Använda Kerberos för enkel inloggning för att SAP HANA

  • Artikel
  • 5 minuter för att läsa

Viktigt

Eftersom SAP inte längre stöder OpenSSL har Microsoft också upphört med sin support. Dina befintliga anslutningar fortsätter att fungera, men du kan inte längre skapa nya anslutningar. Använd SAP Cryptographic Library (CommonCryptoLib) eller sapcrypto i stället.

Den här artikeln beskriver hur du konfigurerar din SAP HANA datakälla för att aktivera enkel inloggning (SSO) från Power BI-tjänst.

Anteckning

Innan du försöker uppdatera en SAP HANA-baserad rapport som använder enkel inloggning med Kerberos slutför du stegen i både den här artikeln och Konfigurera enkel inloggning med Kerberos.

Aktivera enkel inloggning för SAP HANA

Om du vill aktivera enkel inloggning för SAP HANA gör du följande:

  1. Kontrollera att SAP HANA-servern har den lägsta version som krävs, vilket beror på nivån för SAP HANA-serverplattformen:

  2. Installera den senaste SAP HANA ODBC-drivrutinen på gatewaydatorn. Den lägsta möjliga versionen är HANA ODBC version 2.00.020.00 från augusti 2017.

  3. Kontrollera att SAP HANA-servern har konfigurerats för Kerberos-baserad enkel inloggning. Mer information om hur du konfigurerar enkel inloggning för SAP HANA med hjälp av Kerberos finns i Enkel inloggning med Kerberos i säkerhetsguiden för SAP HANA. Se även länkarna på sidan, särskilt SAP-kommentaren 1837331 – HOWTO HANA DBSSO Kerberos/Active Directory.

Vi rekommenderar också att du följer de här extra stegen, vilket kan ge en liten prestandaförbättring:

  1. Leta upp och öppna den här konfigurationsfilen i gatewayinstallationskatalogen: Microsoft.PowerBI.DataMovement.Pipeline.GatewayCore.dll.config.

  2. Leta FullDomainResolutionEnabled efter egenskapen och ändra dess värde till True.

    <setting name=" FullDomainResolutionEnabled " serializeAs="String">
      <value>True</value>
</setting>

  3. Kör en Power BI rapport.

Felsöka

Det här avsnittet innehåller omfattande instruktioner för felsökning med Kerberos för enkel inloggning (SSO) för att SAP HANA i Power BI-tjänst. Med hjälp av de här felsökningsstegen kan du själv diagnostisera och åtgärda eventuella problem.

Verifiera och felsöka gatewayfel

Om du vill följa stegen i det här avsnittet måste du samla in gatewayloggar.

SSL-fel (certifikat)

Felsymtom

Det här problemet har flera symptom.

  • När du försöker lägga till en ny datakälla kan du se ett felmeddelande som liknar följande:

    Unable to connect: We encountered an error while trying to connect to . Details: "We could not register this data source for any gateway instances within this cluster. Please find more details below about specific errors for each gateway instance."

  • När du försöker skapa eller uppdatera en rapport kan följande felmeddelande visas:

    Screenshot of a 'Cannot load model' troubleshooting SSL error window.

  • När du undersöker Mashup[date]*.log visas följande felmeddelande:

    A connection was successfully established with the server, but then an error occurred during the login process and The certificate chain was issued by an authority that is not trusted.

Lösning

Lös det här SSL-felet genom att gå till anslutningen till datakällan och sedan inaktivera inställningen i avsnittet Verifiera servercertifikat enligt följande bild:

Screenshot of resolving S S L error window by disabling the certificate.

När du har inaktiverat den här inställningen visas inte längre felmeddelandet.

Personifiering

Symptom

Loggposter för personifiering innehåller poster som liknar följande: About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation).

Det viktiga elementet i den här loggposten är den information som visas efter posten ImpersonationLevel: . Alla värden som skiljer sig från personifiering visar att personifieringen inte sker korrekt.

Lösning

Du kan konfigurera ImpersonationLevel korrekt genom att följa anvisningarna i Bevilja lokal principbehörighet för gatewaytjänstkontot på gatewaydatorn.

När du har ändrat konfigurationsfilen startar du om gatewaytjänsten för att ändringen ska börja gälla.

Validering

Uppdatera eller skapa rapporten och samla sedan in gatewayloggarna. Öppna den senaste GatewayInfo-filen och kontrollera följande sträng: About to impersonate user DOMAIN\User (IsAuthenticated: True, ImpersonationLevel: Impersonation). Kontrollera att inställningen ImpersonationLevel returnerar Personifiering.

Delegering

Symptom

Delegeringsproblem visas vanligtvis i Power BI-tjänst som allmänna fel. Om du vill kontrollera att problemet inte är ett delegeringsproblem samlar du in Wireshark-spårningar och använder Kerberos som ett filter. Mer information om Wireshark och information om Kerberos-fel finns i blogginlägget om Kerberos-fel i nätverksinsamlingar.

Följande symptom och felsökningssteg kan hjälpa dig att åtgärda några vanliga problem.

SPN-problem

Om du ser följande fel: The import [table] matches no exports. Did you miss a module reference?: när du undersöker Mashup[date]*.log har du problem med tjänstens huvudnamn (SPN).

När du undersöker vidare med hjälp av Wireshark-spårningar visar du felet KRB4KDC_ERR_S_PRINCIPAL_UNKOWN, vilket innebär att SPN inte hittades eller inte finns. Följande bild visar ett exempel:

Screenshot showing a service principal name error.

Lösning

För att lösa SPN-problem som detta måste du lägga till ett SPN till ett tjänstkonto. Mer information finns i SAP-dokumentationen i Konfigurera Kerberos för SAP HANA databasvärdar.

Följ dessutom de lösningsinstruktioner som beskrivs i nästa avsnitt.

Inga problem med autentiseringsuppgifter

Det kanske inte finns några tydliga symptom som är associerade med det här problemet. När du undersöker Mashup[date]*.log visas följande fel:

29T20:21:34.6679184Z","Action":"RemoteDocumentEvaluator/RemoteEvaluation/HandleException","HostProcessId":"1396","identity":"DirectQueryPool","Exception":"Exception:\r\nExceptionType: Microsoft.Mashup.Engine1.Runtime.ValueException, Microsoft.MashupEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35\r\nMessage:

När du undersöker samma fil ytterligare visas följande (ohjälpsamma) fel: No credentials are available in the security package.

Att samla in Wireshark-spårningar visar följande fel: KRB5KDC_ERR_BADOPTION.

Screenshot showing a 'No credentials error'.

Dessa fel innebär vanligtvis att filen SPN hdb/hana2-s4-sso2.westus2.cloudapp.azure.com kunde hittas men inte finns i de tjänster som det här kontot kan presentera delegerade autentiseringsuppgifter till i fönstret Delegering i gatewaytjänstkontot.

Lösning

Lös problemet Med inga autentiseringsuppgifter följer du stegen som beskrivs i avsnittet "Konfigurera gatewaytjänstkontot för standardmässig Kerberos-begränsad delegering" i Konfigurera Kerberos-baserad enkel inloggning från Power BI-tjänst till lokala datakällor. När delegeringsfliken har slutförts korrekt på gatewaytjänstkontot visas HDB (HansaWorld Database-filen) och FQDN (fullständigt kvalificerat domännamn) i listan över tjänster som det här kontot kan presentera delegerade autentiseringsuppgifter för.

Validering

Du bör lösa problemet genom att följa stegen ovan. Om du fortfarande får Kerberos-problem kan du ha en felaktig konfiguration i Power BI-gatewayen eller i själva HANA-servern.

Fel med autentiseringsuppgifter

Om du får autentiseringsuppgifter visas fel i loggarna eller spårningarna som beskriver autentiseringsuppgifterna som ogiltiga eller liknande fel. Dessa fel kan visa sig på olika sätt på datakällans sida av anslutningen, till exempel SAP HANA. Följande bild visar ett exempelfel:

Screenshot showing an invalid credentials error.

Symptom 1

I HANA-autentiseringsspårningar kan du se poster som liknar följande:

[Authentication|manager.cpp:166] Kerberos: Using Service Principal Name johnny@on.contoso.com@CONTOSO.COM with name type: GSS_KRB5_NT_PRINCIPAL_NAME [Authentication|methodgssinitiator.cpp:367] Got principal name: johnny@on.contoso.com@CONTOSO.COM

Lösning

Följ anvisningarna som beskrivs i avsnittet "Ange konfigurationsparametrar för användarmappning på gatewaydatorn (om det behövs)" i Konfigurera Kerberos-baserad enkel inloggning från Power BI-tjänst till lokala datakällor, även om du redan har konfigurerat Azure AD Anslut-tjänsten.

Validering

När du har slutfört verifieringen kan du läsa in rapporten i Power BI-tjänst.

Symptom 2

I HANA-autentiseringsspårningar kan du se poster som liknar följande:

Authentication ManagerAcceptor.cpp(00233) : Extending list of expected external names by johnny@CONTOSO.COM (method: GSS) Authentication AuthenticationInfo.cpp(00168) : ENTER getAuthenticationInfo (externalName=johnny@CONTOSO.COM) Authentication AuthenticationInfo.cpp(00237) : Found no user with expected external name!

Lösning

Kontrollera kerberos externa ID under HANA-användare för att avgöra om ID:na matchar korrekt.

Validering

När du har löst problemet kan du skapa eller uppdatera rapporter i Power BI-tjänst.

Nästa steg

Du kan läsa mer om den lokala datagatewayen och DirectQuery i de här resurserna: