Verwendung von SAML für SSO von Power BI zu lokalen Datenquellen

Durch das Aktivieren des einmaligen Anmeldens Single sign-On (SSO) können Sie es Power BI Berichten und Dashboards erleichtern, Daten aus lokalen Quellen zu aktualisieren, während Sie Berechtigungen auf Benutzerebene beachten, die für diese Quellen konfiguriert sind. Um eine nahtlose SSO-Verbindung zu ermöglichen, verwenden Sie Security Assertion Markup Language (SAML).

Hinweis

Sie können eine Verbindung mit nur einer Datenquelle herstellen, indem Sie Single Sign-On SAML mit einem lokalen Datengateway verwenden. Zum Herstellen einer Verbindung mit einer zusätzlichen Datenquelle mit Single Sign-On SAML müssen Sie ein anderes lokales Datengateway verwenden.

Unterstützte Datenquellen für SAML

Microsoft unterstützt derzeit SAP HANA mit SAML. Weitere Informationen zum Einrichten und Konfigurieren des einmaligen Anmeldens (SSO) für SAP HANA mit SAML finden Sie unter SAML-SSO für die BI-Plattform mit HANA.

Mit Kerberos werden weitere Datenquellen unterstützt (einschließlich SAP HANA).

Für SAP HANA empfehlen wir, die Verschlüsselung zu aktivieren, bevor Sie eine SAML-SSO-Verbindung herstellen. Um die Verschlüsselung zu aktivieren, konfigurieren Sie den HANA-Server so, dass er verschlüsselte Verbindungen akzeptiert und konfigurieren Sie dann das Gateway, damit es die Verschlüsselung zur Kommunikation mit Ihrem HANA-Server verwendet. Da der HANA-ODBC-Treiber SAML-Assertationen nicht standardmäßig verschlüsselt, wird die signierte SAML-Assertion unverschlüsselt vom Gateway an den HANA-Server gesendet und kann abgefangen und von Drittanbietern wiederverwendet werden.

Wichtig

Da SAP OpenSSL nicht mehr unterstützt, hat auch Microsoft den Support eingestellt. Ihre vorhandenen Verbindungen funktionieren weiterhin, aber Sie können keine neuen Verbindungen mehr erstellen. Verwenden Sie stattdessen SAP Cryptographic Library (CommonCryptoLib) oder sapcrypto.

Konfigurieren des Gateways und der Datenquelle

Sie müssen eine Vertrauensstellung zwischen den HANA-Servern, für die Sie SSO aktivieren möchten, und dem Gateway herstellen, um SAML verwenden zu können. In diesem Szenario fungiert das Gateway als SAML-Identitätsanbieter (IdP). Sie können diese Beziehung auf verschiedene Weisen einrichten. SAP empfiehlt, CommonCryptoLib zum Ausführen der Setupschritte zu verwenden. Weitere Informationen finden Sie in der SAP-Dokumentation.

Erstellen der Zertifikate

Sie können eine Vertrauensbeziehung zwischen einem HANA-Server und dem Gateway-IdP herstellen, indem Sie das X509-Zertifikat des Gateway-IdP mit einer Stammzertifizierungsstelle (CA) signieren, der der HANA-Server vertraut.

Um die Zertifikate zu erstellen, gehen Sie wie folgt vor:

  1. Erstellen Sie auf dem Gerät, auf dem SAP HANA ausgeführt wird, einen leeren Ordner zum Speichern Ihrer Zertifikate und navigieren Sie dann zu diesem Ordner.

  2. Erstellen Sie die Stammzertifikate, indem Sie den folgenden Befehl ausführen:

    openssl req -new -x509 -newkey rsa:2048 -days 3650 -sha256 -keyout CA_Key.pem -out CA_Cert.pem -extensions v3_ca'''
    

    Achten Sie darauf, die Passphrase zu kopieren und zu speichern, um dieses Zertifikat zum Signieren anderer Zertifikate zu verwenden. Sie sollten sehen, dass die CA_Cert.pem und CA_Key.pem Dateien erstellt werden.

  3. Erstellen Sie die IdP-Zertifikate, indem Sie den folgenden Befehl ausführen:

    openssl req -newkey rsa:2048 -days 365 -sha256 -keyout IdP_Key.pem -out IdP_Req.pem -nodes
    

    Sie sollten sehen, dass die IdP_Key.pem und IdP_Req.pem erstellt werden.

  4. Signieren Sie die IdP-Zertifikate mit den Stammzertifikaten:

    openssl x509 -req -days 365 -in IdP_Req.pem -sha256 -extensions usr_cert -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out IdP_Cert.pem
    

    Sie sollten sehen, dass CA_Cert.srl und IdP_Cert.pem Dateien erstellt werden. Zu diesem Zeitpunkt sind Sie nur mit der Datei IdP_Cert.pem beschäftigt.

Mapping für das SAML-Identitätsanbieter-Zertifikat erstellen

Gehen Sie wie folgt vor, um ein Mapping für das SAML-Identitätsanbieter-Zertifikat zu erstellen:

  1. Klicken Sie in SAP HANA Studio mit der rechten Maustaste auf den Namen Ihres SAP HANA-Servers und wählen Sie dann Sicherheit>Open Security Console>SAML Identitätsanbieter.

  2. Wählen Sie die SAP Cryptographic Library Option. Verwenden Sie nicht die Option OpenSSL Cryptographic Library, die von SAP als veraltet gilt.

    Screenshot of the

  3. Um das signierte Zertifikat IdP_Cert.pem zu importieren, wählen Sie die blaue Schaltfläche Importieren wie in der folgenden Abbildung gezeigt:

    Screenshot of the

  4. Denken Sie daran, einen Namen für Ihren Identitätsanbieter zu vergeben.

Importieren und Erstellen der signierten Zertifikate in HANA

Um die signierten Zertifikate in HANA zu importieren und zu erstellen, gehen Sie wie folgt vor:

  1. Führen Sie in SAP HANA Studio die folgende Abfrage aus:

    CREATE CERTIFICATE FROM '<idp_cert_pem_certificate_content>'
    

    Hier sehen Sie ein Beispiel:

    CREATE CERTIFICATE FROM
    '-----BEGIN CERTIFICATE-----
    MIIDyDCCArCgA...veryLongString...0WkC5deeawTyMje6
    -----END CERTIFICATE-----
    '
    
  2. Wenn es keine persönliche Sicherheitsumgebung (PSE) mit Zweck SAML gibt, erstellen Sie eine, indem Sie die folgende Abfrage in SAP HANA Studio ausführen:

    CREATE PSE SAMLCOLLECTION;
    set pse SAMLCOLLECTION purpose SAML;
    
  3. Fügen Sie das neu erstellte signierte Zertifikat zur PSE hinzu, indem Sie den folgenden Befehl ausführen:

    alter pse SAMLCOLLECTION add CERTIFICATE <certificate_id>;
    

    Beispiel:

    alter pse SAMLCOLLECTION add CERTIFICATE 1978320;
    

    Mit der folgenden Abfrage können Sie die Liste der erstellten Zertifikate überprüfen:

    select * from PUBLIC"."CERTIFICATES"
    

    Das Zertifikat ist nun ordnungsgemäß installiert. Um die Installation zu bestätigen, können Sie die folgende Abfrage ausführen:

    select * from "PUBLIC"."PSE_CERTIFICATES"
    

Zuordnen des Benutzers

Gehen Sie wie folgt vor, um den Benutzer zu zuordnen:

  1. Klicken Sie in SAP HANA Studio auf den Ordner Security (Sicherheit) .

    Screenshot of the Security folder structure on the left pane.

  2. Erweitern Sie Benutzer und wählen Sie dann den Benutzer aus, dem Sie Ihren Power BI-Benutzer zuordnen möchten.

  3. Aktivieren Sie das Kontrollkästchen SAML und klicken Sie dann auf Konfigurieren,wie in der folgenden Abbildung gezeigt:

    Screenshot of the

  4. Wählen Sie den Identitätsanbieter, den Sie im Abschnitt Zuordnung für das SAML-Identitätsanbieter-Zertifikat erstellen erstellt haben. FürExterne Identität, geben Sie unter Power BI-Benutzers UPN (normalerweise die E-Mail-Adresse, mit der sich der Benutzer bei Power BI anmeldet), und wählen Sie dann hinzufügen.

    Screenshot of the

    Geben Sie den Wert ein, der den ursprünglichen UPN des Power BI-Benutzers ersetzt, wenn Sie das Gateway für die Verwendung der Konfigurationsoption ADUserNameReplacementProperty konfiguriert haben. Wenn Sie beispielsweise ADUserNameReplacementProperty auf SAMAccountName festlegen, geben Sie den Benutzers SAMAccountNameein.

Konfigurieren des Gateways

Nachdem Sie nun das Gateway-Zertifikat und die Identität konfiguriert haben, konvertieren Sie das Zertifikat in ein PFX-Dateiformat und konfigurieren Sie dann das Gateway wie folgt für die Verwendung des Zertifikats:

  1. Konvertieren Sie das Zertifikat in das PFX-Format, indem Sie den folgenden Befehl ausführen. Dieser Befehl benennt die resultierende Datei samlcert.pfx und legt Stamm als Passwort fest, wie hier gezeigt:

    openssl pkcs12 -export -out samltest.pfx -in IdP_Cert.pem -inkey IdP_Key.pem -passin pass:root -passout pass:root
    
  2. Kopieren Sie die PFX-Datei auf das Gateway-Gerät:

    a. Doppelklicken Sie auf samltest.pfx, und klicken Sie dann auf Lokales Gerät>Weiter.

    b. Geben Sie das Kennwort ein, und klicken Sie auf Weiter.

    c. Klicken Sie auf Legen Sie alle Zertifikate im folgenden Speicher ab und wählen Sie dannDurchsuchen>Persönlich>OK.

    Screenshot of the

    d. Klicken Sie auf Next (Weiter) und dann auf Finish (Fertig stellen).

  3. Gewähren Sie dem Gateway-Service-Konto mit den folgenden Schritten den Zugriff auf den privaten Schlüssel des Zertifikats, in dem Sie folgt vorgehen:

    a. Führen Sie die Microsoft Management Console (MMC) auf dem Gateway-Gerät aus.

    Screenshot of the gateway machine

    b. In MMC, wählen SieDatei>Hinzufügen/Entfernen Snap-in.

    Screenshot of the

    c. Klicken Sie auf Zertifikaten>Hinzufügen und dann auf Computeraccount>Weiter.

    d. Klicken Sie dann auf Local Computer>Finish>OK (Lokaler Computer > Fertigstellen > Weiter).

    e. Erweitern Sie Zertifikate>Personal>Zertifikate und suchen Sie nach dem Zertifikat.

    f. Klicken Sie mit der rechten Maustaste auf das Zertifikat, und wählen Sie Alle Aufgaben>Private Schlüssel verwalten.

    Screenshot of the

    g. Fügen Sie das Gatewaydienstkonto der Liste hinzu. Das Standardkonto ist NT SERVICE\PBIEgwService. Sie können herausfinden, unter welchem Konto der Gateway-Dienst ausgeführt wird, indem Sie services.msc ausführen und dann nach lokaler Datengateway-Dienst suchen.

    Screenshot of the

Führen Sie abschließend die folgenden Schritte aus, um den Zertifikatfingerabdruck zur Gateway-Konfiguration hinzuzufügen:

  1. Führen Sie den folgenden PowerShell-Befehl aus, um die Zertifikate auf Ihrem Computer aufzulisten:

    Get-ChildItem -path cert:\LocalMachine\My
    
  2. Kopieren Sie den Fingerabdruck des von Ihnen erstellten Zertifikats.

  3. Wechseln Sie zum Verzeichnis des Gateways, das standardmäßig C:\Program Files\On-premises data gatewaylautet.

  4. Öffnen Sie PowerBI.DataMovement.Pipeline.GatewayCore.dll.config und suchen Sie nach dem SapHanaSAMLCertThumbprintAbschnitt. Fügen Sie den kopierten Fingerabdruck in Schritt 2 ein.

  5. Starten Sie den Gatewaydienst neu.

Ausführen eines Power BI-Berichts

Sie können jetzt die Seite Manage Gateway (Gateway verwalten) in Power BI verwenden, um die SAP HANA-Datenquelle zu konfigurieren. Aktivieren Sie unter Erweiterte Einstellungen SSO über SAML. Auf diese Weise können Sie Berichte und Datasets veröffentlichen, die an diese Datenquelle gebunden sind.

 Screenshot of advanced settings with single sign-on for SAML.

Hinweis

SSO verwendet die Windows-Authentifizierung, um sicherzustellen, dass das Windows-Konto auf den Gatewaycomputer zugreifen kann. Wenn Sie nicht sicher sind, müssen Sie NT-AUTHORITY\Authenticated Users (S-1-5-11) zur Gruppe „Benutzer“ des lokalen Computers hinzufügen.

Problembehandlung bei der Verwendung von SAML für einmaliges Anmelden bei SAP HANA

Dieser Abschnitt enthält ausführliche Beschreibungen der Schritte zum Beheben von Problemen bei der Verwendung von SAML für einmaliges Anmelden bei SAP HANA. Die folgenden Schritte können Ihnen helfen, Probleme selbst zu diagnostizieren und zu beheben.

Abgelehnte Anmeldeinformationen

Nach dem Konfigurieren des SAML-basierten SSO wird im Power BI-Portal möglicherweise der folgende Fehler angezeigt: „Die bereitgestellten Anmeldeinformationen können nicht für die SapHana-Quelle verwendet werden.“ Dieser Fehler gibt an, dass die SAML-Anmeldeinformationen von der SAP HANA.

In den Authentifizierungsablaufverfolgungen finden sich detaillierte Informationen zum Beheben von Fehlern bei Problemen mit Anmeldeinformationen bei SAP HANA. Befolgen Sie diese Schritte, um die Ablaufverfolgung für Ihren SAP HANA-Server zu konfigurieren:

  1. Aktivieren Sie auf dem SAP HANA-Server die Authentifizierungsablaufverfolgung, indem Sie die folgende Abfrage ausführen:

    ALTER SYSTEM ALTER CONFIGURATION ('indexserver.ini', 'SYSTEM') set ('trace', 'authentication') = 'debug' with reconfigure 
    
  2. Reproduzieren Sie das Problem.

  3. Öffnen Sie in HANA Studio die Administratorkonsole, und klicken Sie auf die Registerkarte Diagnosis Files.

  4. Öffnen Sie die aktuellste Indexserver-Überwachung und suchen Sie nach SAMLAuthenticator.cpp.

    Sie sollten eine detaillierte Fehlermeldung finden, die auf die Grundursache hinweist, wie im folgenden Beispiel gezeigt:

    [3957]{-1}[-1/-1] 2018-09-11 21:40:23.815797 d Authentication   SAMLAuthenticator.cpp(00091) : Element '{urn:oasis:names:tc:SAML:2.0:assertion}Assertion', attribute 'ID': '123123123123123' is not a valid value of the atomic type 'xs:ID'.
    [3957]{-1}[-1/-1] 2018-09-11 21:40:23.815914 i Authentication   SAMLAuthenticator.cpp(00403) : No valid SAML Assertion or SAML Protocol detected
    
  5. Nachdem Sie die Fehlerbehebung abgeschlossen haben, schalten Sie die Authentifizierungsüberwachung aus, indem Sie die folgende Abfrage ausführen:

    ALTER SYSTEM ALTER CONFIGURATION ('indexserver.ini', 'SYSTEM') UNSET ('trace', 'authentication');
    

Überprüfen und Beheben von Gateway-Fehlern

Um die Schritte in diesem Abschnitt auszuführen, müssen Sie Gateway-Protokolle sammeln.

SSL-Fehler (Zertifikat)

Fehlersymptome

Dieses Problem weist mehrere Symptome auf. Wenn Sie versuchen, eine neue Datenquelle hinzuzufügen, wird möglicherweise ein Fehler wie der folgende angezeigt:

Unable to connect: We encountered an error while trying to connect to . Details: "We could not register this data source for any gateway instances within this cluster. Please find more details below about specific errors for each gateway instance."

Wenn Sie versuchen, einen Bericht zu erstellen oder zu aktualisieren, wird möglicherweise eine Fehlermeldung wie die in der folgenden Abbildung angezeigt:

Screenshot of a 'Cannot load model' troubleshooting SSL error window.

Wenn Sie das Mashup[Datum]*.log untersuchen, sehen Sie die folgende Fehlermeldung:

A connection was successfully established with the server, but then an error occurred during the login process and the certificate chain was issued by an authority that is not trusted

Auflösung

Um diesen SSL-Fehler zu beheben, wechseln Sie zur Datenquellenverbindung, und wählen Sie dann Serverzertifikat validieren in der Dropdown-Liste Nein aus, wie in der folgenden Abbildung dargestellt:

Screenshot showing the S S L error being resolved on the 'Data Source Settings' pane.

Nachdem Sie diese Einstellung ausgewählt haben, wird die Fehlermeldung nicht mehr angezeigt.

SignXML-Gatewayfehler

Der SignXML-Gatewayfehler kann das Ergebnis falscher Einstellungen mit dem SapHanaSAMLCertThumbprint sein, oder es kann sich um ein Problem beim HANA-Server handeln. Die Einträge in den Gatewayprotokollen helfen, das Problem zu identifizieren und zu beheben.

Fehlersymptome

Protokolleinträge für SignXML: Found the cert...: Wenn Ihre GatewayInfo[Datum].log diesen Fehler enthält, wurde das SignXML-Zertifikat gefunden und Sie sollten sich bei der Fehlerbehebung auf die Schritte konzentrieren, die im Abschnitt Überprüfung und Problembehandlung auf der HANA-Serverseitebeschrieben sind.

Protokolleinträge für Couldn't find saml cert: Wenn Ihre GatewayInfo[Datum].log dieser Fehler enthält, ist SapHanaSAMLCertThumbprint falsch festgelegt. Im folgenden Abschnitt wird das Beheben des Problems beschrieben.

Auflösung

Um SapHanaSAMLCertThumbprintordnungsgemäß festzulegen, befolgen Sie die Anweisungen im Abschnitt "Konfigurieren des Gateways". Die Anweisungen beginnen mit Fügen Sie abschließend den Zertifikatsfingerabdruck in die Gateway-Konfiguration ein.

Nachdem Sie die Konfigurationsdatei geändert haben, starten Sie den Gateway-Dienst neu, damit die Änderung wirksam wird.

Überprüfung

Wenn SapHanaSAMLCertThumbprint ordnungsgemäß festgelegt ist, weisen die Gatewayprotokolle Einträge auf, die SignXML: Found the cert... enthalten. An diesem Punkt sollten Sie in der Lage sein, mit dem Abschnitt "Überprüfung und Problembehandlung auf der HANA-Serverseite" fortzufahren.

Wenn das Gateway nicht in der Lage ist, das Zertifikat zum Signieren der SAML-Assertion zu verwenden, wird Ihnen möglicherweise ein Fehler in den Protokollen angezeigt, der dem Folgenden ähnlich ist:

GatewayPipelineErrorCode=DM_GWPipeline_UnknownError GatewayVersion= InnerType=CryptographicException InnerMessage=<pi>Signing key is not loaded.</pi> InnerToString=<pi>System.Security.Cryptography.CryptographicException: Signing key is not loaded.

Befolgen Sie zum Beheben dieses Fehlers die Anweisungen, die mit Schritt 3 im Abschnitt "Konfigurieren des Gateways" beginnen.

Starten Sie nach dem Ändern der Konfiguration den Gateway-Dienst neu, damit die Änderung wirksam wird.

Überprüfen und Beheben von Problemen auf der HANA-Serverseite

Verwenden Sie die Schritte zur Problembehandlung in diesem Abschnitt, wenn das Gateway das Zertifikat findet und die SAML-Assertionen signieren kann, jedoch weiterhin Fehler auftreten. Sie müssen HANA-Authentifizierungsüberwachungen sammeln, wie weiter oben im Abschnitt "Abgelehnte Anmeldeinformationen"beschrieben.

Der SAML-Identitätsanbieter

Das Vorhandensein der Found SAML provider Zeichenfolge in den HANA-Authentifizierungsüberwachungen gibt an, dass der SAML-Identitätsanbieter ordnungsgemäß konfiguriert ist. Wenn die Zeichenfolge nicht vorhanden ist, ist die Konfiguration nicht korrekt.

Auflösung

Bestimmen Sie zunächst, ob Ihre Organisation OpenSSL oder commoncrypto als sslcryptoprovider verwendet. Gehen Sie wie folgt vor, um zu bestimmen, welcher Anbieter verwendet wird:

  1. Öffnen Sie SAP HANA Studio.

  2. Öffnen Sie die Verwaltungskonsole für den verwendeten Mandanten.

  3. Wählen Sie die Konfiguration Registerkarte und nutzen Sie sslcryptoprovider als Filter, wie in der folgenden Abbildung dargestellt:

    Screenshot of the sslcryptoprovider information in SAP HANA Studio.

Vergewissern Sie sich anschließend, dass die Kryptografiebibliothek ordnungsgemäß festgelegt ist, in dem Sie folgendes tun:

  1. Wechseln Sie in SAP HANA Studio zur Sicherheitskonsole, indem Sie die Registerkarte SAML-Identitätsanbieter auswählen, und führen Sie einen der folgenden Schritte aus:

    • Wenn OpenSSL als sslcryptoprovider verwendet wird, wählen Sie OpenSSL-Kryptografiebibliothek aus.
    • Wenn commonCrypto als sslcryptoprovider verwendet wird, wählen SAP-Kryptografiebibliothekaus.

    In der folgenden Abbildung ist SAP-Kryptografiebibliothek ausgewählt:

    Screenshot of SAP HANA Studio with 'SAP Cryptographic Library' selected as the sslcryptoprovider.

  2. Stellen Sie Ihre Änderungen bereit, indem Sie oben rechts die Schaltfläche Bereitstellen auswählen, wie in der folgenden Abbildung dargestellt:

    Screenshot of the 'Deploy' button for deploying your solution changes.

Überprüfung

Bei ordnungsgemäßer Konfiguration der Überwachung, melden die Ablaufverfolgungen Found SAML provider und werden nicht BerichtSAML Provider not found. Sie können mit dem nächsten Abschnitt "Problembehandlung bei der SAML-Assertionssignatur" fortfahren.

Wenn der Kryptografieanbieter festgelegt ist, aber immer noch SAML Provider not found gemeldet wird, suchen Sie in der Überwachung nach einer Zeichenfolge, die wie folgt beginnt:

Search SAML provider for certificate with subject =

Stellen Sie in dieser Zeichenfolge sicher, dass der Betreff und der Aussteller genau so lauten, wie sie auf der Registerkarte SAML-Identitätsanbieter in der Sicherheitskonsole angezeigt werden. Das Problem kann auch durch ein einzelnes abweichendes Zeichen verursacht werden. Wenn Sie einen Unterschied feststellen, können Sie die SAP-Kryptografiebibliothek so ändern, dass die Einträge exakt übereinstimmen.

Wenn das Problem durch das Ändern der SAP-Kryptografiebibliothek nicht behoben werden kann, können Sie die Felder manuell Ausgestellt für und Ausgestellt von bearbeiten.

Behandeln von Problemen bei der SAML-Assertionssignatur

Möglicherweise sind HANA-Authentifizierungsüberwachung vorhanden, die Einträge wie die folgenden enthalten:

[48163]{-1}[-1/-1] 2020-09-11 21:15:18.896165 i Authentication SAMLAuthenticator.cpp(00398) : Unable to verify XML signature [48163]{-1}[-1/-1] 2020-09-11 21:15:18.896168 i Authentication MethodSAML.cpp(00103) : unsuccessful login attempt with SAML ticket!

Das Vorhandensein solcher Einträge bedeutet, dass die Signatur nicht vertrauenswürdig ist.

Auflösung

Wenn SieOpenSSL als sslcryptoprovider verwenden, überprüfen Sie, ob das trust.pem und key.pem enthält. Dateien sind in dem SSL Verzeichnis. Weitere Informationen finden unter dem SAP-BlogAbsicherung der Kommunikation zwischen SAP HANA Studio und SAP HANA Server durch SSL.

Wenn Sie commoncrypto als sslcryptoprovider verwenden, überprüfen Sie, ob der Mandant eine Sammlung mit dem Zertifikat enthält.

Überprüfung

Bei ordnungsgemäßer Konfiguration der Überwachung, melden die Ablaufverfolgungen Found valid XML signature.

Behandlung von Problemen bei der UPN-Zuordnung

Möglicherweise sind HANA-Überwachung vorhanden, die Einträge wie die folgenden enthalten:

SAMLAuthenticator.cpp(00886) : Assertion Subject NameID: `johnny@contoso.com` SAMLAuthenticator.cpp(00398) : Database user does not exist

Der Fehler gibt an, dass nameId in den SAML-Assertions gefunden wird johnny@contoso.com enthalten ist, aber nicht existiert oder nicht korrekt im HANA Server abgebildet ist.

Auflösung

Wechseln Sie zum Benutzer der HANA-Datenbank, und wählen Sie unter dem ausgewählten Kontrollkästchen SAML den Link Konfigurieren aus. Das folgende Fenster wird angezeigt:

Screenshot showing that the incorrect user name is displayed.

Wie in der Fehlermeldung beschrieben, hat HANA versucht johnny@contoso.com zu finden, aber die externe Identität wird nur als johnny angezeigt. Diese Werte müssen übereinstimmen. Um das Problem zu beheben, ändern Sie den Wert unter Externe Identitätin, um den Wert zu johnny@contoso.comändern. Bei diesem Wert ist die Groß-/Kleinschreibung zu beachten.

Weitere Informationen zum lokalen Datengateway und zu DirectQuery finden Sie in den folgenden Ressourcen: