在 Microsoft Purview 中連線並管理 SAP ECC

本文概述如何註冊 SAP ECC，以及如何在 Microsoft Purview 中驗證 SAP ECC 並與之互動。 如需 Microsoft Purview 的詳細資訊，請閱讀簡介 文章。

支援的功能

掃描功能

掃描 SAP ECC 來源時，Microsoft Purview 支援：

• 擷取技術中繼資料，包括：

  • 執行個體
  • 應用程式元件
  • 套件
  • 表格，包括欄位、外部索引鍵、索引和索引成員
  • 包括欄位在內的視圖
  • Transactions
  • 程式
  • 類別
  • 功能群組
  • 功能模組
  • 包含網域值的網域
  • 資料元素

• 擷取資料表和檢視之間資產關係的靜態譜系。

其他功能

如需 分類、 敏感度標籤、 原則、 資料譜系和 即時檢視，請參閱 支援的功能清單。

已知限制

從數據源刪除物件時，目前後續掃描不會自動移除 Microsoft Purview 中的對應資產。

必要條件

• 具有作用中訂用帳戶的 Azure 帳戶。 免費創建一個帳戶。

• 作用中的 Microsoft Purview 帳戶。

• 您需要資料來源系統管理員和資料讀取者許可權，才能在 Microsoft Purview 治理入口網站中註冊來源並管理來源。 如需許可權的詳細資訊，請參閱 Microsoft Purview 中的存取控制。

• 為您的案例設定正確的整合執行階段：

  • 若要使用自我裝載整合執行階段：
    • 請遵循文章來建立和設定自我裝載整合執行階段。
    • 請確定 JDK 11 已安裝在安裝自我裝載整合執行階段的電腦上。 新安裝 JDK 之後，重新啟動電腦，使其生效。
    • 請確定C++ 可轉散發套件 (Visual Studio 2012 Update 4 或更新版本的) 已安裝在執行自我裝載整合執行階段的電腦上。 如果您尚未安裝此更新，請 立即下載。
    • 從 SAP 的網站下載 適用於 Microsoft .NET 3.0 的 64 位 SAP 連接器，並將其安裝在自我裝載的整合執行階段電腦上。 在安裝期間，請務必在 [選擇性設定步驟] 視窗中選取 [將組件安裝至 GAC] 選項。
    • 連接器會使用 SAP Java 連接器 (JCo) 3.0 API 從 SAP 讀取中繼資料。 請確定 Java 連接器可在安裝自我裝載整合執行階段的虛擬機器上使用。 請確定您針對您的環境使用正確的 JCo 配送。 例如：在Microsoft Windows 機器上，請確定 sapjco3.jar 和 sapjco3.dll 檔案可用。 記下您將用來設定掃描的資料夾路徑。
    • 自我裝載整合執行階段會透過分派器連接埠 32NN 和閘道連接埠 33NN 與 SAP 伺服器通訊，其中 NN 是 00 到 99 之間的 SAP 執行個體號碼。 請確定防火牆上允許輸出流量。
  • 若要使用 Kubernetes 支援的自我裝載整合執行階段：
    • 請遵循文章來建立和設定 Kubernetes 支援的整合執行階段。
    • 從 SAP 的網站下載 適用於 Microsoft .NET 3.0 的 64 位 SAP 連接器，並將其安裝在自我裝載的整合執行階段電腦上。 在安裝期間，請務必在 [選擇性設定步驟] 視窗中選取 [將組件安裝至 GAC] 選項。
    • 連接器會使用 SAP Java 連接器 (JCo) 3.0 API 從 SAP 讀取中繼資料。 請確定 Java 連接器可在安裝自我裝載整合執行階段的虛擬機器上使用。 請確定您針對您的環境使用正確的 JCo 配送。 例如：在Microsoft Windows 機器上，請確定 sapjco3.jar 和 sapjco3.dll 檔案可用。 記下您將用來設定掃描的資料夾路徑。
    • 自我裝載整合執行階段會透過分派器連接埠 32NN 和閘道連接埠 33NN 與 SAP 伺服器通訊，其中 NN 是 00 到 99 之間的 SAP 執行個體號碼。 請確定防火牆上允許輸出流量。

  注意事項

  掃描 SAP ECC 是記憶體密集型作業，建議您在至少具有 128 GB RAM 的電腦上安裝自我裝載 Integration Runtime。

• 依照 ABAP 函數部署指南中提到的步驟，在 SAP 伺服器上部署中繼資料擷取 ABAP 函數模組。 您需要 ABAP 開發人員帳戶才能在 SAP 伺服器上建立 RFC 功能模組。 對於掃描執行，使用者帳戶需要足夠的權限才能連線到 SAP 伺服器並執行下列 RFC 功能模組：

  • STFC_CONNECTION (檢查連線)
  • RFC_SYSTEM_INFO (檢查系統資訊)
  • OCS_GET_INSTALLED_COMPS (檢查軟體版本)
  • Z_MITI_DOWNLOAD (主要中繼資料匯入時，您根據 Purview 指南建立的函式模組)

  基礎 SAP Java 連接器 (JCo) 程式庫可能會呼叫更多 RFC 功能模組;例如，RFC_PING、RFC_METADATA_GET等。如需詳細資料，請參閱 SAP 支援附註 460089 。

登錄

本節說明如何使用 Microsoft Purview 治理入口網站在 Microsoft Purview 中註冊 SAP ECC。

註冊驗證

SAP ECC 來源唯一支援的驗證是 基本驗證。

註冊步驟

1. 透過下列方式開啟 Microsoft Purview 治理入口網站：

   • 直接 https://web.purview.azure.com 流覽並選取您的 Microsoft Purview 帳戶。
   • 開啟 Azure 入口網站，搜尋並選取 Microsoft Purview 帳戶。 選取 [Microsoft Purview 治理入口網站] 按鈕。

2. 選取左側導覽中的 資料對應 。

3. 選擇 註冊

4. 在 [ 註冊來源 ] 上，選取 [ SAP ECC]。 選取 [繼續]。

   

在 [將來源註冊 SAP ECC () 畫面上，執行下列動作：

1. 輸入 名稱 資料來源將列在目錄中。

2. 輸入 應用程式伺服器 名稱以連線至 SAP ECC 來源。 它也可以是 SAP 應用程式伺服器主機的 IP 位址。

3. 輸入 SAP 系統號碼。 這是介於 00 和 99 之間的兩位數整數。

4. 從清單中選取集合。

5. 完成以註冊資料來源。

   

掃描

請依照下列步驟掃描 SAP ECC 以自動識別資產。 如需一般掃描的詳細資訊，請參閱我們的 掃描和擷取簡介。

建立並執行掃描

1. 在 管理中心 中，選取 [整合執行階段]。 請確定已設定自我裝載整合執行階段。 如果未設定，請使用 必要條件中 所述的步驟來建立自我裝載整合執行階段。

2. 導覽至 來源

3. 選取已註冊的 SAP ECC 來源。

4. 選取 + 新增掃描

5. 提供以下詳細資訊：

   1. 名稱：掃描的名稱

   2. 透過整合執行階段連線：選取已設定的自我裝載整合執行階段。

   3. 認證：選取要連線到資料來源的認證。 確保：

      • 在建立認證時選取 [基本驗證]。
      • 在使用者名稱輸入欄位中提供使用者 ID 以連線至 SAP 伺服器。
      • 將用來連線至 SAP 伺服器的使用者密碼儲存在秘密金鑰中。

   4. 用戶端 ID：輸入 SAP 用戶端 ID。 這是一個從 000 到 999 的三位數數字。

   5. SNC 模式 (選用) ：如果您偏好使用安全網路通訊 (SNC) 模式，透過憑證型驗證機制保護與 SAP RFC 的技術連線，請 開啟 切換。 SNC 模式預設為 關閉 。

      請遵循下列步驟，以使用 SNC 憑證設定 SAP 個人安全環境：

      可在安卓獲取SAPCAR

      • 移至 SAP 軟體下載中心，並使用您的 SAP 認證登入。
      • 搜尋 SAPCAR，然後選取最新的未封存版本。
      • 選擇您的作業系統。
      • 下載 .EXE file to C:\sap\SAR.

      取得 SAP Common Crypto Library

      • 在 SAP 軟體下載中心中，搜尋「COMMONCRYPTOLIB」並選取最新版本。
      • 選擇您的作業系統。
      • 下載 .SAR 檔案，其最新發行日期為 C:\sap\SAR。

      擷取 SAP 通用加密程式庫

      • 開啟 PowerShell 並導覽至 C:\sap\SAR。
      • 輸入下列指令，將 xxxx 取代為您的值： .\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib。
      • 確認該目錄 sapgenpse.exe 中 C:\sap\libs\sapcryptolib 。

      產生憑證

      注意：此方法僅供示範之用，不建議用於生產系統。 對於生產系統，請諮詢您的內部 PKI 指導或安全團隊。

      • 設定資料夾結構：

        • mkdir rootCA
        • mkdir sncCert

      • 建立必要的序列和索引檔案（如果不存在）：

        • if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" ItemType File }
        • if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }

      • 產生根 CA：

        • openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048
        • openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"

      • 產生 SNC 憑證

        • openssl genrsa -out sncCert/snc.key.pem 2048
        • openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem subj "/O=Contoso/CN=SNC"

      • 建立 OpenSSL 組態檔 sncCert/extensions.cnf，以進行簽署：

        • subjectKeyIdentifier = hash
        • authorityKeyIdentifier = keyid,issuer
        • basicConstraints = critical,CA:false
        • keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment
        • extendedKeyUsage = clientAuth,emailProtection

      • 使用根 CA 簽署 SNC 憑證：

        • openssl x509 -req in sncCert/snc.csr.pem CA rootCA/ca.cert.pem CAkey rootCA/ca.key.pem CAcreateserial out sncCert/snc.cert.pem days 3650 sha256 extfile sncCert\extensions.cnf extensions v3_leaf

      創建個人安全環境

      為內部部署資料閘道建立個人安全環境 (PSE) 。 NCo庫在PSE內查詢SNC證書。

      • 建立 PKCS#12 容器：

        • openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem

      • 建立 SECUDIR 環境變數。

      • 開啟系統屬性：在檔案總管中，右鍵單擊此電腦，然後選擇屬性進>階系統設定。

      • 選取 環境變數。

      • 在 系統變數下，選取 新增。

      • 將變數名稱設為 SECUDIR。

      • 將值設定為 C:\sapsecudir。

      • 選取 [確定]。

      將PKCS#12容器匯入PSE： C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki certs\snc.p12

      允許 SHIR 程序使用 SAP PSE

      確認 SNC 用戶端正在使用哪個使用者或服務來取得憑證以與 SAP 通訊。 Microsoft Purview SHIR 會使用服務使用者 NT SERVICE\DIAHostService。

      • 新增認證以允許來自 PSE 的憑證擷取要求： .\sapgenpse.exe seclogin -p C:\sapsecudir\SAPSNCSKERB.pse -x your-pse-pin -O "NT SERVICE\DIAHostService"
      • 驗證認證，如下所示： .\sapgenpse.exe seclogin -l -O "NT SERVICE\DIAHostService"
      • 您可以像這樣刪除它們： .\sapgenpse.exe seclogin -d -O "NT SERVICE\DIAHostService"
      • 使用 -h 參數來取得 sapgenpse 指令列工具的說明，或在此處檢查指令參考。

      將存取 SAP JCo 程式庫的權限授與 SHIR 程序

      確認 Microsoft Purview SHIR 使用者 NT SERVICE\DIAHostService 是否具有下列資料夾的 讀取/寫入/執行/列出 許可權：

      • SNC 程式庫路徑：具有 SNC 程式庫的資料夾。 sapcrypto.dll 範例：C:\Users\shir-admin\Desktop\snc\SAPCRYPTOLIBP_8557-20011729\sapcrypto.dll

      • JCo 程式庫路徑：具有 SAP Java 連接器 jar 檔案的資料夾。 範例：C:\Users\shir-admin\Desktop\snc\sapjco3-ntamd64-3.1\sapjco3-ntamd64-3.1.3

      SAP NCo 程式庫也應該安裝在虛擬機器上，測試連線才能正常運作，因為它仍使用 NCo 程式庫。 這不是必要的，而且可以略過測試連線。

      輸入 我的姓名、 合作夥伴名稱、 程式庫路徑和 保護品質的 SCN 詳細資料，如下所示，然後啟動掃描：

      

   6. JCo 程式庫路徑：指定 JCo 程式庫所在的目錄路徑，例如： D:\Drivers\SAPJCo。 請確定自我裝載整合執行階段可存取路徑，請深入瞭解必要 條件一節。

      1. 針對本機電腦上的自我裝載整合執行階段： D:\Drivers\SAPJCo。 這是有效 JAR 資料夾位置的路徑。 此值必須是有效的絕對檔案路徑，且不包含空格。 請確定驅動程式可由自我裝載整合執行階段存取;深入瞭解 先 決條件 一節。
      2. 針對 Kubernetes 支援的自我裝載整合執行階段： ./drivers/SAPJCo。 這是有效 JAR 資料夾位置的路徑。 此值必須是有效的相對檔案路徑。 請參閱文件以 設定使用外部驅動程式進行掃描 ，以便提前上傳驅動程式。

   7. 最大可用記憶體：掃描程序在自託管Integration Runtime機器上可用的最大記憶體 (（以 GB 為單位) 。 這取決於要掃描的 SAP ECC 來源大小。 建議提供大型可用記憶體，例如 100。

      

6. 選取 [繼續]。

7. 選擇您的 掃描觸發器。 您可以設定排程或執行掃描一次。

8. 檢閱您的掃描，然後選取儲存並執行。

檢視掃描和掃描執行

若要檢視現有掃描：

1. 移至 Microsoft Purview 入口網站。 在左窗格中，選取 資料對應。
2. 選取資料來源。 您可以在 「最近掃描」下檢視該資料來源上現有的掃描清單，也可以在 「掃描」 標籤上檢視所有掃描。
3. 選取具有您要檢視結果的掃描。 窗格會顯示所有先前的掃描執行，以及每個掃描執行的狀態和度量。
4. 選取執行 ID 以檢查 掃描執行詳細資料。

管理您的掃描

若要編輯、取消或刪除掃描：

1. 移至 Microsoft Purview 入口網站。 在左窗格中，選取 資料對應。

2. 選取資料來源。 您可以在 「最近掃描」下檢視該資料來源上現有的掃描清單，也可以在 「掃描」 標籤上檢視所有掃描。

3. 選取您要管理的掃描。 然後您可以：

   • 選取編輯 掃描，以編輯掃描。
   • 選取 [取消掃描執行] 來取消進行中的掃描。
   • 選取 [刪除掃描] 來刪除掃描。

譜系

掃描 SAP ECC 來源之後，您可以瀏覽整合式目錄或搜尋整合式目錄以檢視資產詳細資料。

轉到資產 -> 譜系選項卡，您可以在適用時查看資產關係。 請參閱支援的 SAP ECC 譜系案例的 支援功能 一節。 如需有關譜系的詳細資訊，請參閱 資料譜系 和 譜系使用者指南。

後續步驟

現在您已註冊來源，請遵循下列指南，以深入瞭解 Microsoft Purview 和您的數據。

• Microsoft Purview 中的資料資產深入解析
• Microsoft Purview 中的譜系
• 搜尋整合式目錄