SAP Analytics Cloud 连接指南

1. 前言

SAP Analytics Cloud 是新一代软件即服务 (SaaS) 产品。它重新定义了云端分析功能,可在一款产品中为所有用户提供全部分析功能。它直接基于 SAP Cloud Platform 构建,性能卓越。借助该产品,客户可以轻松获得全新且值得信赖的公共云体验。

图 1:SAP Analytics Cloud 平台

SAP Analytics Cloud 集业务智能、预测、计划和 SAP Digital Boardroom 功能于一身,能够分析来自企业架构、本地和云端的所有数据。

SAP Analytics Cloud (SAC) 是一款公共软件即服务 (SaaS) 产品,支持访问本地数据源和云端数据源。此外,SAP Analytics Cloud 还提供实时连接(在线)和数据采集(批量)两种连接方式,能够获取位于企业信息系统架构任意位置的数据:

  • 借助 SAP Analytics Cloud,你可以利用本地系统或云系统中的数据源创建模型,并基于这些模型构建案例,然后在不需要进行任何数据复制的情况下执行在线分析。这一功能使 SAP Analytics Cloud 能够用于以下场景中:出于安全或隐私原因不能将数据迁移至云端的场景,或数据已存在于其他云系统中的场景。
  • 你也可以创建与远程系统的连接,以便 SAP Analytics Cloud 采集数据。数据导入(复制)到 SAP Analytics Cloud HANA 内存数据库后,对源系统中的数据所作的更改不会影响已导入的数据。
  • 此外,SAP Analytics Cloud 还提供 SAML 2 功能,支持你从企业架构进行单一登录,从而简化登录 SAP Analytics Cloud 以及已连接的数据源时所进行的身份验证。

大多数客户都希望能将此类混合架构的种种优势“一网打尽”。本文档旨在为你介绍连接方式,汇总所有必需的链接以及提供技巧与提示、最佳实践、警告及客户和合作伙伴的体验。

2. 管理连接项目的重要性

要获得 SAP Analytics Cloud 的上述所有优势,首先必须连接到本地数据源或云端数据源。SAP Analytics Cloud 是一款公共云软件即服务产品,能够连接到企业安全的后端系统。但这需要企业内拥有不同领域专业知识的人员进行连接设置,以确保顺利完成部署并掌控部署情况:

SAP Analytics Cloud 系统所有者 SAP Analytics Cloud 设置,例如数据源配置、SAC SAML 2 设置、用户和角色管理、连接设置等
数据源专家 连接层和安全性(HANA、BW、Universe、S4/HANA……)
网络专家 代理、防火墙、DNS 服务器等
安全专家 SAML 2、客户的身份提供者、SSL 证书等
信息系统架构专家 常见架构问题
应用程序专家 SAP 或非 SAP 系统设置,具体取决于数据源:连接性、安全性、建模

对于此类项目必须执行项目管理,因为连接设置并非一人就可以成功完成的项目。连接设置需依照严格的流程进行,让不同的利益相关方参与进来,在他们所负责的领域贡献自己的专业知识。

要将 SaaS 应用程序连接到本地应用程序,首先要对整个架构有深入的了解。在开始任何设置之前,强烈建议召开一次架构研讨会,协调所有必要的利益相关方,以确保在规定的时间和范围内快速顺利完成设置。

3. 实时连接或/和数据采集?

开始之前,请认真阅读系统要求和技术先决条件文档,确认架构是否受支持,版本和连接类型是否符合要求。

如何根据自己的需要设置连接类型,是大部分客户都想了解的问题。我们有一些最佳实践可供客户参考,但在选择的时候也有一些限制。

必须考虑以下几个方面:

  • 功能需求
  • 数据隐私限制
  • 数据量限制

3.1.功能方面

数据采集 分析模型 所有数据(无论来自选择的哪个数据源)“上载”(复制)到 SAP Analytics Cloud HANA 内存数据库。随后,SAP Analytics Cloud 会存储模型和数据。可将安全性添加到 SAP Analytics Cloud 的模型中。分析模型和计划模型都可生成一个帐户类型模型。
计划模型
预测功能
实时连接 本地(云端数据源) SAP Cloud Platform

SAP S4/HANA Cloud

所有数据留在 SAP Cloud Platform 或 SAP S4/HANA Cloud 中。数据不会复制到 SAP Analytics Cloud。在源系统上管理建模和模型安全。在 SAP Cloud Platform 中建立系统之间的数据连接。
远程(本地数据源) SAP HANA

BW

SAP S4/HANA

Universe

所有数据留在远程(客户)架构中。数据不会复制到 SAP Analytics Cloud。在源系统上管理建模和模型安全。

建立系统之间的数据连接。

3.2.数据隐私限制

采用实时连接方式时,数据会留在后端系统中。如果客户希望完全掌控数据隐私,实时连接是最佳的选择。

数据采集,则意味着会将数据复制到 SAP Analytics Cloud HANA 数据库中。但在复制的过程中,数据会被加密并得到充分的安全保障。请参阅 http://www.sapdatacenter.com/,获取有关 SAP 数据中心内安全措施与证书的更多信息。

3.3.数据量限制

采用实时连接方式时,会在后端系统中处理数据量。理论上不存在限制。查询也在后端系统中执行。查询应该通过实施充分的输入控制或聚合,限制返回至 Web 浏览器的数据量。

若使用数据采集,则存在以下数据量限制:

数据采集最大值:

  • 列:100
  • 行:800,000
  • 维成员:
  • 计划模型:250,000
  • 分析模型:如果有 250,000 个以上的唯一成员,维度将设置为只读模式
  • 带有属性的维成员:150,000
  • 带有丰富地理信息的维成员:200,000
  • 层次结构中的维成员:150,000
  • 层次结构深度:1,000

4. SAP Analytics Cloud 实时连接

4.1.了解 SAP Analytics Cloud 实时连接

SAP Analytics Cloud 提供业务逻辑,并构建在浏览器查看数据所需的查询。  接着,浏览器通过反向代理向下或通过直接实时连接,将这些查询发送到本地数据库。这些查询的结果会返回至浏览器,在浏览器中以统计图形式进行显示。如果要查询每个客户的利润表,则不会有任何信息返回至 SAP Analytics Cloud。

在整个过程中,浏览器实际上是在与反向代理或通过直接实时连接 (CORS) 进行交互,由它们将请求发送至 SAP Analytics Cloud 或远程数据源,具体视各请求的路径而定。


图 2:通过 CORS 和 SAP IDP/SAML2 在 SAC 与后端系统之间建立直接实时连接

图 3:通过反向代理和 SAP IDP/SAML2 在 SAC 与后端系统之间建立实时连接

 

  • 浏览器与 SAC 之间的请求获取/发布专门针对元数据
  • 浏览器与身份提供者之间的请求获取/发布专门针对 SAML 2 断言
  • 浏览器与后端系统之间的请求获取/发布专门针对数据

4.2.采用实时连接时,会在 SAP Analytics Cloud 中存储哪些内容?

只有元数据。   SAP Analytics Cloud 会存储用于构建案例、测量名称、列名称、过滤器值等的查询。从根本上说,元数据可重建查询。  但它不存储任何实际的数据,甚至不存储查询结果或者部分结果内容,比如总计。元数据会传输到浏览器,并在内存中加密。

4.3.身份验证

端到端 SSO 通过 SAML 2 实现。   SAP Analytics Cloud 和本地数据源都必须依次使用 ADFS(活动目录联合服务)配置为信赖相同的身份提供者,例如 SAP Cloud Identity 或 Active Directory。这意味着,每个请求都会遵守在数据源实施的数据安全。

4.4.加密

浏览器与 SAP Analytics Cloud 之间的所有通信始终会被加密。  从反向代理到后端数据源的内部通讯也应使用 TLS 进行加密。   存留在 SAP Analytics Cloud 上的所有数据和元数据也将充分加密。

4.5.SAP Analytics Cloud 和 Information Access Service (InA)

SAP Information Access Service (InA) 是基于 REST http 的协议,SAP Analytics Cloud 用该协议在数据源中执行实时查询。此组件是下表列出的所有受支持的后端系统的一部分:

SAP HANA 需要 SAP HANA 1.0 SPS10/11/12,修订版 102.2 或更高版本与 SAP HANA Info Access Service (InA),版本 4.10.0 或更高版本

SAP HANA 2.0 SP01 或更新的企业预置版本,SAP HANA EPMMDS 插件安装在 SAP HANA 2.0 系统上。SAP 注释 2456225 和 SAP 注释 2444261 提供其他设置信息

SAP Cloud Platform (SAPCP):最新版本

BW SAP BW/4HANA SP4+

SAP BW 7.4 SP17+

SAP BW 7.5 SP8+

BOE Universe 安装 SAP BusinessObjects BI 4.2 SP4 系统。SAP BOE Live Data Connect 组件的 .war 文件部署到应用程序服务器上
SAP S4/HANA SAP NW 版本 7.51 SP2

4.6.了解浏览器的同源策略

同源策略是 Web 应用程序安全模型的重要概念。根据这一策略,Web 浏览器允许第一个网页中的脚本访问第二个网页中的数据,但前提是两个网页具有相同的来源。这是隔离潜在恶意文件的重要安全机制。

在实时连接中,浏览器必须同时访问 SAP Analytics Cloud 的元数据和后端数据源(HANA、BW、S4/HANA 或 Universe)。然后,SAP Analytics Cloud 通过两种方式让浏览器中的同一网页访问交叉共享资源:

– 通过反向代理访问:浏览器只访问一个接入点。

图 4:反向代理访问

– 通过 CORS:跨域资源共享机制支持从提供第一个资源的域之外的其他域请求网页上的受限资源。


网页可自由嵌入跨源网页、图像、样式表、脚本、内置页框以及视频。

图 5:CORS 访问

CORS 请求 (POST) 示例:

/resource 2 preflight request header from browser:

Origin: http://mySAC.eu1.sapanalytics.cloud

Access-Control-Request-Method: POST

Access-Control-Request-Headers: X-Custom-Header

/resource 2 server response Header if authorized:

Access-Control-Allow-Origin: http://mySAC.eu1.sapanalytics.cloud

Access-Control-Allow-Methods: GET, POST

Access-Control-Allow-Headers: X-Custom-Header

在本例中,授权由后端进行检查,并且只分配到 URI http://mySAC.eu1.sapanalytics.cloud。随后,必须在浏览器与后端之间使用具备有效证书的 HTTP/SSL,以防止发生任何恶意入侵。

4.7.借助 CORS 的直接实时连接

图 6:用户在客户域内的标准设置

图 7:用户在客户域外的标准设置

4.7.1.     网络与安全设置

  • 在此类配置中,若浏览器处于公共域内,则必须将本地数据源服务器地址加入白名单,并授予入站访问权限(图 7:用户在客户域外的标准设置)。
  • 必须开放从客户域到 SAP Analytics Cloud 以及 SAP Cloud Identity 的出站访问。

4.7.2.     优势

  • SAP 推荐此配置。
  • 直接连接,无需其他设备,通过安全解锁同源策略,浏览器直接连接 SAC、IDP 以及后端数据源,请参阅“了解浏览器的同源策略”一章
  • 因为无需其他设备,此类直接连接可实现更高的性能
  • 易于设置
  • 可用于 HANA、BW、BOE Universe 和 S4/HANA

4.7.3.     前提条件与限制

  • 必需的浏览器设置:
    • 允许来自 SAP Analytics Cloud 域的弹出窗口:[*.]sapanalytics.cloud.
    • 允许来自 SAP HANA 服务器域的第三方 Cookies
  • CORS 不能用于混合的 HTTPS/HTTP 场景。HANA XS 系统的 SSL 服务器证书必须是用户的 Web 浏览器信任的有效证书,并且与 HANA 系统的完全限定域名相匹配。
  • HANA:必须在 HANA 数据库中启用 CORS。有时候,托管第三方提供商不会在他们的托管服务中提供此类设置。

4.7.4.     设置步骤

步骤 说明 所有者
启用 INA HANA、BW、S4/HANA、Universe 完全支持 INA 数据源专家
启用 CORS HANA、BW、S4/HANA、Universe 完全支持 CORS 数据源专家
启用 SSL 配置有效的 SSL 证书,请参阅 SAP 注释 2502174 安全专家
在浏览器中启用弹出窗口 参阅 Google Chrome 文档 安全专家
允许在浏览器中使用第三方 Cookies 参阅 Google Chrome 文档 安全专家

4.8.借助反向代理的实时连接

图 8:用户在客户域内的标准设置

图 9:用户在客户域外的标准设置

4.8.1.     网络与安全设置

  • 当浏览器处于公共域内时,必须将 apache 反向代理服务器地址加入白名单,并授予入站访问权限(图 9:用户在客户域外的标准设置)。
  • 必须开放从客户域到 SAP Analytics Cloud 以及 SAP Cloud Identity 的出站访问。

4.8.2.     优势

  • 完全隐藏后端系统,无法从外部进行公开访问
  • 避免特定的浏览器设置,例如弹出窗口和第三方 Cookies

4.8.3.     前提条件与限制

  • 此配置需要有关反向代理(SAP Web Dispatcher 或 Apache Reverse Proxy)设置的知识
  • 用户必须通过反向代理访问 SAP Analytics Cloud,当用户在客户域外时,则缺乏灵活性。必须启用入站访问,并将反向代理服务器地址加入白名单。

4.8.4.     数据源前提条件和限制

SAP HANA https://help.sap.com/doc/00f68c2e08b941f081002fd3691d86a7/release/en-US/6ac0d03d53f3454f83d41c6f51c2fc31.html
BW https://help.sap.com/doc/00f68c2e08b941f081002fd3691d86a7/release/en-US/ba7ee8dc6dcd4069b210ec712be52a31.html

https://help.sap.com/doc/00f68c2e08b941f081002fd3691d86a7/release/en-US/b8f41cbad7dd43e2bf7d8cc4d96954c5.html

Universe https://help.sap.com/doc/00f68c2e08b941f081002fd3691d86a7/release/en-US/feb30bcf4f994042987b120194503a36.html
SAP S4/HANA https://help.sap.com/doc/00f68c2e08b941f081002fd3691d86a7/release/en-US/be5ad22172e54259b2abe5a1e1f5b69b.html

4.8.5.     设置步骤

步骤 说明 所有者
启用 INA SAP HANA; BW; S4/HANA; Universe; 数据源专家
安装反向代理 IT 专家
配置反向代理 WebDispatcher 或Apache Reverse Proxy IT 或网络专家

4.9.最佳实践

4.9.1.     多租户 HANA 数据库

要让基于 Web 的应用程序通过 SAP HANA XS 服务器将 HTTP(S) 请求发送至多租户数据库容器,必须对内部 SAP Web Dispatcher 进行配置,使之能根据 DNS 别名虚拟主机名判断将哪些请求发送至哪个数据库。通过在 xsengine.ini 配置文件中指定每个租户数据库的公共 URL 可以完成这一操作。请核实客户域名服务中是否公布了内部 SAP Web Dispatcher 中使用的虚拟主机名。这对于在 PSE 管理中生成 SSL 证书大有帮助(借助 CORS 进行实时连接时的强制设置)。

4.9.2.     反向代理

配置反向代理时,可使用任意端口或主机名。请在客户域名服务中公布反向代理主机名。这样可以简化设置。避免对 IP 地址进行任何设置,最好使用域名服务中公布的主机名。

开始设置之前,先检查能否通过反向代理访问反向代理配置文件中使用的地址。根据客户的具体架构,也许可以通过内部代理服务器访问外部系统。需要在配置脚本中添加其他代理设置:

  • Webdispatcher with subparameter PROXY=<server>:<port>
  • Apache Reverse Proxy with proxyremote directive.

如果使用具有 SSL 证书(非自签名证书)的 https,请检查使用的证书是否有效。

4.9.3.     通过桌面浏览器排除连接故障

SAP Analytics Cloud 支持最新版本的 Google Chrome。Google 持续为 Chrome 浏览器发布更新。一旦 Google 发布最新版本,我们会尽力进行全面的测试并提供全方位的支持。

此外,Google Chrome 浏览器还可用于排除实时连接故障。Chrome Developer Tools 是一套内置于 Google Chrome 的 Web 编写和调试工具。借助 DevTools,Web 开发人员可深入到浏览器及 Web 应用程序的内核。所以,请尽快熟悉并使用 DevTools,以便高效解决问题。

尤为值得一提的是,你可以使用 Network Panel 获取统计图,了解检索资源的时间线。此 Network Panel 会简单清楚地显示请求总数、已传输的数据量、请求和响应内容与标题、加载时间、错误、警告等。

图 10:显示请求和时间线的 Network Panel 开发人员视图的示例

4.10.最佳阅读资料

5. SAP Analytics Cloud 数据采集

5.1.了解 SAP Analytics Cloud 数据采集

你可以创建与远程系统的连接,以便 SAP Analytics Cloud 采集数据。数据导入(复制)到 SAP Analytics Cloud 后,对源系统中的数据所作的更改不会影响已导入的数据。

创建与以下系统类型的导入数据连接时,需进行设置:SAP Business Warehouse (BW)、SAP Business Planning and Consolidation (BPC)、SAP BusinessObjects Business Intelligence 平台 Universe (UNX)、SAP Enterprise Resource Planning (ERP)、SQL 数据库、SuccessFactors、WorkforceAnalytics、OData、Concur、Salesforce.com(SFDC)、Fieldglass、Google Drive、Google BigQuery、文件服务器。

5.2.前提条件与限制

数据采集最大值:

  • 列:100
  • 行:800,000
  • 维成员:
  • 计划模型:250,000
  • 分析模型:如果有 250,000 个以上的唯一成员,维度将设置为只读模式
  • 带有属性的维成员:150,000
  • 带有丰富地理信息的维成员:200,000
  • 层次结构中的维成员:150,000
  • 层次结构深度:1,000

5.2.1.     数据源前提条件和限制

BW https://help.sap.com/doc/00f68c2e08b941f081002fd3691d86a7/release/en-US/780967ff44294c01b7f66ef837695f2b.html

5.3.1       SAP 云连接器

云连接器可在 SAP Analytics Cloud 与企业现有的本地系统之间建立连接。借助云连接器,你可以轻松设置并配置面向 SAP Analytics Cloud 的系统。此外,你还可以控制为这些系统中的云应用程序提供的资源。因此,无需暴露整个内部架构,即可从现有资产中获益。

云连接器在安全的网络中以本地代理的身份运行,并作为本地网络客户域和 SAP Analytics Cloud 之间的反向调用代理。得益于这种反向调用支持,你无需配置本地防火墙,即可实现从云端到内部系统的外部访问。

图 11:SAP Cloud Connector 和 SAP Analytics Agent 架构

与打开防火墙端口并利用客户域中的反向代理建立对本地系统的访问连接的方法相比,云连接器具有如下优势:

  • 本地网络的防火墙无需打开入站端口,即可建立从 SAP Analytics Cloud 到本地系统的访问。如果是允许的出站连接,则无需做出修改。
  • 云连接器能够将云用户的身份安全地传输到本地系统。
  • 云连接器易于安装和配置,也就是说,其总拥有成本 (TCO) 较低,是云场景的理想之选。SAP 为云连接器提供标准支持。

5.3.1.1     配置

只能将一个 SAP 云连接器连接至 SAP Analytics Cloud 租户。

但可以从一个 SAP 云连接器连接多个 SAP Analytics 租户。

图 12:SAP 云连接器连接多个 SAP Analytics Cloud 租户

图 13:不支持的配置

在多域访问的情况下(通常是客户使用第三方托管服务提供商时),建议通过两个域之间的 VPN 连接将 SAP Analytics Agent 连接至数据源,如下图所示:

图 14:支持的配置

5.3.1.2     网络前提条件

SAP 云连接器支持在配置工具中使用特定的代理。

但是,你必须至少拥有与以下主机(视区域而定)的网络连接,才能连接云连接器:

区域(区域主机) 主机 IP 地址
欧洲(圣里昂洛特)

(hana.ondemand.com)

connectivitynotification.hana.ondemand.com 155.56.210.83
connectivitycertsigning.hana.ondemand.com 155.56.210.43
connectivitytunnel.hana.ondemand.com 155.56.210.84
美国东部(阿什伯恩)

(us1.hana.ondemand.com)

connectivitynotification.us1.hana.ondemand.com 65.221.12.40
connectivitycertsigning.us1.hana.ondemand.com 65.221.12.241
connectivitytunnel.us1.hana.ondemand.com 65.221.12.41
美国西部(钱德勒)

(us2.hana.ondemand.com)

connectivitynotification.us2.hana.ondemand.com 64.95.110.215
connectivitycertsigning.us2.hana.ondemand.com 64.95.110.211
connectivitytunnel.us2.hana.ondemand.com 64.95.110.214
美国(斯特林)

(us3.hana.ondemand.com )

connectivitynotification.us3.hana.ondemand.com 169.145.118.140
connectivitycertsigning.us3.hana.ondemand.com 169.145.118.132
connectivitytunnel.us3.hana.ondemand.com 169.145.118.141
澳大利亚(悉尼)

(ap1.hana.ondemand.com)

connectivitynotification.ap1.hana.ondemand.com 210.80.140.247
connectivitycertsigning.ap1.hana.ondemand.com 210.80.140.227
connectivitytunnel.ap1.hana.ondemand.com 210.80.140.246
中国(上海)

(cn1.hana.ondemand.com)

connectivitynotification.cn1.hana.ondemand.com 157.133.192.140
connectivitycertsigning.cn1.hana.ondemand.com 157.133.192.132
connectivitytunnel.cn1.hana.ondemand.com 157.133.192.141
日本(东京)

(jp1.hana.ondemand.com )

connectivitynotification.jp1.hana.ondemand.com 157.133.150.140
connectivitycertsigning.jp1.hana.ondemand.com 157.133.150.132
connectivitytunnel.jp1.hana.ondemand.com 157.133.150.141
加拿大(多伦多)

(ca1.hana.ondemand.com )

connectivitynotification.ca1.hana.ondemand.com 157.133.54.140
connectivitycertsigning.ca1.hana.ondemand.com 157.133.54.132
connectivitytunnel.ca1.hana.ondemand.com 157.133.54.141
俄罗斯(莫斯科)

(ru1.hana.ondemand.com )

connectivitynotification.ru1.hana.ondemand.com 157.133.2.140
connectivitycertsigning.ru1.hana.ondemand.com 157.133.2.132
connectivitytunnel.ru1.hana.ondemand.com 157.133.2.141
试用(仅欧洲)

(hanatrial.ondemand.com)

connectivitynotification.hanatrial.ondemand.com 155.56.219.26
connectivitycertsigning.hanatrial.ondemand.com 155.56.219.22
connectivitytunnel.hanatrial.ondemand.com 155.56.219.27

5.3.1.3     租户 IDS 用户和密码

首次配置云连接器之前,SAP Analytics Cloud 系统所有者必须使用组件 LOD-ANA-BI 通过如下链接报告 SAP 产品支持事件:https://launchpad.support.sap.com/#incident/solution。在支持消息中表明希望利用云连接器设置数据采集,并提供你的 SAP Analytics Cloud 租户 URL 以及你的 S 用户帐户 ID。只需不到一天的时间即可获得连接信息。

5.3.1.4     设置步骤

步骤 说明 所有者
JVM 版本 根据操作系统检查 JVM 版本。有关支持的 SAP JVM 版本,请参阅前提条件。可在此处下载 SAP JVM。 IT 专家
应用网络前提条件 请参阅第 5.3.1 章 网络专家
请求 S 用户、密码和租户 ID 请参阅第 5.3.3 章 业务智能专家
安装 SAP 云连接器 https://help.sap.com/doc/00f68c2e08b941f081002fd3691d86a7/release/en-US/ae39ab60b1154c179e2baabd26aa249c.html IT 专家
配置 SAP 云连接器 安装和配置 SAP Analytics Agent(参阅下一章节)之后,即可配置 SAP 云连接器。参阅 https://help.sap.com/doc/00f68c2e08b941f081002fd3691d86a7/release/en-US/8d8511532794429caa243b6fb7c79989.html

警告:将位置 ID 字段留空。SAP Analytics Cloud 只能支持一个 SAP 云连接器。

业务智能专家

5.3.2       SAP Analytics Agent

SAP Analytics Cloud 本地访问代理(SAP Analytics Cloud 代理)是一个连接组件。
SAP Analytics Cloud 代理是本地数据连接组件,用于:

  • 从 SAP Business Planning and Consolidation(Microsoft 平台版)(BPC MS) 中导入数据连接
  • 从 SAP Business Warehouse (BW) 中导入数据连接
  • 从 SAP BusinessObjects Business Intelligence 平台中导入数据连接
  • 从 SAP ERP 和 S4/HANA 中导入数据连接

建议在安装 SAP 云连接器的服务器上安装 SAP Analytics Agent。

5.3.2.1     设置步骤

步骤 说明 所有者
Apache Tomcat 7 或更高版本 有关更多信息,请参阅 Apache Tomcat 设置 IT 专家
安装 SAP Analytics Agent https://help.sap.com/doc/00f68c2e08b941f081002fd3691d86a7/release/en-US/7c35129451f5432194773adac7f89598.html IT 专家
配置和检查 SAP Analytics Agent 业务智能专家
如果要连接 SAP ERP、SAP BW 和 SQL,则安装 JCO 库。 安装 SAP Java Connector (JCO)

 

IT 专家

5.4 最佳阅读资料

6. 单一登录 (SSO)

下面列出了 SSO 能带来的一些优势:

  • 用户只需一个用户名/密码对即可访问多项服务。因此他们不需要记住多个用户名/密码对。
  • 用户只在身份提供者中验证一次身份,随后即可自动登录“信任域”范围内的所有服务。
  • 单一登录能为用户带来更多便利,因为他们无需向每个服务提供商都提供自己的用户名/密码。
  • 服务提供商可以消除管理用户身份的费用,因此对他们来说也会更加方便。
  • 用户身份得到集中管理,因此会更安全、更简单也更易于管理。

SAP Analytics Cloud 充分支持基于 SAML 2.0 Web 浏览器的 SSO。SAP Cloud Identity 是默认交付的产品,能够作为单一登录系统的身份提供者,配置起来非常容易。

6.1.SAML 2 是什么?

SAML 2(安全断言标记语言)是用于在安全域之间交换身份验证和授权数据的 Oasis 标准。SAML 2.0 是基于 XML 的协议,使用包含断言的安全令牌在身份提供者和 Web 服务提供者 (SAP Analytics Cloud) 之间传递与当事人(通常是最终用户)有关的信息。SAML 2.0 支持基于 Web 的身份验证和授权场景,包括单一登录 (SSO)。点击以下链接,可获得与 SAML2 有关的一般信息(PDF 文档):http://docs.oasis-open.org/security/saml/v2.0/

6.2.SAP Analytics Cloud 单一登录

SAML 2 联邦身份包含两方:

  1. 身份提供者 (IdP):验证用户身份,并在验证成功后向服务提供者提供一份身份验证断言;SAP Analytics Cloud 会默认提供 SAP Cloud Identity 作为身份提供者。客户可以设置自己的基于 SAML 2 的身份提供者。
  2. 服务提供者 (SP):依靠身份提供者验证用户身份。SAP Analytics Cloud 和后端数据源(HANA、BW、S4/HANA 或 Universe)可倚赖同一身份提供者进行身份验证。

图 15:SAP Analytics Cloud 与身份提供者之间的 SAML 2 流程流

流程流说明:

  1. 用户尝试从 Chrome 浏览器登录 SAP Analytics Cloud
  2. 作为响应,SAP Analytics Cloud 生成 SAML 请求。
  3. 浏览器将用户重定向至身份提供者。
  4. 身份提供者解析 SAML 请求,核实用户是否已完成身份验证。
  5. 请求身份验证。如果用户已通过身份提供者完成身份验证,则跳过此步骤,IDP 会直接生成一个 SAML 响应。
  6. 身份提供者将已编码的 SAML 响应返回至浏览器。
  7. 浏览器将 SAML 响应发送至 SAP Analytics Cloud 进行验证。
  8. 如果验证成功,用户将会登录到 SAP Analytics Cloud 并获得访问各种资源的授权。

6.2.1.     一些注意事项

SAML2 使用 claim 属性在身份提供者和服务提供者之间映射身份。这个属性可以是用户 ID、电子邮件地址或者任何自定义字段。映射属性区分大小写。SAP Analytics Cloud 仅支持大写的用户 ID。

SAML2 流程流与时间关系非常紧密。  SAML2 流程流必须在可选属性 NotBefore 和 NotOnOrAfter 指定的极短时间段内执行。请检查服务器身份提供者时钟和/或数据源服务器时钟。

6.2.2.     设置原则

如上文所述,一般情况下会有两个角色:服务提供者和身份提供者 (IP)。单一登录系统的重要特征在于服务提供者与身份提供者之间预先定义了信任关系;服务提供者信任身份提供者发布的断言,而身份提供者会根据访问服务提供者所提供服务的当事人的身份验证和授权结果发布断言。

如果决定使用 SAP Cloud Identity,则无需进行任何设置。因为 SAP Cloud Identity 已默认进行配置。否则,请执行如下流程:

  • 获取 SAP Analytics Cloud 服务提供者元数据(含证书)
  • 根据 SAP Analytics Cloud 服务提供者元数据,将服务提供者配置到身份提供者中
  • 获取身份提供者元数据
  • 将身份提供者元数据上传到 SAP Analytics Cloud
  • 指明映射属性(用户 ID、电子邮件地址或任何客户字段)
  • 保存配置之前先进行测试,然后应用更改。

6.3.身份提供者

SAP Analytics Cloud 根据 OASiS 规范支持 SAML 2 身份提供者。https://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf

我们已试用以下产品:

  • SAP Cloud Identity(默认)
  • Active Directory Federation Services
  • Azure Active Directory SSO
  • Okta
  • WSO2 Identity Server
  • F5 Identity Provider

6.3.1.     第三方身份提供者所处的位置和网络设置

根据身份提供者所处的位置,请确保浏览器能够访问该程序。

图 16:身份提供者的不同位置

6.4.用户和角色管理

设置自定义身份提供者时,必须在身份提供者和 SAP Analytics Cloud 之间映射用户。登录凭据取决于设置身份提供者时选择的用户属性。如果选择自定义 SAML 用户,则登录凭据应该是 SAML 身份提供者所用帐户的用户 ID。

如果选择电子邮件,则登录凭据应该是 SAML 身份提供者所用帐户的电子邮件地址。如果选择用户,则默认情况下,会将登录凭据设置为你的 SAP Analytics Cloud 用户名。

从一开始就务必要在身份提供者与服务提供者 (SAC) 用户列表之间保持一致。你可以手动输入用户,但映射属性区分大小写…可通过两个选项简化并完成简单的用户部署:

  • 可上载用户列表并将其映射到 SAP Analytics Cloud。可选择 CSV 文件或活动目录上载。只要映射属性区分大小写,通过上载用户列表就可确保快速顺畅地完成部署。
  • 可在 SAP Analytics Cloud 中选择动态用户创建。启用动态用户创建时,将使用默认角色自动创建新用户,并且该新用户将能够使用 SAML SSO 登录 SAP Analytics Cloud。要确保将 SAML 属性映射到用户,并使用 SAML 属性映射角色,处理动态用户创建,则必须使用组件 LOD-ANA-BI 通过如下链接提交 SAP 产品支持事件:https://launchpad.support.sap.com/#incident/solution。在支持请求中,表明你希望根据自定义 SAML 属性设置用户配置文件和角色分配,并提供你的 SAP Analytics Cloud 租户 URL。

你还可以创建 SAML 角色映射,以根据其 SAML 属性将角色自动分配给用户。请参阅:https://help.sap.com/doc/00f68c2e08b941f081002fd3691d86a7/release/en-US/8cef38224562457fa87069a6d8e596ab.html

6.5.后端单一登录

为了启用端到端实时连接 SSO 场景,SAP Analytics Cloud 还支持通过 SAML2 SSO 连接数据源:

SAP HANA https://help.sap.com/viewer/6b94445c94ae495c83a19646e7c3fd56/2.0.00/en-US/5830507afc1a401fb0aef9f6179a4422.html
SAP BW

SAP S4/HANA

https://help.sap.com/viewer/f118a8960caf41808bd374e28a834f58/7.52.0/en-US/4ab4c93185376d61e10000000a42189c.html

6.6.设置步骤

步骤 说明 所有者
SAC 中的身份提供者设置 启用自定义 SAML 身份提供者

https://help.sap.com/doc/00f68c2e08b941f081002fd3691d86a7/release/en-US/3651184dad944aa2b361ad029a7a8cae.html

业务智能专家(管理员)
身份提供者中的服务提供者设置 取决于身份提供者 身份提供者专家
SSO 数据源设置 请参阅“后端单一登录”一章 数据源 IT 专家
SAC 中的连接器设置 业务智能专家
网络设置 网络与安全专家