Použití protokolu Kerberos pro jednotné přihlašování k SAP HANA

  • Článek

Důležité

Vzhledem k tomu, že SAP už OpenSSL nepodporuje, Společnost Microsoft také ukončila podporu. Vaše stávající připojení nadále fungují, ale už nemůžete vytvářet nová připojení. Místo toho použijte kryptografickou knihovnu SAP (CommonCryptoLib) nebo sapcrypto.

Tento článek popisuje, jak nakonfigurovat zdroj dat SAP HANA tak, aby umožňoval jednotné přihlašování z služba Power BI.

Poznámka:

Než se pokusíte aktualizovat sestavu založenou na SAP HANA, která používá jednotné přihlašování kerberos, proveďte kroky v tomto článku a nakonfigurujte jednotné přihlašování kerberos.

Povolení jednotného přihlašování pro SAP HANA

Pokud chcete povolit jednotné přihlašování pro SAP HANA, postupujte takto:

  1. Ujistěte se, že na serveru SAP HANA běží požadovaná minimální verze, která závisí na úrovni platformy serveru SAP HANA:

  2. Na počítači brány nainstalujte nejnovější ovladač SAP HANA ODBC. Minimální verze je HANA ODBC verze 2.00.020.00 od srpna 2017.

  3. Ujistěte se, že je server SAP HANA nakonfigurovaný pro jednotné přihlašování založené na protokolu Kerberos. Další informace o nastavení jednotného přihlašování pro SAP HANA pomocí protokolu Kerberos najdete v tématu Jednotné přihlašování pomocí protokolu Kerberos. Podívejte se také na odkazy z této stránky, zejména 1837331 SAP Note – HOWTO HANA DBSSO Kerberos/Active Directory.

Doporučujeme také postupovat podle těchto dodatečných kroků, které můžou přinést malé zlepšení výkonu:

  1. V instalačním adresáři brány vyhledejte a otevřete tento konfigurační soubor: Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config.

  2. FullDomainResolutionEnabled Vyhledejte vlastnost a změňte její hodnotu na True.

    <setting name=" FullDomainResolutionEnabled " serializeAs="String">
      <value>True</value>
</setting>

  3. Spusťte sestavu Power BI.

Odstraňování potíží

Tato část obsahuje pokyny pro řešení potíží s používáním protokolu Kerberos pro jednotné přihlašování (SSO) k SAP HANA v služba Power BI. Pomocí těchto kroků pro řešení potíží můžete sami diagnostikovat a opravit mnoho problémů, ke kterým může dojít.

Pokud chcete postupovat podle kroků v této části, musíte shromáždit protokoly brány.

Chyba TLS/SSL (certifikát)

Tento problém má několik příznaků.

  • Když se pokusíte přidat nový zdroj dat, může se zobrazit chyba podobná následující zprávě:

    Unable to connect: We encountered an error while trying to connect to.
Details: "We could not register this data source for any gateway
instances within this cluster.
Please find more details below about specific errors for each gateway instance."

  • Při pokusu o vytvoření nebo aktualizaci sestavy se může zobrazit následující chybová zpráva:

    Screenshot of a 'Cannot load model' troubleshooting TLS/SSL error window.

  • Při zkoumání Mashup[date]*.log se zobrazí následující chybová zpráva:

    A connection was successfully established with the server, 
but then an error occurred during the login process and 
the certificate chain was issued by an authority that is not trusted.

Rozlišení

Pokud chcete tuto chybu TLS/SSL vyřešit, přejděte do připojení ke zdroji dat a v části Ověření certifikátu serveru zakažte nastavení, jak je znázorněno na následujícím obrázku:

Screenshot of resolving TLS/SSL error window by disabling the certificate.

Po zakázání tohoto nastavení se už chybová zpráva nezobrazí.

Zosobnění

Položky protokolu pro zosobnění obsahují položky podobné:

About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation).

Důležitým prvkem v této položce protokolu jsou informace, které se zobrazí po ImpersonationLevel: položce. Jakákoli hodnota odlišná od Impersonation odhalení, že se zosobnění neprojevuje správně.

Rozlišení

Správně můžete nastavit ImpersonationLevel podle pokynů v části Udělení oprávnění k místním zásadám účtu služby brány pro bránu.

Po změně konfiguračního souboru restartujte službu brány, aby se změna projevila.

Ověření

Aktualizujte nebo vytvořte sestavu a pak shromážděte protokoly brány. Otevřete nejnovější soubor GatewayInfo a zkontrolujte následující řetězec: About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation). Ujistěte se, že ImpersonationLevel nastavení vrátí Impersonation.

Delegování

Problémy s delegování se obvykle zobrazují v služba Power BI jako obecné chyby. Pokud chcete zajistit, aby problém s delegování nebyl, shromážděte trasování Wireshark a jako filtr použijte Kerberos . Další informace o wiresharku a informace o chybách protokolu Kerberos najdete v tématu Chyby protokolu Kerberos v zachytávání sítě.

Následující příznaky a kroky pro řešení potíží můžou pomoct napravit některé běžné problémy.

Problémy s hlavním názvy služby (SPN)

Pokud se zobrazí následující chyba: The import [table] matches no exports. Did you miss a module reference?: při zkoumání mashup[date]*.log dochází k problémům s hlavním názvem služby (SPN).

Při dalším zkoumání pomocí trasování Wireshark se zobrazí chyba KRB4KDC_ERR_S_PRINCIPAL_UNKOWN, což znamená, že hlavní název služby (SPN) nebyl nalezen nebo neexistuje. Následující obrázek ukazuje příklad:

Screenshot showing a service principal name error.

Rozlišení

Pokud chcete vyřešit problémy SPN, jako je tento problém, musíte přidat hlavní název služby (SPN) do účtu služby. Další informace najdete v dokumentaci k SAP v tématu Konfigurace protokolu Kerberos pro hostitele databází SAP HANA.

Kromě toho postupujte podle pokynů k řešení popsaných v další části.

Problémy s žádnými přihlašovacími údaji

K tomuto problému nemusí být jasné příznaky. Při zkoumání mashup[date]*.log se zobrazí následující chyba:

29T20:21:34.6679184Z","Action":"RemoteDocumentEvaluator/RemoteEvaluation/HandleException","HostProcessId":"1396","identity":"DirectQueryPool","Exception":"Exception:\r\nExceptionType: Microsoft.Mashup.Engine1.Runtime.ValueException, Microsoft.MashupEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35\r\nMessage:

Při dalším prozkoumání stejného souboru se zobrazí následující (neužitečné) chyba:

No credentials are available in the security package

Zachycení trasování Wiresharku odhalí následující chybu: KRB5KDC_ERR_BADOPTION.

Screenshot showing a 'No credentials error'.

Tyto chyby obvykle znamenají, že soubor SPN hdb/hana2-s4-sso2.westus2.cloudapp.azure.com byl nalezen, ale není ve službách, ke kterým tento účet může v podokně Delegování v účtu služby Brány prezentovat seznam delegovaných přihlašovacích údajů.

Rozlišení

Pokud chcete problém bez přihlašovacích údajů vyřešit, postupujte podle kroků popsaných v tématu Konfigurace omezeného delegování protokolu Kerberos. Po správném dokončení se na kartě delegování na účtu služby brány zobrazí soubor HansaWorld Database (HDB) a plně kvalifikovaný název domény (FQDN) v seznamu služeb, ke kterým může tento účet prezentovat delegovaná pověření.

Ověření

Při řešení tohoto problému byste měli postupovat podle předchozích kroků. Pokud stále dochází k problémům s protokolem Kerberos, může dojít k chybné konfiguraci brány Power BI nebo samotného serveru HANA.

Chyby přihlašovacích údajů

Pokud dojde k chybám přihlašovacích údajů, chyby v protokolech nebo trasování zveřejňují chyby, které popisují Credentials are invalid nebo podobné chyby. Tyto chyby se můžou projevit jinak na straně zdroje dat připojení, jako je SAP HANA. Následující obrázek ukazuje ukázkovou chybu:

Screenshot showing an invalid credentials error.

Příznak 1

V trasování ověřování HANA se můžou zobrazit položky podobné následující zprávě:

[Authentication|manager.cpp:166] Kerberos: Using Service Principal 
Name johnny@contoso.com@CONTOSO.COM with name type: GSS_KRB5_NT_PRINCIPAL_NAME 
[Authentication|methodgssinitiator.cpp:367] Got principal name: 
johnny@contoso.com@CONTOSO.COM

Rozlišení

Postupujte podle pokynů popsaných v tématu Nastavení parametrů konfigurace mapování uživatelů na počítači brány, i když jste už nakonfigurovali službu Microsoft Entra Připojení.

Ověření

Po dokončení ověření můžete sestavu úspěšně načíst do služba Power BI.

Příznak 2

V trasování ověřování HANA se můžou zobrazit položky podobné následující položce:

Authentication ManagerAcceptor.cpp(00233) : Extending list of expected
external names by johnny@CONTOSO.COM (method: GSS) Authentication 
AuthenticationInfo.cpp(00168) : ENTER getAuthenticationInfo 
(externalName=johnny@CONTOSO.COM) Authentication AuthenticationInfo.cpp(00237) : 
Found no user with expected external name!

Rozlišení

Zkontrolujte externí ID Kerberos v rámci uživatele HANA a zjistěte, jestli se ID shodují správně.

Ověření

Po vyřešení tohoto problému můžete v služba Power BI vytvářet nebo aktualizovat sestavy.

Související obsah

Další informace o místní bráně dat a DirectQuery najdete v následujících zdrojích informací: