在 Microsoft Purview 中连接到并管理 SAP S/4HANA

本文概述了如何注册 SAP S/4HANA，以及如何在 Microsoft Purview 中对 SAP S/4HANA 进行身份验证和交互。 有关 Microsoft Purview 的详细信息，请阅读 介绍性文章。

支持的功能

扫描功能

扫描 SAP S/4HANA 源时，purview 支持Microsoft：

• 提取技术元数据，包括：

  • 实例
  • 应用程序组件
  • 包
  • 表包括字段、外键、索引和索引成员
  • 包含字段的视图
  • 事务
  • 计划
  • 课程
  • 函数组
  • 函数模块
  • 域（包括域值）
  • 数据元素

• 提取表和视图之间的资产关系的静态世系。

其他功能

有关 分类、 敏感度标签、 策略、 数据世系和 实时视图，请参阅 支持的功能列表。

已知限制

从数据源中删除对象时，当前后续扫描不会自动删除 Microsoft Purview 中的相应资产。

先决条件

• 具有活动订阅的 Azure 帐户。 免费创建帐户。

• 活动 Microsoft Purview 帐户。

• 需要数据源管理员和数据读取者权限才能在 Microsoft Purview 治理门户中注册和管理源。 有关权限的详细信息，请参阅 Microsoft Purview 中的访问控制。

• 为方案设置正确的集成运行时：

  • 使用自承载集成运行时：
    • 按照文章创建和配置自承载集成运行时。
    • 确保在安装了自承载集成运行时的计算机上安装 了 JDK 11 。 在新安装 JDK 后重启计算机，使其生效。
    • 确保在运行自承载集成运行时的计算机上安装Visual C++ 可再发行程序包 (版本 Visual Studio 2012 Update 4 或更高版本) 。 如果未安装此更新， 请立即下载。
    • 从 SAP 网站下载 用于 Microsoft .NET 3.0 的 64 位 SAP 连接器，并将其安装在自承载集成运行时计算机上。 在安装过程中，请确保在“可选安装步骤”窗口中选择“将程序集安装到 GAC”选项。
    • 连接器使用 SAP Java 连接器 (JCo) 3.0 API 从 SAP 读取元数据。 确保 Java 连接器在安装了自承载集成运行时的虚拟机上可用。 请确保为环境使用正确的 JCo 分布。 例如：在Microsoft Windows 计算机上，确保sapjco3.jar和 sapjco3.dll 文件可用。 记下用于设置扫描的文件夹路径。
    • 自承载集成运行时通过调度程序端口 32NN 和网关端口 33NN 与 SAP 服务器通信，其中 NN 是 00 到 99 之间的 SAP 实例编号。 请确保防火墙上允许出站流量。
  • 若要使用 kubernetes 支持的自承载集成运行时，
    • 按照文章创建和配置 Kubernetes 支持的集成运行时。
    • 从 SAP 网站下载 用于 Microsoft .NET 3.0 的 64 位 SAP 连接器，并将其安装在自承载集成运行时计算机上。 在安装过程中，请确保在“可选安装步骤”窗口中选择“将程序集安装到 GAC”选项。
    • 连接器使用 SAP Java 连接器 (JCo) 3.0 API 从 SAP 读取元数据。 确保 Java 连接器在安装了自承载集成运行时的虚拟机上可用。 请确保为环境使用正确的 JCo 分布。 例如：在Microsoft Windows 计算机上，确保sapjco3.jar和 sapjco3.dll 文件可用。 记下用于设置扫描的文件夹路径。
    • 自承载集成运行时通过调度程序端口 32NN 和网关端口 33NN 与 SAP 服务器通信，其中 NN 是 00 到 99 之间的 SAP 实例编号。 请确保防火墙上允许出站流量。

  注意

  扫描 SAP ECC 是一项内存密集型作，建议在 RAM 至少为 128 GB 的计算机上安装自承载Integration Runtime。

• 按照 ABAP 函数部署指南中所述的步骤，在 SAP 服务器上部署元数据提取 ABAP 函数模块。 需要一个 ABAP 开发人员帐户才能在 SAP 服务器上创建 RFC 函数模块。 若要执行扫描，用户帐户需要足够的权限才能连接到 SAP 服务器并执行以下 RFC 函数模块：

  • STFC_CONNECTION (检查连接)
  • RFC_SYSTEM_INFO (检查系统信息)
  • OCS_GET_INSTALLED_COMPS (检查软件版本)
  • Z_MITI_DOWNLOAD (主元数据导入，按照 Purview 指南创建的函数模块)

  基础 SAP Java 连接器 (JCo) 库可能会调用更多 RFC 函数模块;例如，RFC_PING、RFC_METADATA_GET等。有关详细信息 ，请参阅 SAP 支持说明460089 。

注册

本部分介绍如何使用 Microsoft Purview 治理门户在 Microsoft Purview 中注册 SAP S/4HANA。

用于注册的身份验证

SAP S/4HANA 源唯一支持的 身份验证是基本身份验证。

注册步骤

1. 通过以下方式打开 Microsoft Purview 治理门户：

   • 直接浏览并选择 https://web.purview.azure.com Microsoft Purview 帐户。
   • 打开Azure 门户，搜索并选择Microsoft Purview 帐户。 选择 “Microsoft Purview 治理门户 ”按钮。

2. 在左侧导航中选择“ 数据映射 ”。

3. 选择 “注册”

4. 在“注册源”上，选择“ SAP S/4HANA”。 选择“ 继续”

   

在“ 注册源 (SAP S/4HANA) ”屏幕上，执行以下作：

1. 输入数据源将在目录中列出的 名称 。

2. 输入 应用程序服务器 名称以连接到 SAP S/4HANA 源。 它也可以是 SAP 应用程序服务器主机的 IP 地址。

3. 输入 SAP 系统编号。 这是介于 00 和 99 之间的两位数整数。

4. 从列表中选择集合。

5. 完成以注册数据源。

   

扫描

按照以下步骤扫描 SAP S/4HANA 以自动识别资产。 有关一般扫描的详细信息，请参阅 扫描和引入简介。

创建并运行扫描

1. 在“管理中心”中，选择“集成运行时”。 确保已设置自承载集成运行时。 如果未设置，请使用 先决条件中所述 的步骤创建自承载集成运行时

2. 导航到 “源”。

3. 选择已注册的 SAP S/4HANA 源。

4. 选择“ + 新建扫描”

5. 提供以下详细信息：

   1. 名称：扫描的名称

   2. 通过集成运行时进行连接：选择配置的自承载集成运行时。

   3. 凭据：选择要连接到数据源的凭据。 请确保：

      • 创建凭据时选择“基本身份验证”。
      • 在“用户名输入”字段中提供用于连接到 SAP 服务器的用户 ID。
      • 将用于连接到 SAP 服务器的用户密码存储在密钥中。

   4. 客户端 ID：输入 SAP 客户端 ID。 它是 000 到 999 的三位数数字。

   5. SNC 模式 (可选) ：如果希望使用安全网络通信 (SNC) 模式通过基于证书的身份验证机制保护与 SAP RFC 的技术连接，请打开开关。 SNC 模式默认 处于关闭状态 。

      按照以下步骤使用 SNC 证书设置 SAP 个人安全环境：

      获取 SAPCAR

      • 转到 SAP 软件下载中心并使用 SAP 凭据登录。
      • 搜索 SAPCAR 并选择最新的非存档版本。
      • 选择作系统。
      • 下载 .EXE file to C:\sap\SAR。

      获取 SAP 通用加密库

      • 在 SAP 软件下载中心，搜索“COMMONCRYPTOLIB”并选择最新版本。
      • 选择作系统。
      • 下载 。具有最新发布日期 C:\sap\SAR的 SAR 文件。

      提取 SAP 通用加密库

      • 打开 PowerShell 并导航到 C:\sap\SAR。
      • 输入以下命令，将 xxxx 替换为值： .\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib。
      • sapgenpse.exe确认 是否在 C:\sap\libs\sapcryptolib 目录中。

      生成证书

      注意：此方法仅用于演示目的，不建议用于生产系统。 对于生产系统，请咨询内部 PKI 指南或安全团队。

      • 设置文件夹结构：

        • mkdir rootCA
        • mkdir sncCert

      • 创建必要的串行文件和索引文件（如果不存在）：

        • if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" ItemType File }
        • if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }

      • 生成根 CA：

        • openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048
        • openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"

      • 生成 SNC 证书

        • openssl genrsa -out sncCert/snc.key.pem 2048
        • openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem subj "/O=Contoso/CN=SNC"

      • 创建 OpenSSL 配置文件 ， sncCert/extensions.cnf用于签名：

        • subjectKeyIdentifier = hash
        • authorityKeyIdentifier = keyid,issuer
        • basicConstraints = critical,CA:false
        • keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment
        • extendedKeyUsage = clientAuth,emailProtection

      • 使用根 CA 对 SNC 证书进行签名：

        • openssl x509 -req in sncCert/snc.csr.pem CA rootCA/ca.cert.pem CAkey rootCA/ca.key.pem CAcreateserial out sncCert/snc.cert.pem days 3650 sha256 extfile sncCert\extensions.cnf extensions v3_leaf

      创建个人安全环境

      为本地数据网关创建个人安全环境 (PSE) 。 NCo 库在 PSE 中查找 SNC 证书。

      • 创建 PKCS#12 容器：

        • openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem

      • 创建 SECUDIR 环境变量。

      • 打开“系统属性”：在文件资源管理器中，右键单击“这台电脑”，然后选择“属性>”“高级系统设置”。

      • 选择“环境变量”。

      • 在 “系统变量”下，选择“ 新建”。

      • 将变量名称设置为 SECUDIR。

      • 将值设置为 C:\sapsecudir。

      • 选择“确定”。

      将 PKCS#12 容器导入 PSE： C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki certs\snc.p12

      允许 SHIR 进程使用 SAP PSE

      验证 SNC 客户端正在使用哪个用户或服务来获取与 SAP 通信的证书。 Microsoft Purview SHIR 使用服务用户 NT SERVICE\DIAHostService。

      • 添加凭据以允许来自 PSE 的证书检索请求： .\sapgenpse.exe seclogin -p C:\sapsecudir\SAPSNCSKERB.pse -x your-pse-pin -O "NT SERVICE\DIAHostService"
      • 验证凭据，如下所示： .\sapgenpse.exe seclogin -l -O "NT SERVICE\DIAHostService"
      • 可以删除它们，如下所示： .\sapgenpse.exe seclogin -d -O "NT SERVICE\DIAHostService"
      • 使用 -h 参数获取有关 sapgenpse 命令行工具的帮助，或在此处检查命令参考。

      向 SHIR 进程授予访问 SAP JCo 库的权限

      验证Microsoft Purview SHIR 用户 NT SERVICE\DIAHostService 是否对这些文件夹具有 读取/写入/执行/列出 权限：

      • SNC 库路径：具有 SNC 库的文件夹。 sapcrypto.dll 例如：C:\Users\shir-admin\Desktop\snc\SAPCRYPTOLIBP_8557-20011729\sapcrypto.dll

      • JCo 库路径：包含 SAP Java 连接器 jar 文件的文件夹。 例如：C:\Users\shir-admin\Desktop\snc\sapjco3-ntamd64-3.1\sapjco3-ntamd64-3.1.3

      SAP NCo 库还应安装在虚拟机上，以便测试连接正常工作，因为它仍使用 NCo 库。 这不是必需的，可以跳过测试连接。

      输入 SCN 详细信息，了解 我的姓名、 合作伙伴名称、 库路径和保护 质量，如下所示，并启动扫描：

      

   6. JCo 库路径：指定 JCo 库所在的目录路径，例如： D:\Drivers\SAPJCo。 请确保自承载集成运行时可以访问该路径，有关详细信息，请参阅 先决条件部分。

      1. 对于本地计算机上的自承载集成运行时： D:\Drivers\SAPJCo。 它是有效 JAR 文件夹位置的路径。 该值必须是有效的绝对文件路径，并且不包含空格。 确保自承载集成运行时可以访问驱动程序;有关详细信息，请参阅 先决条件部分。
      2. 对于 Kubernetes 支持的自承载集成运行时： ./drivers/SAPJCo。 它是有效 JAR 文件夹位置的路径。 该值必须是有效的相对文件路径。 请参阅文档，以 使用外部驱动程序设置扫描 ，以便提前上传驱动程序。

   7. 最大可用内存： 客户 VM 上可供扫描进程使用的最大内存 () GB。 这取决于要扫描的 SAP S/4HANA 源的大小。 建议提供较大的可用内存，例如 100。

   

6. 选择 继续。

7. 选择 扫描触发器。 可以设置计划或运行扫描一次。

8. 查看扫描并选择“ 保存并运行”。

查看扫描和扫描运行

查看现有扫描：

1. 转到 Microsoft Purview 门户。 在左窗格中，选择“ 数据映射”。
2. 选择数据源。 可以在“最近扫描”下查看该数据源上的现有 扫描列表，也可以在“扫描”选项卡上查看所有 扫描 。
3. 选择要查看的结果的扫描。 窗格显示之前的所有扫描运行，以及每个扫描运行的状态和指标。
4. 选择运行 ID 以检查扫描运行详细信息。

管理扫描

若要编辑、取消或删除扫描，请执行以下作：

1. 转到 Microsoft Purview 门户。 在左窗格中，选择“ 数据映射”。

2. 选择数据源。 可以在“最近扫描”下查看该数据源上的现有 扫描列表，也可以在“扫描”选项卡上查看所有 扫描 。

3. 选择要管理的扫描。 然后，可以：

   • 通过选择“编辑扫描 ”来编辑扫描。
   • 选择“取消扫描运行”， 取消正在进行的扫描。
   • 通过选择“删除扫描” 来删除扫描。

世系沿袭

扫描 SAP S/4HANA 源后，可以浏览统一目录或搜索统一目录以查看资产详细信息。

转到“资产 -> 世系”选项卡，可以看到资产关系（如果适用）。 有关支持的 SAP S/4HANA 世系方案，请参阅支持 的功能 部分。 有关世系的一般信息，请参阅 数据世系 和 世系用户指南。

后续步骤

注册源后，请按照以下指南详细了解Microsoft Purview 和数据。

• Microsoft Purview 中的数据资产见解
• Microsoft Purview 中的世系
• 搜索统一目录