 1

O .ini arquivo contém informações de configuração exigidas pelo CommonCryptoLib para habilitar o SSO no cenário de gateway.

Tanto o usuário do serviço de gateway quanto o usuário do Microsoft Entra ID que o usuário do serviço representa precisam de permissões de leitura e execução para ambos os arquivos. Recomendamos conceder permissões nos .ini arquivos e .dll para o grupo Usuários Autenticados. Para fins de teste, você também pode conceder explicitamente essas permissões ao usuário do serviço de gateway e ao usuário do Microsoft Entra ID usado para teste. Na captura de tela a seguir, concedemos ao grupo Usuários Autenticados permissões de leitura e execução para sapcrypto.dll:

5. Se você ainda não tiver uma fonte de dados SAP BW associada ao gateway pelo qual deseja que a conexão SSO flua, adicione uma na página Gerenciar gateways no serviço do Power BI. Se você já tiver essa fonte de dados, edite-a:

• Escolha SAP Business Warehouse como o Tipo de Fonte de Dados se quiser criar uma conexão SSO com um BW Application Server.
• Selecione Sap Business Warehouse Message Server se quiser criar uma conexão SSO com um BW Message Server.

6. Crie uma variável de CCL_PROFILE ambiente do sistema e defina seu valor para o caminho para sapcrypto.ini.

CCL_PROFILE variável de ambiente do sistema:

Os sapcrypto.dll arquivos e .ini devem existir no mesmo local. No exemplo acima, sapcrypto.ini e sapcrypto.dll ambos estão localizados na área de trabalho.

7. Reinicie o serviço de gateway.

Autenticação de ID do Microsoft Entra

Esse tipo de autenticação só funcionará com as seguintes ações:

• Chamar a função SAP (V2)
• Criar sessão com estado
• Leia a tabela SAP com análise

A conta Microsoft Entra ID SAP Service Principal deve ter AES 128 ou AES 256 definido no msDS-SupportedEncryptionType atributo. Esta postagem de blog contém uma tabela para ajudar a dimensionar valores decimais/hexadecimais para tipos de criptografia suportados.

Problemas conhecidos e limitações

A seguir estão alguns dos problemas e limitações conhecidos do conector SAP ERP:

• O conector suporta apenas RFCs e BAPIs.
• O conector não suporta o recebimento de mensagens do SAP Server.
• RFCs transacionais (tRFCs) não são suportados.
• O gateway tem um limite de carga útil de 2 MB para operações de gravação e um limite de resposta de dados compactados de 8 MB para operações de leitura.
• Os clusters de gateway de dados no modo de balanceamento de carga não são suportados por ações SAP com monitoração de estado. As comunicações com estado devem permanecer no mesmo nó de cluster do gateway de dados. Para ações SAP com monitoração de estado, use o gateway de dados no modo não cluster ou em um cluster configurado apenas para failover.
• Atualize seu gateway de dados local para a versão mais recente se receber um erro durante a criação de fluxo semelhante a: Length of the name of the RFC '<RFC_NAME>?honorSapOptionalFlag=1' is larger than the maximum allowed limit of 30
• Os parâmetros RFC/BAPI obtidos do SAP são armazenados em cache no gateway de dados local. Reinicie o serviço de gateway de dados local para limpar o cache e recuperar novos valores.

Coletando logs

Os logs a seguir são úteis para solucionar problemas do conector SapErp ao entrar em contato com o suporte da Microsoft:

1. Habilite Additional logging nas Diagnostics configurações do seu aplicativo de gateway de dados local para obter Informational os logs estendidos do SAP Adapter e os rastreamentos do SapErp Adapter.
2. Atualize a seguinte configuração no arquivo de Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.configconfiguração . Normalmente, esse arquivo de configuração fica onde o gateway de dados local está instalado (por exemplo, C:\Program Files\On-premises data gateway\Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config).

   <setting name="SapTraceLevel" serializeAs="String">
      <value>Verbose</value>
   </setting>
   

Orientação sobre propriedades do sistema SAP

Para ações que suportam o SAP system parâmetro, use a tabela a seguir para orientação.

Propriedade	Description
AppServerHost	O nome do host do SAP Application Server.
AppServerService	O nome do serviço ou o número da porta do SAP Application Server específico ao qual se conectar (Opcional para o tipo de conexão (Logon) A - Application Server).
Client	O ID do cliente SAP para se conectar ao sistema SAP. O cliente de back-ends SAP (ou 'Mandant') no qual fazer login. É um número que varia de 000 a 999.
Linguagem	O código de idioma com o qual se conectar ao sistema SAP. Um código ISO 639-1 de duas letras. Deve ser instalado dentro do SAP. Isso substitui a configuração de idioma dos navegadores.
LogonGroup	O Grupo de Logon para o Sistema SAP, a partir do qual o Servidor de Mensagens deve selecionar um Servidor de Aplicativos (Disponível somente se o tipo de conexão (Logon) for B - Servidor de Mensagens (Grupo)).
LogonType	O tipo de logon no sistema SAP, Logon do servidor de aplicativos (Tipo A) ou Logon de grupo (Tipo B, também conhecido como Servidor de Mensagens). Valores permitidos: ApplicationServer, Group
MessageServerHost	O nome do host do Servidor de Mensagens do Sistema SAP (instância central), também conhecido como Nome do Sistema R3 (Obrigatório se o tipo de conexão (Logon) for B - Servidor de Mensagens (Grupo)).
MessageServerService	O Nome do Serviço (conforme definido em etc/services) ou o Número da Porta sob o qual o Servidor de Mensagens está escutando solicitações de balanceamento de carga (Obrigatório se o tipo de conexão (Logon) for B - Servidor de Mensagens (Grupo) e a ID do Sistema não estiver presente).
Digitação segura	Por padrão, quando você cria sua conexão SAP, a digitação forte é usada para verificar valores inválidos executando a validação em relação ao esquema. Esse comportamento pode ajudá-lo a detetar problemas mais cedo. A opção Digitação segura está disponível para compatibilidade com versões anteriores e verifica apenas o comprimento da cadeia de caracteres. Valores permitidos: true, false
SncCertificate	Certificado X.509 no formato codificado Base64, sem as tags de certificado inicial ou final.
SncMyName	A solução SNC instalada geralmente conhece seu próprio nome SNC. Apenas para soluções que suportem 'identidades múltiplas', pode ser necessário especificar a identidade a ser usada para esse destino/servidor (opcional). Esse parâmetro diferencia maiúsculas de minúsculas, portanto, verifique com os administradores do SAP Basis o valor correto.
SncLibraryPath	Nome ou caminho da biblioteca SNC a ser usada. Com o Gateway de Dados Local, o caminho pode ser absoluto ou relativo à biblioteca NCo.
SncPartnerName	O nome SNC dos back-ends (Obrigatório quando o Tipo de Logon é Servidor de Aplicativos). Esse parâmetro diferencia maiúsculas de minúsculas, portanto, verifique com os administradores do SAP Basis o valor correto.
SncQop	Qualidade de Serviço a ser utilizada para comunicação SNC deste destino/servidor. Valores permitidos: Autenticação, Integridade, Privacidade, Padrão, Máximo
SncSso	O SSO SNC especifica se a identidade SNC ou as credenciais fornecidas no nível RFC devem ser usadas.
SsoCertificateSubject	Assunto do certificado na máquina Windows OPDG para autenticação baseada em certificado com ID do Microsoft Entra
Id do sistema	O ID do sistema de três letras do sistema SAP (obrigatório se o tipo de conexão (Logon) for B - Message Server (Group) e Message Server Service não estiver presente).
Número do sistema	O número do sistema SAP. É um número que varia de 00 a 99 (Obrigatório se o tipo de conexão (Logon) for A - Application Server).
UseSnc	Quando selecionada, as conexões serão protegidas com SNC. Valores permitidos: Sim

Migrando de Call SAP Function para Call SAP Function (v2)

O Call SAP Function foi preterido em julho de 2023, e o suporte terminará em julho de 2026. Os usuários precisarão migrar suas ações v1 existentes antes desse tempo, ou seus fluxos serão interrompidos.

1. Substitua vários campos de formulário por uma única cadeia de caracteres JSON para propriedades de conexão.
2. Use o seguinte mapeamento de propriedade:

Rótulo de campo v1	Propriedade v2
Anfitrião AS	AppServerHost
Client	Client
Número do sistema AS	Número do sistema
Nome da função SAP	N/A - não relevante para a cadeia de conexão
Sessão com Estado	N/D - As sessões com estado estão disponíveis em "Opções avançadas", onde um ID pode ser especificado para Session Id. As etapas com o mesmo Session Id serão executadas como parte da mesma sessão com monitoração de estado.
Usar SNC	UseSnc
Biblioteca SNC	SncLibraryPath
SNC SSO	SncSso
SNC Meu Nome	SncMyName
Nome do parceiro SNC	SncPartnerName
Qualidade de proteção SNC	SncQop

Example

Chame a função SAP V1:

Chame a função SAP V2:

Dada a captura de tela, a cadeia de conexão ficaria assim:

{
  "AppServerHost": "sap.example.com",
  "Client": 100,
  "SystemNumber": "00"
}

Como Use SNC é "Não" na captura de tela, nenhuma propriedade é necessária. O padrão é "false"

Usando variáveis de ambiente

Os fluxos incorporados em soluções podem gerenciar essas cadeias de conexão usando variáveis de ambiente. Este é o método recomendado, pois permite alterar os parâmetros de conexão com base no ambiente. Se o fluxo não estiver em uma solução, mantenha a string à mão para copiar/colar.

Limites Gerais

Nome	Valor
Número máximo de propriedades suportadas pelo esquema dinâmico. A ação JSON de análise pode ser usada para gerar esquema a partir de uma carga útil de amostra se exceder o número máximo de propriedades.	1024

A criar uma ligação

O conector suporta os seguintes tipos de autenticação:

Microsoft Entra ID (com certificados)	Use o Microsoft Entra ID Principal Propagation via certificados X509 para acessar o SAP.	Todas as regiões	Não compartilhável
Microsoft Entra ID (com Kerberos)	Use o Microsoft Entra ID Principal Propagation via Kerberos para acessar o SAP.	Todas as regiões	Não compartilhável
Autenticação SAP	Use o nome de usuário e a senha do SAP para acessar o servidor SAP.	Todas as regiões	Não compartilhável
Autenticação do Windows	Use o nome de usuário e a senha do Windows para acessar seu servidor SAP.	Todas as regiões	Não compartilhável
Padrão [DEPRECATED]	Esta opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores.	Todas as regiões	Não compartilhável

Microsoft Entra ID (com certificados)

ID de autenticação: UpnX509Certificate

Aplicável: Todas as regiões

Use o Microsoft Entra ID Principal Propagation via certificados X509 para acessar o SAP.

Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.

Nome	Tipo	Description	Obrigatório
Gateway	gatewaySetting	Gateway local (consulte https://docs.microsoft.com/data-integration/gateway para obter mais detalhes	Verdade

Microsoft Entra ID (com Kerberos)

ID da autenticação: OAuthSso

Aplicável: Todas as regiões

Use o Microsoft Entra ID Principal Propagation via Kerberos para acessar o SAP.

Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.

Nome	Tipo	Description	Obrigatório
Gateway	gatewaySetting	Gateway local (consulte https://docs.microsoft.com/data-integration/gateway para obter mais detalhes	Verdade

Autenticação SAP

Auth ID: Básico

Aplicável: Todas as regiões

Use o nome de usuário e a senha do SAP para acessar o servidor SAP.

Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.

Nome	Tipo	Description	Obrigatório
Gateway	gatewaySetting	Gateway local (consulte https://docs.microsoft.com/data-integration/gateway para obter mais detalhes	Verdade
Nome de usuário SAP	securestring	Nome de usuário SAP para login no sistema SAP.	Verdade
Senha SAP	securestring	Senha SAP para login no sistema SAP.	Verdade

Autenticação do Windows

ID de autenticação: Windows

Aplicável: Todas as regiões

Use o nome de usuário e a senha do Windows para acessar seu servidor SAP.

Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.

Nome	Tipo	Description	Obrigatório
Gateway	gatewaySetting	Gateway local (consulte https://docs.microsoft.com/data-integration/gateway para obter mais detalhes	Verdade
Domínio e nome de usuário do Windows	securestring	Domínio e nome de usuário do Windows usados para entrar no sistema SAP. Exemplo: DOMÍNIO\nome de utilizador	Verdade
Palavra-passe do Windows	securestring	Senha do Windows usada para entrar no sistema SAP.	Verdade

Padrão [DEPRECATED]

Aplicável: Todas as regiões

Esta opção é apenas para conexões mais antigas sem um tipo de autenticação explícita e é fornecida apenas para compatibilidade com versões anteriores.

Esta conexão não é compartilhável. Se o aplicativo avançado for compartilhado com outro usuário, outro usuário será solicitado a criar uma nova conexão explicitamente.

Nome	Tipo	Description	Obrigatório
Gateway	gatewaySetting	Gateway local (consulte https://docs.microsoft.com/data-integration/gateway para obter mais detalhes	Verdade
Tipo de autenticação	cadeia (de caracteres)	Tipo de autenticação para se conectar ao sistema SAP. Deve ser básico (nome de usuário e senha).	Verdade
Nome de utilizador	securestring	Nome de usuário para entrar no sistema SAP.	Verdade
Palavra-passe	securestring	Senha para login no sistema SAP.	Verdade

Limites de Limitação

Name	Chamadas	Período de Renovação
Chamadas de API por conexão	2500	60 segundos

Ações

Chamar a função SAP (V2)	Chama um sRFC, tRFC ou qRFC no sistema SAP.
Chamar a função SAP (V3) (Pré-visualização)	Chama um sRFC, tRFC ou qRFC no sistema SAP.
Chamar função SAP (preterido) [PRETERIDO]	Esta ação foi preterida. Em vez disso, use a função Call SAP (V3). Chame a função SAP. (preterido)
Criar sessão com estado	Cria uma sessão de conexão com monitoração de estado com o sistema SAP. Esta ação só funciona com a função Call SAP (V2)
Executar diagnósticos	Execute o diagnóstico.
Fechar sessão com estado	Fecha uma sessão de conexão com monitoração de estado existente com o sistema SAP.
Leia a tabela SAP com análise	Esta ação requer que o usuário tenha acesso ao RFC 'BBP_RFC_READ_TABLE' ou 'RFC_READ_TABLE'.
Reconstrói anexos a partir de partes codificadas em base64 (Pré-visualização)	Pega uma matriz de cadeias de caracteres codificadas em base64, concatena-as e retorna o resultado combinado como uma cadeia de caracteres base64

Chamar a função SAP (V2)

Chamar a função SAP (V3) (Pré-visualização)

Chamar função SAP (preterido) [PRETERIDO]

Criar sessão com estado

Executar diagnósticos

Fechar sessão com estado

Leia a tabela SAP com análise

Reconstrói anexos a partir de partes codificadas em base64 (Pré-visualização)

Definições

DiagnosticsOutput

CreateSessionResponse

objecto