SAP Extractor
本节介绍如何在数据任务中设置 SAP Extractor 源。在开始数据任务之前,请确保已完成 先决条件,并熟悉 限制和考虑事项。
设置连接属性
本节介绍可用的连接属性。除非另有说明,否则所有属性都是必需的。
要打开连接器,请执行以下操作:
-
在连接中单击创建连接。
-
选择 SAP Extractor 源连接器,然后提供以下设置:
连接到特定的 SAP 应用程序服务器
数据源
-
数据网关
选择用于移动数据的 数据移动网关。
-
连接到:选择应用程序服务器。
- 服务器:SAP Extractor 源所在的应用程序服务器的 IP 地址。
-
实例编号:SAP Extractor 数据源的实例号。
-
客户端标识符:SAP Extractor 数据源的系统 ID。
帐户属性
-
用户名:用于访问 SAP Extractor 数据源的用户名。这是先前在 SAP 中创建的通信用户的用户名。
-
密码:用于访问 SAP Extractor 数据源的密码。这是先前在 SAP 中创建的通信用户的密码。
安全性
请参阅以下的安全性。
CDC 属性
每隔(分钟)运行提取器:指定检查更改的频率。
名称
安全连接的显示名称。
使用负载平衡连接到 SAP 系统
数据源
-
数据网关
-
连接到:选择负载平衡环境。
- 邮件服务器:邮件服务器主机的主机名或 IP 地址。
-
应用程序服务器组名称:SAP 服务器组的名称。这是负载平衡连接中的一组可选应用程序服务器。
-
SAP 系统名称:SAP R/3 名称。
-
邮件服务器服务:以下文件中指定的 SAP 邮件服务器服务的名称:
<system drive>:\WINDOWS\system32\drivers\etc\services
如果未指定值,Data Provider for SAP 将使用以下默认名称:
sapms<R/3 system name>
-
客户端标识符:SAP Extractor 数据源的系统 ID。
选择要使用的 数据移动网关。
如果不想使用 数据移动网关,请选择无。有关 数据移动网关 的信息,请参阅Qlik 数据网关 - 数据移动。
帐户属性
-
用户名:用于访问 SAP Extractor 数据源的用户名。这是先前在 SAP 中创建的通信用户的用户名。
-
密码:用于访问 SAP Extractor 数据源的密码。这是先前在 SAP 中创建的通信用户的密码。
安全性
请参阅以下的安全性。
CDC 属性
每隔(分钟)运行提取器:指定检查更改的频率。
内部属性
内部属性用于特殊用例,因此不会在对话框中公开。只有在 Qlik 支持部门的指示下,您才应该使用它们。
使用字段右侧的 和 按钮可以根据需要添加或删除特性。
名称
安全连接的显示名称。
安全性
在安全设置中,您可以配置安全网络通信 (SNC)。
与 SNC 合作的先决条件
按照以下步骤在 Data Movement gateway 计算机上安装 Secure Network Communication (SNC) 客户端。
您所需要的:
- SAP 服务器的导出证书 (.crt)
- SAPCAR.EXE
- SAP 用户(授权客户)
- 安装在相应 SAP 服务器上的加密库版本
安装 SNC 客户端
- 为 SAP SNC 文件和二进制文件创建一个工作区文件夹(以下简称“您的 SNC 文件夹”),例如:“C:\snc\”
- 复制导出的服务器证书和 SAPCAR.EXE 到您的 SNC 文件夹。
- 转到 https://support.sap.com/en/my-support/software-downloads.html 并在安装和更新下搜寻 SAPCRYPTOLIB。将 64 位置 .SAR 下载到您的 SNC 文件夹。
-
打开命令提示符并将工作目录更改为 SNC 文件夹。然后运行以下命令将 .SAR 的内容解压缩到 SNC 文件夹中:
sapcar -xvf LibName.sar
示例:
sapcar -xvf SAPCRYPTOLIBP_8541-20011731_32.SAR
- 按如下方式添加系统环境变量:
- 添加一个名为 SECUDIR 的系统环境,将 SNC 文件夹的路径作为其值。
- 添加名为QLIK_SNC_LIB 的系统环境变量,其中包含 sapcrypto.dll 文件的路径作为其值。
- 将新添加的环境变量添加到“PATH”环境变量中。
-
确定 <PSE_File_Name> 并选择 <PSE_PIN> 对其进行保护。您需要在接下来的步骤中提供此信息。
示例:
pseName: "CN=USR,OU=SAP,O=Qlik,C=IS" password: password123
-
确定 <SNC_NAME>。它看上去应该是这样的:CN=USR, OU=SAP, O=Qlik, C=IS
另请参见下面的 确定服务器 SNC 名称。
-
确保您具有访问和执行 SECUDIR 文件夹中的文件所需的权限,然后运行以下命令以生成 PSE 文件:
sapgenpse get_pse -p <PSE_File_Name>.pse -x <PSE_PIN> <SNC_NAME>
示例:
sapgenpse get_pse -p usr.pse -x password123 "CN=USR,OU=SAP,O=Qlik,C=IS"
- 将 PSE 文件与 OS 用户绑定,并在 SECUDIR 文件夹中创建 CRED_V2 文件,如下所示:
记下运行 Qlik Replication 服务器的操作系统用户。要在 Linux 上执行此操作,请运行 ps aux 命令。
然后运行以下命令:
sapgenpse seclogin -p <PSE_File_Name>.pse -x <PSE_PIN> -O <OS_USER>
示例:
sapgenpse seclogin -p usr.pse -x password123 -O SYSTEM
-
通过执行以下命令生成 CRT 文件:
sapgenpse export_own_cert -o <PSE_File_Name>.crt -p <PSE_File_Name>.pse -x <PSE_PIN>
示例:
sapgenpse export_own_cert -o usr.crt -p usr.pse -x password123
-
通过执行以下命令将 SAP 应用程序服务器证书 (<SERVER_CRT>) 导入 PSE:
sapgenpse maintain_pk -a <SERVER_CRT>.crt -p <PSE_File_Name>.pse -x <PSE_PIN>
示例:
sapgenpse maintain_pk -a sapsys.crt -p usr.pse -x password123
-
要验证 SAP Server 的 PSE 的 DN 是否已导入客户端,请运行以下命令,然后检查“subject”值:
sapgenpse maintain_pk -v -l -p <PSE_File_Name>.pse
示例:
sapgenpse maintain_pk -v -l -p usr.pse
导入客户端证书
- 连接到 SAP Application Server 并使用授权用户导航到“STRUST”事务。
- 双击 SNC (SAPCryptolib) 文件夹。
- 单击 以切换到更改视图。
- 单击 以导入证书
- 在新对话框中,输入先前创建的 .crt 文件的路径,然后单击“继续”。
- 在证书部分验证证书的详细信息。
- 单击添加到证书列表将证书添加到列表中。
- 保存更改。
确定服务器 SNC 名称
有两种方法可以确定服务器名称:
- 方法 1:使用 OpenSSL 命令解密服务器 CRT 文件。服务器名称将是主题的一部分。
- 方法 2:此方法需要适当的权限。连接到系统时:
- 运行 RZ10 事务。
- 选择系统配置文件。
选择扩展维护选项,然后单击显示。
- snc/identity/as 参数的值应该是 SNC 名称。
连接设置
在 SAP Extractor 连接器 中配置SNC设置,如下所示:
- 激活安全网络通信:选择以打开 SNC。
-
SNC 名称:SNC 合作伙伴名称。
示例:
p:CN=SYS, OU=SAP, O=Qlik, C=IS
- SNC 保护质量 - 选择以下选项之一:
- 仅身份验证:选择以验证 SAP Extractor 计算机的身份。这是 SNC 提供的最低保护级别。
- 完整性保护:选择可检测 Data Movement gateway 计算机和 SAP Extractor 计算机之间可能发生的任何数据更改或操作。
- 隐私保护:选择此选项可加密正在传输的邮件以防止窃听。隐私保护还包括完整性保护。这是 SNC 提供的最大保护级别。
- 最大可用安全性:SAP Extractor 计算机支持的最大数据保护级别。