Sap Principal Propagálás engedélyezése élő OData-hírcsatornákhoz a Power Queryvel
Az SAP-adatkészletek Használata a Microsoft Excelben vagy a Power BI-ban gyakori követelmény az ügyfelek számára.
Ez a cikk azokat a konfigurációkat és összetevőket ismerteti, amelyek szükségesek az SAP-adathalmazok OData-on keresztüli használatához a Power Queryvel. Az SAP-adatintegráció azért tekinthető "élőnek " , mert frissíthető olyan ügyfelekről, mint például a Microsoft Excel vagy a Power BI igény szerint, ellentétben például az adatexportálásokkal (például az SAP List Viewer (ALV) CSV-exportálásokkal). Ezek az exportálások természetükből adódóan statikusak, és nincs folyamatos kapcsolatuk az adat eredetével.
A cikk a végfelhasználók közötti leképezésre helyezi a hangsúlyt a Power Query ismert Microsoft Entra-identitása és az SAP háttérfelhasználója között. Ezt a mechanizmust gyakran sap principal propagálásnak is nevezik.
A leírt konfiguráció középpontjában az Azure API Management, az SAP Gateway, az AS ABAP és OData forrásokkal rendelkező SAP OAuth 2.0-kiszolgáló áll, de a használt fogalmak minden webalapú erőforrásra érvényesek.
Fontos
Megjegyzés: Az SAP egyszerű propagálása biztosítja a felhasználók hozzárendelését a licenccel rendelkező SAP-felhasználóhoz. Az SAP-licencekkel kapcsolatos kérdésekért forduljon az SAP-képviselőhöz.
Az SAP-integrációval rendelkező Microsoft-termékek áttekintése
Az SAP-termékek és a Microsoft 365-portfólió integrációja az egyéni kódoktól és a partner bővítményektől a teljesen testre szabott Office-termékekig terjed. Íme néhány példa:
A cikkben ismertetett mechanizmus a Power Query szabványos beépített OData-képességeit használja, és az Azure-ban üzembe helyezett SAP-környezetekre helyezi a hangsúlyt. A helyszíni környezetek kezelése az Azure API Management saját üzemeltetésű átjárójával.
További információ arról, hogy mely Microsoft-termékek támogatják általában a Power Queryt, tekintse meg a Power Query dokumentációját.
Beállítási szempontok
A végfelhasználók választhatnak a helyi asztali vagy webes ügyfelek (például az Excel vagy a Power BI) között. Az ügyfél-végrehajtási környezetet figyelembe kell venni az ügyfélalkalmazás és a cél SAP-számítási feladat közötti hálózati útvonalhoz. A vpn-hez hasonló hálózati hozzáférési megoldások nem tartoznak az olyan alkalmazások hatókörébe, mint a Webes Excel.
Az Azure API Management a helyi és webes környezet igényeit tükrözi, különböző üzembe helyezési módokkal, amelyek az Azure-környezetekre (belső vagy külső) alkalmazhatók. Internal olyan példányokra hivatkozik, amelyek teljes mértékben magánhálózatra korlátozódnak, míg external az Azure API Managementhez való nyilvános hozzáférést megtartja. A helyszíni telepítések hibrid üzembe helyezést igényelnek a saját üzemeltetésű Azure API Management-átjáróhoz hasonlóan.
A Power Queryhez egyező API-szolgáltatás URL-címe és a Microsoft Entra-alkalmazásazonosító URL-címe szükséges. Konfiguráljon egy egyéni tartományt az Azure API Managementhez , hogy megfeleljen a követelménynek.
Az SAP Gatewayt úgy kell konfigurálni, hogy elérhetővé tegye a kívánt cél OData-szolgáltatásokat. Az elérhető szolgáltatások felderítése és aktiválása SAP-tranzakciókódon /IWFND/MAINT_SERVICEkeresztül. További információkért lásd az SAP OData-konfigurációját.
Egyéni Azure API Management-tartománykonfiguráció
Az alábbi képernyőképen egy példakonfiguráció látható az API Managementben egy felügyelt tanúsítvánnyal és Azure-alkalmazás szolgáltatástartományral hívott api.custom-apim.domain.com egyéni tartomány használatával. További tartományi tanúsítványbeállításokért tekintse meg az Azure API Management dokumentációját.
Végezze el az egyéni tartomány beállítását a tartománykövetelményeknek megfelelően. További információkért tekintse meg az egyéni tartomány dokumentációját. A tartománynév tulajdonjogának igazolásához és a tanúsítványhoz való hozzáférés biztosításához adja hozzá ezeket a DNS-rekordokat a Azure-alkalmazás szolgáltatástartományhoz custom-apim.domain.com az alábbiak szerint:
Az Azure API Management-bérlő megfelelő Microsoft Entra-alkalmazásregisztrációja az alábbihoz hasonlóan fog kinézni.
Megjegyzés:
Ha az Azure API Management egyéni tartománya nem választható, ehelyett egyéni Power Query-Csatlakozás ort kell használnia.
Azure API Management policy design for Power Query
Használja ezt az Azure API Management-szabályzatot a cél OData API-hoz a Power Query hitelesítési folyamatának támogatásához. Lásd alább a szabályzat egy kódrészletét, amely a hitelesítési mechanizmust emeli ki. Itt találja a Power Query használt ügyfél-azonosítóját.
<!-- if empty Bearer token supplied assume Power Query sign-in request as described [here:](/power-query/connectorauthentication#supported-workflow) -->
<when condition="@(context.Request.Headers.GetValueOrDefault("Authorization","").Trim().Equals("Bearer"))">
<return-response>
<set-status code="401" reason="Unauthorized" />
<set-header name="WWW-Authenticate" exists-action="override">
<!-- Check the client ID for Power Query [here:](/power-query/connectorauthentication#supported-workflow) -->
<value>Bearer authorization_uri=https://login.microsoftonline.com/{{AADTenantId}}/oauth2/authorize?response_type=code%26client_id=a672d62c-fc7b-4e81-a576-e60dc46e951d</value>
</set-header>
</return-response>
</when>
A szervezeti fiók bejelentkezési folyamatának támogatása mellett a szabályzat támogatja az OData URL-válaszok újraírását, mivel a célkiszolgáló eredeti URL-címekkel válaszol. Lásd alább az említett szabályzat egy kódrészletét:
<!-- URL rewrite in body only required for GET operations -->
<when condition="@(context.Request.Method == "GET")">
<!-- ensure downstream API metadata matches Azure API Management caller domain in Power Query -->
<find-and-replace from="@(context.Api.ServiceUrl.Host +":"+ context.Api.ServiceUrl.Port + context.Api.ServiceUrl.Path)" to="@(context.Request.OriginalUrl.Host + ":" + context.Request.OriginalUrl.Port + context.Api.Path)" />
</when>
Megjegyzés:
Az internetről és az SAP szegélyhálózatának kialakításából származó biztonságos SAP-hozzáféréssel kapcsolatos további információkért tekintse meg ezt az útmutatót. Az SAP API-k Azure-ral való biztonságossá tételével kapcsolatban tekintse meg ezt a cikket.
SAP OData-hitelesítés a Power Queryn keresztül az Excel Desktopban
A megadott konfigurációval a Power Query beépített hitelesítési mechanizmusa elérhetővé válik a közzétett OData API-k számára. Adjon hozzá egy új OData-forrást az Excel-munkalaphoz az Adat menüszalagon keresztül (Adatok lekérése –> Más forrásokból –> OData-hírcsatornából). A célszolgáltatás URL-címének karbantartása. Az alábbi példa az SAP Gateway demószolgáltatást GWSAMPLE_BASIC használja. Felderítheti vagy aktiválhatja az SAP-tranzakcióval /IWFND/MAINT_SERVICE. Végül adja hozzá az Azure API Managementhez a hivatalos OData-importálási útmutató használatával.
Kérje le az alap URL-címet, és szúrja be a célalkalmazásba. Az alábbi példa az Excel Desktop integrációs felületét mutatja be.
Váltson a bejelentkezési módszerre szervezeti fiókra, és kattintson a Bejelentkezés gombra. Adja meg azt a Microsoft Entra-fiókot, amely az SAP Gateway nevesített SAP-felhasználója számára van leképezve az SAP-átjárón az SAP Principal Propagálás használatával. A konfigurációval kapcsolatos további információkért tekintse meg ezt a Microsoft-oktatóanyagot. További információ az SAP egyszerű propagálásáról ebben az SAP-közösségi bejegyzésben és ebben a videósorozatban.
Továbbra is megadhatja, hogy a Power Query milyen szinten alkalmazza a hitelesítési beállításokat az Excelben. Az alábbi példa egy olyan beállítást mutat be, amely a cél SAP-rendszeren üzemeltetett összes OData-szolgáltatásra vonatkozik (nem csak a mintaszolgáltatásra GWSAMPLE_BASIC).
Megjegyzés:
Az alábbi képernyő URL-szintjén megadott engedélyezési hatókör független az SAP háttérrendszerén található tényleges engedélyekétől. Az SAP Gateway marad a leképezett sap-felhasználó összes kérésének és társított hitelesítésének végső érvényesítője.
Fontos
A fenti útmutató az érvényes hitelesítési jogkivonat Microsoft Entra-azonosítóból a Power Queryn keresztüli beszerzésének folyamatára összpontosít. Ezt a jogkivonatot tovább kell feldolgozni az SAP-egyszerű propagáláshoz.
SAP-egyszerű propagálás konfigurálása az Azure API Managementtel
Használja ezt a második Azure API Management-szabályzatot az SAP-hoz az SAP egyszerű propagálásának konfigurálásához a középső rétegen. Az SAP Gateway háttérrendszerének konfigurálásáról további információt ebben a Microsoft-oktatóanyagban talál.
Megjegyzés:
További információ az SAP egyszerű propagálásáról ebben az SAP-közösségi bejegyzésben és ebben a videósorozatban.
A szabályzat a Microsoft Entra ID és az SAP Gateway közötti SSO-beállításra támaszkodik (használja a Microsoft Entra katalógusából származó SAP NetWeavert). Lásd alább egy példát Adele Vance demo-felhasználóval. A Microsoft Entra ID és az SAP rendszer közötti felhasználóleképezés az egyszerű felhasználónév (UPN) alapján történik egyedi felhasználói azonosítóként.
Az UPN-megfeleltetés az SAP háttérrendszerén az SAML2 tranzakcióval van fenntartva.
Ennek a konfigurációnak megfelelően az SAP-felhasználók le lesznek képezve az adott Microsoft Entra-felhasználóhoz. Lásd alább az SAP háttérrendszerének su01 tranzakciós kóddal történő példakonfigurációját.
A szükséges, AS ABAP-konfigurációval rendelkező SAP OAuth 2.0-kiszolgálóval kapcsolatos további információkért tekintse meg ezt a Microsoft-oktatóanyagot az SSO-ról az SAP NetWeaver használatával az OAuth használatával.
A leírt Azure API Management-szabályzatok használatával bármely Power Query-kompatibilis Microsoft-termék meghívhatja az SAP által üzemeltetett OData-szolgáltatásokat, miközben tiszteletben tartja az SAP által elnevezett felhasználóleképezést.
SAP OData-hozzáférés más Power Query-kompatibilis alkalmazásokon és szolgáltatásokon keresztül
A fenti példa az Excel Desktop folyamatát mutatja be, de a megközelítés minden Power Query OData-kompatibilis Microsoft-termékre alkalmazható. A Power Query OData-összekötőjével és az azt támogató termékeivel kapcsolatos további információkért tekintse meg a Power Query Csatlakozás ors dokumentációját. További információ arról, hogy mely termékek támogatják általában a Power Queryt, tekintse meg a Power Query dokumentációját.
Népszerű felhasználók a Power BI, a Webes Excel, a Power Apps (Adatfolyamok) és az Analysis Service.
SAP-visszaírási forgatókönyvek kezelése a Power Automate-lel
A leírt megközelítés a visszaírási forgatókönyvekre is alkalmazható. A Power Automate használatával például frissíthet egy üzleti partnert az SAP-ban az OData használatával a http-kompatibilis összekötőkkel (vagy használhatja az RFC-ket vagy BAPI-kat). Az alábbiakban egy Power BI szolgáltatás irányítópultot láthat, amely értékalapú riasztások és egy gomb segítségével csatlakozik a Power Automate-hez (a képernyőképen kiemelve). További információ a Folyamatok Power BI-jelentésekből való aktiválásáról a Power Automate dokumentációjában.
A kiemelt gomb elindít egy folyamatot, amely továbbítja az OData PATCH-kérelmet az SAP Gatewaynek az üzleti partneri szerepkör módosításához.
Megjegyzés:
Az SAP-hoz készült Azure API Management-szabályzattal kezelheti a hitelesítést, a frissítési jogkivonatokat, a CSRF-jogkivonatokat és a jogkivonatok teljes gyorsítótárazását a folyamaton kívül.
Következő lépések
Megtudhatja, hol használhatja az OData-t a Power Queryvel
SAP OData API-k használata az Azure API Managementben
Az Azure API Management konfigurálása SAP API-khoz
Oktatóanyag: Értékesítési adatok elemzése az Excelből és egy OData-hírcsatornából
API-k védelme az Application Gateway és az API Management használatával
Az API Management integrálása belső virtuális hálózatba az Application Gateway használatával
Az SAP-hoz készült Azure-alkalmazás átjáró- és webalkalmazási tűzfal ismertetése
API-üzemelő példányok automatizálása az APIOps használatával