Microsoft Purview で SAP Business Warehouse に接続して管理する

この記事では、SAP Business Warehouse (BW) を登録する方法と、Microsoft Purview で SAP BW を認証して操作する方法について説明します。 Microsoft Purview の詳細については、 入門記事を参照してください。

サポートされている機能

スキャン機能

サポートされている SAP BW バージョンは 7.3 から 7.5 です。 SAP BW/4HANA はサポートされていません。

SAP BW ソースをスキャンする場合、Microsoft Purview では次のような技術的なメタデータの抽出がサポートされます。

• インスタンス
• InfoArea
• InfoSet
• InfoSet クエリ
• クラシック インフォセット
• 測定単位、時間特性、ナビゲーション属性、データ パケット特性、通貨、特性、フィールド、キー数値を含むインフォオブジェクト
• InfoObject 属性と主キーのスキーマを含むデータ ストア オブジェクト (DSO)
• InfoObject 属性と主キーのスキーマを含む高度なデータ ストア オブジェクト (ADSO)
• 集計レベル
• ハブの宛先を開く
• クエリ条件を含むクエリ
• クエリ ビュー
• HybridProvider
• MultiProvider
• InfoCube
• Aggregate
• Dimension
• 時間ディメンション

その他の機能

分類、秘密度ラベル、ポリシー、データ系列、ライブ ビューについては、サポートされている機能の一覧を参照してください。

既知の制限

• オブジェクトがデータ ソースから削除された場合、現在、後続のスキャンでは、Microsoft Purview の対応する資産は自動的に削除されません。
• sap_bw_queryの下に抽出できるのは、sap_bw_query_conditionだけです。

前提条件

• アクティブなサブスクリプションを持つ Azure アカウント。 無料でアカウントを作成します。

• アクティブな Microsoft Purview リソース。

• ソースを登録し、従来の Microsoft Purview ガバナンス ポータルで管理するには、データ ソース管理者とデータ 閲覧者のアクセス許可が必要です。 アクセス許可の詳細については、「 Microsoft Purview でのアクセス制御」を参照してください。

• 初めてスキャンを作成する場合は、SAP サーバーに汎用モジュールを作成する必要があります。 Microsoft Purview では、モジュールを作成するために、Microsoft Purview データ マップの資産ページにいくつかのコードが用意されています。 このコードをダウンロードするには、データ マップのルート コレクションに対するデータ ソース管理者のアクセス許可が必要です。

• シナリオに適した統合ランタイムを設定します。

  • セルフホステッド統合ランタイムを使用するには:
    • 記事に従って、セルフホステッド統合ランタイムを作成して構成します。
    • セルフホステッド統合ランタイムがインストールされているマシンに JDK 11 がインストールされていることを確認します。 JDK を新しくインストールして有効にした後、マシンを再起動します。
    • セルフホステッド統合ランタイムが実行されているコンピューターに、Visual C++ 再頒布可能パッケージ (バージョン Visual Studio 2012 Update 4 以降) がインストールされていることを確認します。 この更新プログラムがインストールされていない場合は、 今すぐダウンロードしてください。
    • コネクタは、 SAP Java Connector (JCo) 3.0 API を使用して SAP からメタデータを読み取ります。 セルフホステッド統合ランタイムがインストールされているコンピューターで Java コネクタを使用できることを確認します。 環境に適した JCo ディストリビューションを使用し、 sapjco3.jar ファイルと sapjco3.dll ファイルを使用できることを確認します。
  • kubernetes でサポートされているセルフホステッド統合ランタイムを使用するには:
    • 記事に従って、kubernetes でサポートされている統合ランタイムを作成して構成します。
    • コネクタは、 SAP Java Connector (JCo) 3.0 API を使用して SAP からメタデータを読み取ります。 セルフホステッド統合ランタイムがインストールされているコンピューターで Java コネクタを使用できることを確認します。 環境に適した JCo ディストリビューションを使用し、 sapjco3.jar ファイルと sapjco3.dll ファイルを使用できることを確認します。

  注:

  ドライバーには、マシン内のすべてのアカウントからアクセスできる必要があります。 ユーザー アカウントの下のパスに配置しないでください。

  • セルフホステッド統合ランタイムは、ディスパッチャー ポート 32NN とゲートウェイ ポート 33NN を介して SAP サーバーと通信します。NN は 00 から 99 までの SAP インスタンス番号です。 ファイアウォールで送信トラフィックが許可されていることを確認します。

• ABAP 関数のデプロイ ガイドに記載されている手順に従って、SAP サーバーにメタデータ抽出 ABAP 関数モジュールをデプロイします。 SAP サーバーで RFC 汎用モジュールを作成するには、ABAP 開発者アカウントが必要です。 スキャンを実行するには、ユーザー アカウントで SAP サーバーに接続し、次の RFC 関数モジュールを実行するための十分なアクセス許可が必要です。

  • STFC_CONNECTION (チェック接続)
  • RFC_SYSTEM_INFO (チェック システム情報)
  • OCS_GET_INSTALLED_COMPS (チェック ソフトウェア バージョン)
  • Z_MITI_BW_DOWNLOAD (メタデータのインポートメイン、Purview ガイドに従って作成する関数モジュール)

  基になる SAP Java Connector (JCo) ライブラリは、より多くの RFC 関数モジュール (など) を呼び出す場合があります。 RFC_PING、RFC_METADATA_GET。 詳細については、「 SAP サポート ノート 460089 」を参照してください。

登録

このセクションでは、従来の Microsoft Purview ガバナンス ポータルを使用して Microsoft Purview に SAP BW を登録する方法について説明します。

登録の認証

SAP BW ソースでサポートされている認証は、 基本認証のみです。

登録手順

1. 次の方法で、従来の Microsoft Purview ガバナンス ポータルを開きます。

   • https://web.purview.azure.comに直接移動し、Microsoft Purview アカウントを選択します。
   • Azure portalを開き、Microsoft Purview アカウントを検索して選択します。 [Microsoft Purview ガバナンス ポータル] ボタンを選択します。

2. 左側のナビゲーションで [ データ マップ ] を選択します。

3. [登録] を選択します。

4. [ ソースの登録] で、[SAP BW>Continue] を選択します。

[ ソースの登録 (SAP BW)] 画面で 、次の操作を行います。

1. カタログ内にデータ ソースが一覧表示される 名前 を入力します。

2. SAP BW ソースに接続する アプリケーション サーバー 名を入力します。 また、SAP アプリケーション サーバー ホストの IP アドレスを指定することもできます。

3. SAP システム番号を入力します。 0 ~ 99 の整数です。

4. 一覧からコレクションを選択します。

5. 完了してデータ ソースを登録します。

   

スキャン

SAP BW をスキャンして資産を自動的に識別するには、次の手順に従います。 スキャン全般の詳細については、スキャン とインジェストの概要に関するページを参照してください。

スキャンの作成と実行

1. 管理センターで、[統合ランタイム] を選択します。 セルフホステッド統合ランタイムが設定されていることを確認します。 セットアップされていない場合は、「 前提条件」で 説明されている手順を使用して、セルフホステッド統合ランタイムを作成します。

2. [ソース] に移動します

3. 登録済みの SAP BW ソースを選択します。

4. [+ 新しいスキャン] を選択します

5. 次の詳細を入力します。

   1. 名前: スキャンの名前

   2. 統合ランタイム経由で接続する: 構成済みのセルフホステッド統合ランタイムを選択します。

   3. 資格情報: データ ソースに接続する資格情報を選択します。 次のことを確認してください。

      • 資格情報の作成時に [基本認証] を選択します。
      • [ユーザー名] 入力フィールドに SAP サーバーに接続するユーザー ID を指定します。
      • SAP サーバーへの接続に使用するユーザー パスワードを秘密キーに格納します。

   4. クライアント ID: SAP クライアント ID を入力します。 これは、000 から 999 までの 3 桁の数値です。

   5. SNC モード (省略可能): 証明書ベースの認証メカニズムを使用して SAP RFC への技術的な接続をセキュリティで保護するために Secure Network Communications (SNC) モードを使用 する場合は 、トグルをオンにします。 SNC モードは既定では オフ になっています。

      SNC 証明書を使用して SAP Personal Secure Environment を設定するには、次の手順に従います。

      SAPCAR を取得する

      • SAP ソフトウェア ダウンロード センターに移動し、SAP 資格情報でサインインします。
      • SAPCAR を検索し、最新の非アーカイブ バージョンを選択します。
      • オペレーティング システムを選択します。
      • .EXE file to C:\sap\SARをダウンロードします。

      SAP Common Crypto Library を取得する

      • SAP ソフトウェア ダウンロード センターで、"COMMONCRYPTOLIB" を検索し、最新バージョンを選択します。
      • オペレーティング システムを選択します。
      • をダウンロードします。最新のリリース日を C:\sap\SARする SAR ファイル。

      SAP Common Crypto Library の抽出

      • PowerShell を開き、[ C:\sap\SAR] に移動します。
      • xxxx を値に置き換えて、次のコマンドを入力します: .\SAPCAR_xxxx.EXE -xvf .\SAPCRYPTOLIBP_xxxx.SAR -R .\..\libs\sapcryptolib。
      • sapgenpse.exeが C:\sap\libs\sapcryptolib ディレクトリにあることを確認します。

      証明書の生成

      注: この方法はデモンストレーションのみを目的としており、運用システムには推奨されません。 運用システムの場合は、内部 PKI ガイダンスまたはセキュリティ チームに問い合わせてください。

      • フォルダー構造を設定します。

        • mkdir rootCA
        • mkdir sncCert

      • 必要なシリアル ファイルとインデックス ファイルが存在しない場合は、作成します。

        • if (-Not (Test-Path "rootCA\index.txt")) { New-Item -Path "rootCA\index.txt" ItemType File }
        • if (-Not (Test-Path "rootCA\serial")) { Set-Content -Path "rootCA\serial" -Value "01" }

      • ルート CA を生成します。

        • openssl genpkey -algorithm RSA -out rootCA/ca.key.pem -pkeyopt rsa_keygen_bits:2048
        • openssl req -x509 -new -key rootCA/ca.key.pem -days 7305 -sha256 -extensions v3_ca -out rootCA/ca.cert.pem -subj "/O=Contoso/CN=Root CA"

      • SNC 証明書を生成する

        • openssl genrsa -out sncCert/snc.key.pem 2048
        • openssl req -key sncCert/snc.key.pem -new -sha256 -out sncCert/snc.csr.pem subj "/O=Contoso/CN=SNC"

      • 署名用の OpenSSL 構成ファイル ( sncCert/extensions.cnf) を作成します。

        • subjectKeyIdentifier = hash
        • authorityKeyIdentifier = keyid,issuer
        • basicConstraints = critical,CA:false
        • keyUsage = critical,digitalSignature,keyEncipherment,dataEncipherment
        • extendedKeyUsage = clientAuth,emailProtection

      • ルート CA を使用して SNC 証明書に署名します。

        • openssl x509 -req in sncCert/snc.csr.pem CA rootCA/ca.cert.pem CAkey rootCA/ca.key.pem CAcreateserial out sncCert/snc.cert.pem days 3650 sha256 extfile sncCert\extensions.cnf extensions v3_leaf

      個人用セキュリティで保護された環境を作成する

      オンプレミス データ ゲートウェイ用の個人用セキュリティで保護された環境 (PSE) を作成します。 NCo ライブラリは、PSE 内の SNC 証明書を検索します。

      • PKCS#12 コンテナーを作成します。

        • openssl pkcs12 -export -out snc.p12 -inkey sncCert\snc.key.pem -in sncCert\snc.cert.pem -certfile rootCA\ca.cert.pem

      • SECUDIR 環境変数を作成します。

      • [システム プロパティ] を開く: エクスプローラーで[この PC] を右クリックし、[プロパティ]、[詳細設定>[システム設定] の順に選択します。

      • [環境変数] を選択します。

      • [ システム変数] で、[新規] を選択 します。

      • 変数名を SECUDIR に設定します。

      • 値を C:\sapsecudir に設定します。

      • [OK] を選択します。

      PKCS#12 コンテナーを PSE にインポートします。 C:\sap\libs\sapcryptolib\sapgenpse.exe import_p12 -p SAPSNCSKERB.pse C:\pki certs\snc.p12

      SHIR プロセスで SAP PSE の使用を許可する

      SNC クライアントが SAP と通信する証明書を取得するために使用しているユーザーまたはサービスを確認します。 Microsoft Purview SHIR は、サービス ユーザー NT SERVICE\DIAHostService を使用します。

      • PSE からの証明書取得要求を許可する資格情報を追加します。 .\sapgenpse.exe seclogin -p C:\sapsecudir\SAPSNCSKERB.pse -x your-pse-pin -O "NT SERVICE\DIAHostService"
      • 次のような資格情報を確認します。 .\sapgenpse.exe seclogin -l -O "NT SERVICE\DIAHostService"
      • 次のように削除できます。 .\sapgenpse.exe seclogin -d -O "NT SERVICE\DIAHostService"
      • -h パラメーターを使用して、sapgenpse コマンド ライン ツールに関するヘルプを表示するか、ここでコマンド リファレンスをチェックします。

      SAP JCo ライブラリに SHIR プロセスにアクセスするためのアクセス許可を付与する

      Microsoft Purview SHIR ユーザー NT SERVICE\DIAHostService に、これらのフォルダーに対する 読み取り/書き込み/実行/一覧表示 のアクセス許可があるかどうかを確認します。

      • SNC ライブラリ パス: SNC ライブラリがあるフォルダー sapcrypto.dll。 例: C:\Users\shir-admin\Desktop\snc\SAPCRYPTOLIBP_8557-20011729\sapcrypto.dll

      • JCo ライブラリ パス: SAP Java Connector jar ファイルを含むフォルダー。 例: C:\Users\shir-admin\Desktop\snc\sapjco3-ntamd64-3.1\sapjco3-ntamd64-3.1.3

      また、NCo ライブラリを引き続き使用するため、テスト接続を正常に動作させるために、SAP NCo ライブラリを仮想マシンにインストールする必要があります。 これは必要ありません。テスト接続はスキップできます。

      以下に示すように、 自分の名前、 パートナー名、 ライブラリ パス、保護 品質の SCN の詳細を入力し、スキャンを開始します。

      

   6. JCo ライブラリ パス: JCo ライブラリが配置されているディレクトリ パスを指定します (例: D:\Drivers\SAPJCo)。 セルフホステッド統合ランタイムがパスにアクセスできることを確認します。前提条件 に関するセクションの詳細を参照してください。

      • ローカル コンピューター上のセルフホステッド統合ランタイムの場合: D:\Drivers\SAPJCo。 これは、有効な JAR フォルダーの場所へのパスです。 値は有効な絶対ファイル パスである必要があり、スペースは含まれません。 セルフホステッド統合ランタイムがドライバーにアクセスできることを確認します。 詳細については、「前提条件」セクションを参照してください。

      • Kubernetes でサポートされるセルフホステッド統合ランタイムの場合: ./drivers/SAPJCo。 これは、有効な JAR フォルダーの場所へのパスです。 値は、有効な相対ファイル パスである必要があります。 事前にドライバーをアップロードするための 外部ドライバーを使用してスキャンを設定 するには、ドキュメントを参照してください。

   7. 使用可能な最大メモリ:セルフホステッド Integration Runtime マシンで使用できる最大メモリ (GB 単位)。 これは、スキャンする SAP BW ソースのサイズによって異なります。

6. [ 接続のテスト] を選択します。

7. [続行] を選択します。

8. スキャン トリガーを選択します。 スケジュールを設定することも、スキャンを 1 回実行することもできます。

9. スキャンを確認し、[ 保存して実行] を選択します。

スキャンとスキャンの実行を表示する

既存のスキャンを表示するには:

1. Microsoft Purview ポータルに移動します。 左側のウィンドウで、[ データ マップ] を選択します。
2. データ ソースを選択します。 [最近のスキャン] で、そのデータ ソースの既存の スキャンの一覧を表示したり、[ スキャン ] タブですべてのスキャンを表示したりできます。
3. 表示する結果を含むスキャンを選択します。 このウィンドウには、以前のすべてのスキャン実行と、各スキャン実行の状態とメトリックが表示されます。
4. 実行 ID を選択して、スキャン実行の詳細をチェックします。

スキャンを管理する

スキャンを編集、取り消し、または削除するには:

1. Microsoft Purview ポータルに移動します。 左側のウィンドウで、[ データ マップ] を選択します。

2. データ ソースを選択します。 [最近のスキャン] で、そのデータ ソースの既存の スキャンの一覧を表示したり、[ スキャン ] タブですべてのスキャンを表示したりできます。

3. 管理するスキャンを選択します。 次のことを実行できます。

   • [スキャンの編集] を選択して スキャンを編集します。
   • [スキャンの実行の取り消し] を選択して、進行中 のスキャンを取り消します。
   • [スキャンの削除] を選択して スキャンを削除します。

次の手順

ソースを登録したので、次のガイドに従って、Microsoft Purview とデータの詳細を確認してください。

• 検索統合カタログ

• Microsoft Purview の Data Estate Insights

• サポートされているデータ ソースとファイルの種類