Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des options de ligne de commande pour le déploiement d’un agent de connecteur de données SAP. Pour les déploiements classiques, nous vous recommandons d’utiliser le portail au lieu de la ligne de commande, car les agents de connecteur de données installés via la ligne de commande peuvent être gérés uniquement via la ligne de commande.
Toutefois, si vous utilisez un fichier de configuration pour stocker vos informations d’identification au lieu de Azure Key Vault, ou si vous êtes un utilisateur avancé qui souhaite déployer le connecteur de données manuellement, par exemple dans un cluster Kubernetes, utilisez plutôt les procédures décrites dans cet article.
Bien que vous puissiez exécuter plusieurs agents de connecteur de données sur une seule machine, nous vous recommandons de commencer avec un seul, de surveiller les performances, puis d’augmenter le nombre de connecteurs lentement. Nous recommandons également à votre équipe de sécurité d’effectuer cette procédure avec l’aide de l’équipe SAP BASIS .
Remarque
Cet article concerne uniquement l’agent de connecteur de données et n’est pas pertinent pour le connecteur de données sans agent SAP.
Importante
Toutes les fonctionnalités Microsoft Sentinel seront officiellement mises hors service dans la Azure gérée par la région 21Vianet le 18 août 2026, conformément à l’annonce publiée par 21Vianet. En raison de cette mise hors service à venir, les clients ne peuvent plus intégrer de nouveaux abonnements au service.
Nous recommandons aux clients de travailler avec leurs représentants de compte pour Microsoft Azure géré par 21Vianet pour évaluer l’impact de cette mise hors service sur leurs propres opérations.
Configuration requise
Avant de déployer votre connecteur de données, veillez à créer une machine virtuelle et à configurer l’accès à vos informations d’identification.
Si vous utilisez SNC pour des connexions sécurisées, assurez-vous que votre système SAP est correctement configuré, puis préparez le script kickstart pour une communication sécurisée avec SNC avant de déployer l’agent de connecteur de données.
Pour plus d’informations, consultez la documentation SAP et le blog Bien démarrer avec SAP SNC pour les intégrations RFC - SAP.
Déployer l’agent de connecteur de données à l’aide d’une identité managée ou d’une application inscrite
Cette procédure décrit comment créer un agent et le connecter à votre système SAP via la ligne de commande, en s’authentifiant avec une identité managée ou une application Microsoft Entra ID inscrite.
Si vous utilisez SNC, vérifiez d’abord que vous avez terminé Préparer le script de démarrage pour une communication sécurisée avec SNC .
Si vous utilisez un fichier de configuration pour stocker vos informations d’identification, consultez Déployer le connecteur de données à l’aide d’un fichier de configuration à la place.
Pour déployer votre agent de connecteur de données :
Téléchargez et exécutez le script kickstart de déploiement :
Pour une identité managée, utilisez l’une des options de commande suivantes :
Pour le cloud commercial public Azure :
wget -O sapcon-sentinel-kickstart.sh https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh && bash ./sapcon-sentinel-kickstart.shPour Microsoft Azure géré par 21Vianet, ajoutez
--cloud mooncakeà la fin de la commande copiée.Pour Azure Government - US, ajoutez
--cloud fairfaxà la fin de la commande copiée.
Pour une application inscrite, utilisez la commande suivante pour télécharger le script kickstart de déploiement à partir du dépôt GitHub Microsoft Sentinel et le marquer comme exécutable :
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.shExécutez le script, en spécifiant l’ID d’application, le secret (le « mot de passe »), l’ID de locataire et le nom du coffre de clés que vous avez copiés aux étapes précédentes. Par exemple :
./sapcon-sentinel-kickstart.sh --keymode kvsi --appid aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa --appsecret ssssssssssssssssssssssssssssssssss -tenantid bbbbbbbb-bbbb-bbbb-bbbb-bbbbbbbbbbbb -kvaultname <key vault name>Pour configurer une configuration SNC sécurisée, spécifiez les paramètres de base suivants :
--use-snc--cryptolib <path to sapcryptolib.so>--sapgenpse <path to sapgenpse>--server-cert <path to server certificate public key>
Si le certificat client est au format .crt ou .key , utilisez les commutateurs suivants :
--client-cert <path to client certificate public key>--client-key <path to client certificate private key>
Si le certificat client est au format .pfx ou .p12 , utilisez les commutateurs suivants :
--client-pfx <pfx filename>--client-pfx-passwd <password>
Si le certificat client a été émis par une autorité de certification d’entreprise, ajoutez le commutateur suivant pour chaque autorité de certification dans la chaîne d’approbation :
--cacert <path to ca certificate>
Par exemple :
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.sh --use-snc --cryptolib /home/azureuser/libsapcrypto.so --sapgenpse /home/azureuser/sapgenpse --client-cert /home/azureuser/client.crt --client-key /home/azureuser/client.key --cacert /home/azureuser/issuingca.crt --cacert /home/azureuser/rootca.crt --server-cert /home/azureuser/server.crt
Le script met à jour les composants du système d’exploitation, installe l’Azure CLI et le logiciel Docker et d’autres utilitaires requis (jq, netcat, curl) et vous invite à entrer les valeurs des paramètres de configuration. Fournissez des paramètres supplémentaires au script pour réduire le nombre d’invites ou personnaliser le déploiement du conteneur. Pour plus d’informations sur les options de ligne de commande disponibles, consultez Informations de référence sur les scripts Kickstart.
Suivez les instructions à l’écran pour entrer les détails de votre SAP et de votre coffre de clés et terminer le déploiement. Une fois le déploiement terminé, un message de confirmation s’affiche :
The process has been successfully completed, thank you!Notez le nom du conteneur Docker dans la sortie du script. Pour afficher la liste des conteneurs Docker sur votre machine virtuelle, exécutez :
docker ps -aVous utiliserez le nom du conteneur Docker à l’étape suivante.
Pour déployer l’agent de connecteur de données SAP, vous devez accorder l’identité de machine virtuelle de votre agent avec des autorisations spécifiques à l’espace de travail Log Analytics activé pour Microsoft Sentinel, à l’aide des rôles Microsoft Sentinel Opérateur et Lecteur de l’Agent d’applications métiers.
Pour exécuter la commande dans cette étape, vous devez être propriétaire d’un groupe de ressources sur l’espace de travail Log Analytics activé pour Microsoft Sentinel. Si vous n’êtes pas propriétaire d’un groupe de ressources sur votre espace de travail, cette procédure peut également être effectuée ultérieurement.
Affectez les rôles Opérateur et LecteurMicrosoft Sentinel Agent d’applications métiers à l’identité de la machine virtuelle :
Obtenez l’ID de l’agent en exécutant la commande suivante, en remplaçant l’espace
<container_name>réservé par le nom du conteneur Docker que vous avez créé avec le script kickstart :docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+Par exemple, un ID d’agent retourné peut être
234fba02-3b34-4c55-8c0e-e6423ceb405b.Attribuez les rôles Opérateur et LecteurMicrosoft Sentinel Agent d’applications métiers en exécutant les commandes suivantes :
az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER> az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>Remplacez les valeurs d’espace réservé comme suit :
Espace réservé Valeur <OBJ_ID>ID d’objet de votre identité de machine virtuelle.
Pour rechercher l’ID d’objet de votre identité de machine virtuelle dans Azure :
- Pour une identité managée, l’ID d’objet est répertorié dans la page Identité de la machine virtuelle.
- Pour un principal de service, accédez à Application d’entreprise dans Azure. Sélectionnez Toutes les applications , puis votre machine virtuelle. L’ID d’objet s’affiche dans la page Vue d’ensemble .<SUB_ID>L’ID d’abonnement pour votre espace de travail Log Analytics activé pour Microsoft Sentinel <RESOURCE_GROUP_NAME>Nom du groupe de ressources pour votre espace de travail Log Analytics activé pour Microsoft Sentinel <WS_NAME>Nom de votre espace de travail Log Analytics activé pour Microsoft Sentinel <AGENT_IDENTIFIER>ID d’agent affiché après l’exécution de la commande à l’étape précédente. Pour configurer le démarrage automatique du conteneur Docker, exécutez la commande suivante, en remplaçant l’espace
<container-name>réservé par le nom de votre conteneur :docker update --restart unless-stopped <container-name>
La procédure de déploiement génère un fichier systemconfig.json qui contient les détails de configuration de l’agent de connecteur de données SAP. Le fichier se trouve dans le /sapcon-app/sapcon/config/system répertoire de votre machine virtuelle.
Déployer le connecteur de données à l’aide d’un fichier de configuration
Azure Key Vault est la méthode recommandée pour stocker vos informations d’identification d’authentification et vos données de configuration. Si vous ne pouvez pas utiliser Azure Key Vault, cette procédure décrit comment déployer le conteneur de l’agent de connecteur de données à l’aide d’un fichier de configuration.
Si vous utilisez SNC, vérifiez d’abord que vous avez terminé Préparer le script de démarrage pour une communication sécurisée avec SNC .
Si vous utilisez une identité managée ou une application inscrite, consultez Déployer l’agent de connecteur de données à l’aide d’une identité managée ou d’une application inscrite à la place.
Pour déployer votre agent de connecteur de données :
Créez une machine virtuelle sur laquelle déployer l’agent.
Transférez le Kit de développement logiciel (SDK) SAP NetWeaver sur l’ordinateur sur lequel vous souhaitez installer l’agent.
Exécutez les commandes suivantes pour télécharger le script Kickstart de déploiement à partir du dépôt GitHub Microsoft Sentinel et le marquer comme exécutable :
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.sh chmod +x ./sapcon-sentinel-kickstart.shExécutez le script :
./sapcon-sentinel-kickstart.sh --keymode cfgfLe script met à jour les composants du système d’exploitation, installe l’Azure CLI et le logiciel Docker et d’autres utilitaires requis (jq, netcat, curl) et vous invite à entrer les valeurs des paramètres de configuration. Fournissez des paramètres supplémentaires au script si nécessaire pour réduire le nombre d’invites ou personnaliser le déploiement du conteneur. Pour plus d’informations, consultez les informations de référence sur les scripts Kickstart.
Suivez les instructions à l’écran pour entrer les détails demandés et terminer le déploiement. Une fois le déploiement terminé, un message de confirmation s’affiche :
The process has been successfully completed, thank you!Notez le nom du conteneur Docker dans la sortie du script. Pour afficher la liste des conteneurs Docker sur votre machine virtuelle, exécutez :
docker ps -aVous utiliserez le nom du conteneur Docker à l’étape suivante.
Pour déployer l’agent de connecteur de données SAP, vous devez accorder l’identité de machine virtuelle de votre agent avec des autorisations spécifiques à l’espace de travail Log Analytics activé pour Microsoft Sentinel, à l’aide des rôles Microsoft Sentinel Opérateur et Lecteur de l’Agent d’applications métiers.
Pour exécuter les commandes de cette étape, vous devez être propriétaire d’un groupe de ressources sur votre espace de travail. Si vous n’êtes pas propriétaire d’un groupe de ressources sur votre espace de travail, cette étape peut également être effectuée ultérieurement.
Affectez les rôles Opérateur et LecteurMicrosoft Sentinel Agent d’applications métiers à l’identité de la machine virtuelle :
Obtenez l’ID de l’agent en exécutant la commande suivante, en remplaçant l’espace
<container_name>réservé par le nom du conteneur Docker que vous avez créé avec le script Kickstart :docker inspect <container_name> | grep -oP '"SENTINEL_AGENT_GUID=\K[^"]+'Par exemple, un ID d’agent retourné peut être
234fba02-3b34-4c55-8c0e-e6423ceb405b.Attribuez les rôles Opérateur et LecteurMicrosoft Sentinel Agent d’applications métiers en exécutant les commandes suivantes :
az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Microsoft Sentinel Business Applications Agent Operator" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER> az role assignment create --assignee-object-id <Object_ID> --role --assignee-principal-type ServicePrincipal "Reader" --scope /subscriptions/<SUB_ID>/resourcegroups/<RESOURCE_GROUP_NAME>/providers/microsoft.operationalinsights/workspaces/<WS_NAME>/providers/Microsoft.SecurityInsights/BusinessApplicationAgents/<AGENT_IDENTIFIER>Remplacez les valeurs d’espace réservé comme suit :
Espace réservé Valeur <OBJ_ID>ID d’objet de votre identité de machine virtuelle.
Pour rechercher votre ID d’objet d’identité de machine virtuelle dans Azure : Pour une identité managée, l’ID d’objet est répertorié dans la page Identité de la machine virtuelle. Pour un principal de service, accédez à Application d’entreprise dans Azure. Sélectionnez Toutes les applications , puis votre machine virtuelle. L’ID d’objet s’affiche dans la page Vue d’ensemble .<SUB_ID>ID d’abonnement pour votre espace de travail Log Analytics activé pour Microsoft Sentinel <RESOURCE_GROUP_NAME>Nom du groupe de ressources pour votre espace de travail Log Analytics activé pour Microsoft Sentinel <WS_NAME>Nom de votre espace de travail Log Analytics activé pour Microsoft Sentinel <AGENT_IDENTIFIER>ID d’agent affiché après l’exécution de la commande à l’étape précédente.
Exécutez la commande suivante pour configurer le conteneur Docker pour qu’il démarre automatiquement.
docker update --restart unless-stopped <container-name>
La procédure de déploiement génère un fichier systemconfig.json qui contient les détails de configuration de l’agent de connecteur de données SAP. Le fichier se trouve dans le /sapcon-app/sapcon/config/system répertoire de votre machine virtuelle.
Préparer le script kickstart pour une communication sécurisée avec SNC
Cette procédure décrit comment préparer le script de déploiement pour configurer les paramètres pour les communications sécurisées avec votre système SAP à l’aide de SNC. Si vous utilisez SNC, vous devez effectuer cette procédure avant de déployer l’agent de connecteur de données.
Pour configurer le conteneur pour une communication sécurisée avec SNC :
Transférez les fichiers libsapcrypto.so et sapgenpse vers le système où vous créez le conteneur.
Transférez le certificat client, y compris les clés privées et publiques, vers le système où vous créez le conteneur.
Le certificat client et la clé peuvent être au format .p12, .pfx ou base64 .crt et .key .
Transférez le certificat de serveur (clé publique uniquement) vers le système où vous créez le conteneur.
Le certificat de serveur doit être au format .crt base64.
Si le certificat client a été émis par une autorité de certification d’entreprise, transférez l’autorité de certification émettrice et les certificats d’autorité de certification racine vers le système où vous créez le conteneur.
Obtenez le script kickstart à partir du dépôt GitHub Microsoft Sentinel :
wget https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/SAP/sapcon-sentinel-kickstart.shModifiez les autorisations du script pour le rendre exécutable :
chmod +x ./sapcon-sentinel-kickstart.sh
Pour plus d’informations, consultez Informations de référence sur le script de déploiement Kickstart pour l’agent de connecteur de données Microsoft Sentinel pour les applications SAP.
Optimiser la surveillance des tables SAP PAHI (recommandé)
Pour obtenir des résultats optimaux dans la surveillance de la table SAP PAHI, ouvrez le fichier systemconfig.json pour modification et, sous la [ABAP Table Selector](reference-systemconfig-json.md#abap-table-selector) section , activez les PAHI_FULL paramètres et PAHI_INCREMENTAL .
Pour plus d’informations, consultez Systemconfig.json référence de fichier et Vérifier que la table PAHI est mise à jour à intervalles réguliers.
Vérifier la connectivité et l’intégrité
Après avoir déployé l’agent de connecteur de données SAP, case activée l’intégrité et la connectivité de votre agent. Pour plus d’informations, consultez Surveiller l’intégrité et le rôle de vos systèmes SAP.
Étape suivante
Une fois le connecteur déployé, déployez Microsoft Sentinel solution pour le contenu des applications SAP :