Share via

Kerberos gebruiken voor eenmalige aanmelding bij SAP HANA

  • Artikel

Belangrijk

Omdat SAP OpenSSL niet meer ondersteunt, heeft Microsoft ook de ondersteuning stopgezet. Uw bestaande verbindingen blijven werken, maar u kunt geen nieuwe verbindingen meer maken. Gebruik in plaats daarvan SAP Cryptographic Library (CommonCryptoLib) of sapcrypto.

In dit artikel wordt beschreven hoe u uw SAP HANA-gegevensbron configureert om eenmalige aanmelding (SSO) in te schakelen vanuit de Power BI-service.

Notitie

Voordat u probeert een sap HANA-rapport te vernieuwen dat gebruikmaakt van Kerberos SSO, voert u de stappen in dit artikel uit en configureert u eenmalige aanmelding van Kerberos.

Eenmalige aanmelding inschakelen voor SAP HANA

Ga als volgt te werk om eenmalige aanmelding voor SAP HANA in te schakelen:

  1. Zorg ervoor dat de SAP HANA-server de vereiste minimale versie uitvoert, die afhankelijk is van het platformniveau van uw SAP HANA-server:

  2. Installeer op de gatewaycomputer het nieuwste SAP HANA ODBC-stuurprogramma. De minimale versie is HANA ODBC versie 2.00.020.00 van augustus 2017.

  3. Zorg ervoor dat de SAP HANA-server is geconfigureerd voor eenmalige aanmelding op basis van Kerberos. Zie Eenmalige aanmelding met Kerberos voor meer informatie over het instellen van eenmalige aanmelding voor SAP HANA met behulp van Kerberos. Zie ook de koppelingen vanaf die pagina, met name SAP Note 1837331 – HOWTO HANA DBSSO Kerberos/Active Directory.

We raden u ook aan deze extra stappen te volgen, wat een kleine prestatieverbetering kan opleveren:

  1. Zoek en open dit configuratiebestand in de installatiemap van de gateway: Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config.

  2. Zoek naar de eigenschap en wijzig de FullDomainResolutionEnabled waarde ervan in True.

    <setting name=" FullDomainResolutionEnabled " serializeAs="String">
      <value>True</value>
</setting>

  3. Voer een Power BI-rapport uit.

Problemen oplossen

Deze sectie bevat instructies voor het oplossen van problemen met kerberos voor eenmalige aanmelding (SSO) bij SAP HANA in de Power BI-service. Door deze stappen voor probleemoplossing te gebruiken, kunt u zelf vaststellen en veel problemen oplossen die u mogelijk ondervindt.

Als u de stappen in deze sectie wilt volgen, moet u gatewaylogboeken verzamelen.

TLS/SSL-fout (certificaat)

Dit probleem heeft meerdere symptomen.

  • Wanneer u probeert een nieuwe gegevensbron toe te voegen, ziet u mogelijk een foutbericht zoals in het volgende bericht:

    Unable to connect: We encountered an error while trying to connect to.
Details: "We could not register this data source for any gateway
instances within this cluster.
Please find more details below about specific errors for each gateway instance."

  • Wanneer u probeert een rapport te maken of te vernieuwen, ziet u mogelijk het volgende foutbericht:

    Screenshot of a 'Cannot load model' troubleshooting TLS/SSL error window.

  • Wanneer u de Mashup[date]*.log onderzoekt, ziet u het volgende foutbericht:

    A connection was successfully established with the server, 
but then an error occurred during the login process and 
the certificate chain was issued by an authority that is not trusted.

Oplossing

Als u deze TLS/SSL-fout wilt oplossen, gaat u naar de gegevensbronverbinding en schakelt u in de sectie Servercertificaat valideren de instelling uit, zoals wordt weergegeven in de volgende afbeelding:

Screenshot of resolving TLS/SSL error window by disabling the certificate.

Nadat u deze instelling hebt uitgeschakeld, wordt het foutbericht niet meer weergegeven.

Imitatie

Logboekvermeldingen voor imitatie bevatten vermeldingen die vergelijkbaar zijn met:

About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation).

Het belangrijke element in deze logboekvermelding is de informatie die na de ImpersonationLevel: vermelding wordt weergegeven. Elke andere waarde dan Impersonation blijkt dat imitatie niet goed optreedt.

Oplossing

U kunt de juiste instellingen instellen ImpersonationLevel door de instructies te volgen in De lokale beleidsrechten voor het gatewayserviceaccount verlenen op de gateway.

Nadat u het configuratiebestand hebt gewijzigd, start u de gatewayservice opnieuw zodat de wijziging van kracht wordt.

Validatie

Vernieuw of maak het rapport en verzamel vervolgens de gatewaylogboeken. Open het meest recente GatewayInfo-bestand en controleer de volgende tekenreeks: About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation). Zorg ervoor dat de ImpersonationLevel instelling wordt geretourneerd Impersonation.

Delegering

Delegatieproblemen worden meestal weergegeven in de Power BI-service als algemene fouten. Om ervoor te zorgen dat het probleem geen delegatieprobleem is, verzamelt u Wireshark-traceringen en gebruikt u Kerberos als filter. Zie Kerberos-fouten in netwerkopnamen voor meer informatie over Wireshark en voor informatie over Kerberos-fouten.

De volgende symptomen en stappen voor probleemoplossing kunnen helpen bij het oplossen van enkele veelvoorkomende problemen.

SPN-problemen

Als u de volgende fout ziet: The import [table] matches no exports. Did you miss a module reference?: tijdens het onderzoeken van de Mashup[date]*.log, ondervindt u problemen met service-principal name (SPN).

Wanneer u verder onderzoek doet met wireshark-traceringen, onthult u de fout KRB4KDC_ERR_S_PRINCIPAL_UNKOWN, wat betekent dat de SPN niet is gevonden of niet bestaat. In de volgende afbeelding ziet u een voorbeeld:

Screenshot showing a service principal name error.

Oplossing

Als u SPN-problemen zoals dit probleem wilt oplossen, moet u een SPN toevoegen aan een serviceaccount. Zie de SAP-documentatie in Kerberos configureren voor SAP HANA-databasehosts voor meer informatie.

Volg bovendien de oplossingsinstructies die in de volgende sectie worden beschreven.

Geen problemen met referenties

Er zijn mogelijk geen duidelijke symptomen met betrekking tot dit probleem. Wanneer u de Mashup[date]*.log onderzoekt, ziet u de volgende fout:

29T20:21:34.6679184Z","Action":"RemoteDocumentEvaluator/RemoteEvaluation/HandleException","HostProcessId":"1396","identity":"DirectQueryPool","Exception":"Exception:\r\nExceptionType: Microsoft.Mashup.Engine1.Runtime.ValueException, Microsoft.MashupEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35\r\nMessage:

Wanneer u hetzelfde bestand verder onderzoekt, wordt de volgende (niet-helpende) fout weergegeven:

No credentials are available in the security package

Bij het vastleggen van Wireshark-traceringen wordt de volgende fout weergegeven: KRB5KDC_ERR_BADOPTION.

Screenshot showing a 'No credentials error'.

Deze fouten betekenen meestal dat het BESTAND SPN hdb/hana2-s4-sso2.westus2.cloudapp.azure.com kan worden gevonden, maar zich niet in de services bevindt waarvoor dit account gedelegeerde referenties kan weergeven in het deelvenster Delegatie in het gatewayserviceaccount.

Oplossing

Volg de stappen die worden beschreven in Beperkte Kerberos-delegering configureren om het probleem met geen referenties op te lossen. Wanneer dit goed is voltooid, weerspiegelt het delegatietabblad op het gatewayserviceaccount het HDB-bestand (HansaWorld Database) en de FQDN (Fully Qualified Domain Name) in de lijst met services waarvoor dit account gedelegeerde referenties kan presenteren.

Validatie

Door de voorgaande stappen uit te voeren, moet het probleem worden opgelost. Als u nog steeds Kerberos-problemen ondervindt, hebt u mogelijk een onjuiste configuratie in de Power BI-gateway of in de HANA-server zelf.

Referentiesfouten

Als u referentiesfouten ondervindt, worden fouten in de logboeken of traceringen weergegeven die fouten beschrijven Credentials are invalid of vergelijkbare fouten. Deze fouten kunnen zich anders voordoen aan de gegevensbronzijde van de verbinding, zoals SAP HANA. In de volgende afbeelding ziet u een voorbeeldfout:

Screenshot showing an invalid credentials error.

Symptoom 1

In HANA-verificatietraceringen ziet u mogelijk vermeldingen die vergelijkbaar zijn met het volgende bericht:

[Authentication|manager.cpp:166] Kerberos: Using Service Principal 
Name johnny@contoso.com@CONTOSO.COM with name type: GSS_KRB5_NT_PRINCIPAL_NAME 
[Authentication|methodgssinitiator.cpp:367] Got principal name: 
johnny@contoso.com@CONTOSO.COM

Oplossing

Volg de instructies die worden beschreven in configuratieparameters voor gebruikerstoewijzing instellen op de gatewaycomputer, zelfs als u de Microsoft Entra Verbinding maken-service al hebt geconfigureerd.

Validatie

Nadat u de validatie hebt voltooid, kunt u het rapport laden in de Power BI-service.

Symptoom 2

In HANA-verificatietraceringen ziet u mogelijk vermeldingen die vergelijkbaar zijn met de volgende vermelding:

Authentication ManagerAcceptor.cpp(00233) : Extending list of expected
external names by johnny@CONTOSO.COM (method: GSS) Authentication 
AuthenticationInfo.cpp(00168) : ENTER getAuthenticationInfo 
(externalName=johnny@CONTOSO.COM) Authentication AuthenticationInfo.cpp(00237) : 
Found no user with expected external name!

Oplossing

Controleer de externe Kerberos-id onder HANA-gebruiker om te bepalen of de id's correct overeenkomen.

Validatie

Nadat u het probleem hebt opgelost, kunt u rapporten maken of vernieuwen in de Power BI-service.

Gerelateerde inhoud

Zie de volgende bronnen voor meer informatie over de on-premises gegevensgateway en DirectQuery: