Konfigurieren der sicheren Kommunikation zwischen den SharePoint- und SAP-Umgebungen (Duet Enterprise)

Gilt für: Duet Enterprise for Microsoft SharePoint and SAP

Letztes Änderungsdatum des Themas: 2012-04-16

In diesem Artikel werden die Verfahren zum Einrichten der sicheren Kommunikation zwischen der Webanwendung, in der Sie im Lieferumfang von Duet Enterprise für Microsoft SharePoint und SAP enthaltene Lösungen konfigurieren möchten, und der SAP-Umgebung beschrieben. In der folgenden Liste werden die wichtigsten Schritte zusammengefasst, die Sie in diesem Artikel ausführen werden.

• Verwenden oder Erstellen einer Webanwendung, für die Sie eine oder mehrere Duet Enterprise-Lösungen konfigurieren werden. Für diese Webanwendung muss die anspruchsbasierte Authentifizierung konfiguriert sein. Sie können eine vorhandene Webanwendung verwenden oder eine neue Webanwendung erstellen. Anschließend müssen Sie die Webanwendung erweitern, um eine neue Zone zu erstellen, für die Sie die Verwendung des HTTPS-Protokolls (SSL) konfigurieren werden. Diese Zone wird für alle Transaktionen zwischen der Webanwendung und dem SAP-System verwendet.

• Binden eines SSL-Zertifikats an die für SSL konfigurierte Zone und Übergeben des Zertifikats an den SAP-Administrator, um eine Vertrauensstellung im SAP-System zu konfigurieren.

• Exportieren des Zertifikats des Sicherheitstokendiensts (Security Token Service, STS) und Übergeben des Zertifikats an den SAP-Administrator, um eine Vertrauensstellung im SAP-System zu konfigurieren.

• Einrichten einer Vertrauensstellung mit dem vom SAP-Administrator bereitgestellten SSL-Zertifikat.

Erstellen oder Abrufen eines SSL-Zertifikats

Sie benötigen ein SSL-Zertifikat, um eine Webanwendung mithilfe von Secure Sockets Layer (SSL) zu sichern. Für eine Produktionsumgebung wird empfohlen, dass Sie sich ein signiertes Zertifikat von einer Drittanbieter-Zertifizierungsstelle oder einer Zertifizierungsstelle in Ihrer Intranetdomäne besorgen. Für Testumgebungen können Sie jedoch zu diesem Zweck ein selbstsigniertes Zertifikat erstellen. Weitere Informationen zum zu verwendenden Zertifikattyp und zum Erstellen eines selbstsignierten Zertifikats finden Sie unter Einrichten von SSL in IIS 7.0 (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x407).

Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, werden der Speicherort und der Dateiname des SSL-Zertifikats in der Zeile Dateiname und Speicherort des SSL-Zertifikats in Tabelle 1 des Arbeitsblatts aufgelistet.

Vorbereiten der Webanwendung, in der Sie Duet Enterprise-Funktionalität aktivieren möchten

Duet Enterprise erfordert mindestens eine Webanwendung, für die die anspruchsbasierte Windows-Authentifizierung konfiguriert ist. Mit dieser Webanwendung werden Websites mit SAP-Informationen gehostet, wie z. B. die Duet Enterprise-Websites. In der Regel sollten die Endbenutzer in der Lage sein, mithilfe des HTTP-Protokolls auf Inhalt in SharePoint-Websites zuzugreifen.

Für Workflowtransaktionen zwischen der Webanwendung und dem SAP-System ist die Standardauthentifizierung erforderlich, bei der alle Informationen als Klartext gesendet werden. Deshalb wird empfohlen, die Webanwendung zu erweitern, um eine neue Zone zu erstellen, und für diese Zone SSL und die Standardauthentifizierung zu konfigurieren.

Beim Konfigurieren der Webanwendung gibt es mehrere Optionen. Beispielsweise können Sie die Duet Enterprise-Websites in einer vorhandenen Webanwendung bereitstellen, Sie können aber auch eine neue Webanwendung erstellen.

Die anspruchsbasierte Windows-Authentifizierung ist für alle Webanwendungen erforderlich, in denen Sie Duet Enterprise-Lösungen konfigurieren werden. Die anspruchsbasierte Authentifizierung wird nicht unterstützt, da Berichte nicht an Websites weitergeleitet werden können, die die anspruchsbasierte Authentifizierung verwenden.

Führen Sie einen der folgenden Schritte aus:

• Wenn eine Webanwendung vorhanden ist, für die Sie Duet Enterprise-Funktionalität aktivieren möchten, müssen Sie sicherstellen, dass dafür die anspruchsbasierte Windows-Authentifizierung konfiguriert ist. Informationen zum Überprüfen, ob Duet Enterprise von der vorhandenen Webanwendung unterstützt wird, finden Sie unter Überprüfen, ob für eine Webanwendung die anspruchsbasierte Windows-Authentifizierung konfiguriert ist.

• Falls die Webanwendung, für die Sie Duet Enterprise-Funktionalität aktivieren möchten, noch nicht vorhanden ist, finden Sie weitere Informationen unter Erstellen einer Webanwendung für die Duet Enterprise-Websites.

Überprüfen, ob für eine Webanwendung die anspruchsbasierte Windows-Authentifizierung konfiguriert ist

Wenn Sie eine vorhandene Webanwendung für die Duet Enterprise-Websites verwenden möchten, müssen Sie sicherstellen, dass dafür die anspruchsbasierte Windows-Authentifizierung konfiguriert ist. Wenn Sie eine neue Webanwendung für Duet Enterprise-Websites erstellen möchten, fahren Sie mit dem Abschnitt Erstellen einer Webanwendung für die Duet Enterprise-Websites fort.

Wenn für die Webanwendung, die Sie für Duet Enterprise-Websites verwenden möchten, nicht die anspruchsbasierte Windows-Authentifizierung konfiguriert ist, können Sie sie möglicherweise in eine Webanwendung mit anspruchsbasierter Windows-Authentifizierung konvertieren, oder Sie können eine neue Webanwendung für die Duet Enterprise-Websites erstellen. Weitere Informationen zum Konvertieren einer Webanwendung in eine Webanwendung mit anspruchsbasierter Windows-Authentifizierung finden Sie unter Migrieren von der formularbasierten Authentifizierung zur anspruchsbasierten Authentifizierung (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205651&clcid=0x407) und Migrieren von der klassischen zur anspruchsbasierten Authentifizierung (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205652&clcid=0x407).

So bestimmen Sie, ob für eine Webanwendung die anspruchsbasierte Windows-Authentifizierung konfiguriert ist

1. Stellen Sie sicher, dass Sie über die folgenden Administratoranmeldeinformationen verfügen:

   • Sie müssen Mitglied der SharePoint-Gruppe der Farmadministratoren und Mitglied der Windows-Administratorengruppe auf dem Server mit der Zentraladministration sein.

2. Klicken Sie auf der Website für die Zentraladministration auf der Schnellstartleiste auf Anwendungsverwaltung.

3. Klicken Sie im Abschnitt Webanwendungen auf Webanwendungen verwalten.

4. Klicken Sie in der Spalte Name auf die Webanwendung, für die Sie den Authentifizierungsanbieter überprüfen möchten.

5. Klicken Sie in der Gruppe Sicherheit des Menübands auf Authentifizierungsanbieter.

6. Überprüfen Sie im Dialogfeld Authentifizierungsanbieter unter Name des Mitgliedschaftsanbieters, ob für die Zone, für die Sie die Duet Enterprise-Websites bereitstellen werden, Forderungsbasierte Authentifizierung angezeigt wird. Andernfalls ist für die Zone nicht die anspruchsbasierte Authentifizierung konfiguriert und Sie müssen entweder die Webanwendung in eine Webanwendung mit anspruchsbasierter Windows-Authentifizierung konvertieren oder eine neue Webanwendung für die Duet Enterprise-Websites erstellen.

Erstellen einer Webanwendung für die Duet Enterprise-Websites

Für die Webanwendung für die Duet Enterprise-Websites muss die anspruchsbasierte Windows-Authentifizierung konfiguriert sein. Verwenden Sie dieses Verfahren zum Erstellen einer neuen Webanwendung, falls keine Webanwendung vorhanden ist, in der Sie die Duet Enterprise-Websites aktivieren möchten. Fahren Sie andernfalls mit dem Abschnitt Erweitern der Webanwendung fort.

So erstellen Sie eine Webanwendung mit konfigurierter anspruchsbasierter Windows-Authentifizierung

1. Stellen Sie sicher, dass Sie über die folgenden Administratoranmeldeinformationen verfügen:

   • Zum Erstellen einer Webanwendung müssen Sie Mitglied der SharePoint-Gruppe der Farmadministratoren und Mitglied der Windows-Administratorengruppe auf dem Server mit der Zentraladministration sein.

2. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.

3. Klicken Sie in der Gruppe Mitwirken des Menübands auf Neu.

4. Klicken Sie auf der Seite Neue Webanwendung erstellen im Abschnitt Authentifizierung auf Forderungsbasierte Authentifizierung.

5. Geben Sie im Abschnitt IIS-Website in das Feld Port die Portnummer für den Zugriff auf die Webanwendung ein.

   Standardmäßig wird in diesem Feld eine zufällige Portnummer eingetragen.

   Hinweis

   Die Standardportnummer für HTTP-Zugriff ist 80. Verwenden Sie die Standardportnummer, falls Benutzer ohne Eingabe einer Portnummer auf die Webanwendung zugreifen können sollen.

6. Optional: Geben Sie im Abschnitt IIS-Website im Feld Hostheader den Hostnamen ein (z. B. www.contoso.com), der für den Zugriff auf die Webanwendung verwendet werden soll.

   Hinweis

   Dieser Wert wird im Allgemeinen nur festgelegt, wenn Sie zwei oder mehr IIS-Websites mit derselben Portnummer auf demselben Server konfigurieren möchten und DNS so konfiguriert ist, dass Anforderungen an denselben Server weitergeleitet werden.

7. Geben Sie optional im Abschnitt IIS-Website in das Feld Pfad den Pfad des Stammverzeichnisses der IIS-Website auf dem Server ein.

   In diesem Feld wird ein vorgeschlagener Pfad eingetragen.

8. Stellen Sie sicher, dass im Abschnitt Forderungsauthentifizierungstypen das Kontrollkästchen Windows-Authentifizierung aktivieren aktiviert ist, und wählen Sie im Dropdownmenü Aushandeln (Kerberos) oder NTLM aus. Weitere Informationen finden Sie unter Planen der Kerberos-Authentifizierung (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0x407).

9. Ändern Sie im Abschnitt Öffentliche URL die URL in den vollqualifizierten Domänennamen. Beispielsweise https://corp.contoso.com:80

   Hinweis

   Der Wert Zone wird für eine neue Webanwendung automatisch auf Standard festgelegt.

   Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, geben Sie diese URL in der Zeile URL der Webanwendung für Duet Enterprise-Websites in Tabelle 1 des Arbeitsblatts ein.

10. Stellen Sie im Abschnitt Anwendungspool sicher, dass Neuen Anwendungspool erstellen ausgewählt ist, und geben Sie dann den gewünschten Namen für den neuen Anwendungspool ein, oder behalten Sie den Standardnamen bei.

11. Stellen Sie unter Wählen Sie ein Sicherheitskonto für diesen Anwendungspool aus sicher, dass Konfigurierbar ausgewählt ist, und wählen Sie das verwaltete Konto aus, das Sie für diesen Anwendungspool verwenden möchten.

    Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden und zuvor die für die Bereitstellung erforderlichen Konten identifiziert oder erstellt haben, wird dieses Konto in der Zeile Dienstkonto für die Webanwendung der Duet Enterprise-Websites in Tabelle 3 des Arbeitsblatts aufgelistet.

12. Wählen Sie im Abschnitt Datenbankname und Authentifizierung wie in der folgenden Tabelle beschrieben den Datenbankserver und den Datenbanknamen für die neue Webanwendung aus, oder übernehmen Sie die Standardwerte.

    Element	Aktion
    Datenbankserver	Geben Sie den Namen des gewünschten Datenbankservers und der gewünschten Microsoft SQL Server-Instanz im Format "SERVERNAME\Instanz" ein. Sie können auch den Standardeintrag verwenden.
    Datenbankname	Geben Sie den Namen der Datenbank ein, oder verwenden Sie den Standardeintrag.

13. Stellen Sie im Abschnitt Datenbankname und Authentifizierung sicher, dass Windows-Authentifizierung (empfohlen) ausgewählt ist.

14. Wenn Sie die Datenbankspiegelung verwenden, geben Sie im Abschnitt Failoverserver in das Feld Failoverdatenbankserver den Namen eines bestimmten Failoverdatenbankservers ein, den Sie einer Inhaltsdatenbank zuordnen möchten.

15. Wählen Sie im Abschnitt Dienstanwendungsverbindung die Dienstanwendungsverbindungen aus, die für die Webanwendung verfügbar sein sollen. Klicken Sie im Dropdownmenü auf Standard oder Benutzerdefiniert. Mit der Option Benutzerdefiniert wählen Sie die Dienstanwendungsverbindungen aus, die Sie für die Webanwendung verwenden möchten.

    Tipp

    Für Duet Enterprise müssen die folgenden Dienstanwendungen dieser Webanwendung zugeordnet sein: Business Data Connectivity Service, Secure Store Service und Benutzerprofildienst-Anwendung.

16. Klicken Sie im Abschnitt Programm zur Verbesserung der Benutzerfreundlichkeit auf Ja oder Nein.

17. Klicken Sie auf OK, um die neue Webanwendung zu erstellen.

18. Klicken Sie im angezeigten Dialogfeld auf OK. Die von Ihnen erstellte Webanwendung wird auf der Seite Webanwendungsverwaltung in der Zentraladministration angezeigt. Schließen Sie diese Seite nicht, da sie für das nächste Verfahren benötigt wird.

Erweitern der Webanwendung

Erweitern Sie mithilfe dieses Verfahrens die Webanwendung, um eine Zone zu erstellen, die für alle Transaktionen zwischen der Webanwendung und dem SAP-System verwendet wird.

So erweitern Sie die Webanwendung

1. Stellen Sie sicher, dass Sie über die folgenden Administratoranmeldeinformationen verfügen:

   • Zum Erstellen einer Webanwendung müssen Sie Mitglied der SharePoint-Gruppe der Farmadministratoren und Mitglied der Windows-Administratorengruppe auf dem Server mit der Zentraladministration sein.

2. Klicken Sie auf der Homepage der Zentraladministration im Abschnitt Anwendungsverwaltung auf Webanwendungen verwalten.

3. Wählen Sie auf der Seite Webanwendungsverwaltung die Webanwendung aus, die Sie im vorherigen Verfahren erstellt haben.

4. Klicken Sie in der Gruppe Mitwirken des Menübands auf Erweitern.

5. Stellen Sie auf der Seite Webanwendung auf eine andere IIS-Website erweitern im Abschnitt IIS-Website sicher, dass Neue IIS-Website erstellen ausgewählt ist, und geben Sie optional den Namen der Website in das Feld Name ein.

6. Geben Sie im Abschnitt IIS-Website in das Feld Port die Portnummer für den Zugriff auf die Webanwendung ein. Standardmäßig wird in diesem Feld eine zufällige Portnummer eingetragen.

7. Optional: Geben Sie im Abschnitt IIS-Website im Feld Hostheader den Hostnamen ein (z. B. www.contoso.com), der für den Zugriff auf die Webanwendung verwendet werden soll.

   Hinweis

   Dieser Wert wird im Allgemeinen nur festgelegt, wenn Sie zwei oder mehr IIS-Websites mit derselben Portnummer auf demselben Server konfigurieren möchten und DNS so konfiguriert ist, dass Anforderungen an denselben Server weitergeleitet werden.

8. Optional: Geben Sie im Abschnitt IIS-Website in das Feld Pfad den Pfad des Stammverzeichnisses der IIS-Website auf dem Server ein. Standardmäßig wird in diesem Feld ein vorgeschlagener Pfad eingetragen.

9. Klicken Sie im Abschnitt Sicherheitskonfiguration unter Secure Sockets Layer (SSL) verwenden auf Ja.

10. Stellen Sie sicher, dass im Abschnitt Forderungsauthentifizierungstypen das Kontrollkästchen Windows-Authentifizierung aktivieren aktiviert ist, und wählen Sie im Dropdownmenü Aushandeln (Kerberos) oder NTLM aus. Weitere Informationen finden Sie unter Planen der Kerberos-Authentifizierung (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0x407).

11. Aktivieren Sie das Kontrollkästchen Basisauthentifizierung (Kennwort wird unverschlüsselt gesendet).

12. Ändern Sie im Abschnitt Öffentliche URL die URL in den vollqualifizierten Domänennamen. Beispielsweise https://corp.contoso.com:443

    Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, geben Sie diese URL in der Zeile URL der Webanwendung für die Berichtsveröffentlichung in Tabelle 1 des Arbeitsblatts ein.

13. Wählen Sie in der Liste Zone die gewünschte Zone für diesen Port aus. Sie können jede verfügbare Zone auswählen. Es wird jedoch empfohlen, die Zone Benutzerdefiniert auszuwählen, da dieser Name den Zweck dieser Zone optimal beschreibt.

14. Klicken Sie auf OK, um die Webanwendung zu erweitern.

    Weitere Informationen zum Einrichten von SSL finden Sie unter Einrichten von SSL in IIS 7.0 (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x407).

Erstellen einer alternativen Zugriffszuordnung für die SSL-fähige Webanwendung

Die im vorherigen Verfahren erstellte Webanwendung muss bei Verwendung der URL, die im SSL-Zertifikat angegeben ist, das Sie an diese Webanwendung binden werden (in einem späteren Verfahren), verfügbar sein. Angenommen, die URL ist nicht identisch, weil z. B. die Webanwendung mithilfe des vollqualifizierten Domänennamens (FQDN) erstellt wurde, aber das Zertifikat die Kurzform der URL verwendet. In diesem Fall müssen Sie eine alternative Zugriffszuordnung erstellen, um die im Zertifikat aufgelistete URL anzugeben.

Wenn die im SSL-Zertifikat aufgelistete URL und die zum Erstellen der Webanwendung verwendete URL identisch sind, müssen Sie dieses Verfahren nicht ausführen.

So erstellen Sie eine alternative Zugriffszuordnung

1. Klicken Sie in der Zentraladministration auf der Schnellstartleiste auf Systemeinstellungen.

2. Klicken Sie im Abschnitt Farmverwaltung auf Alternative Zugriffszuordnungen konfigurieren.

3. Klicken Sie auf Interne URLs hinzufügen.

4. Wählen Sie im Abschnitt Alternative Zugriffszuordnungssammlung die Webanwendung aus, die Sie für Ihre Duet Enterprise-Websites verwenden werden.

5. Führen Sie im Abschnitt Interne URL hinzufügen folgende Aktionen aus:

   1. Geben Sie in das Feld Protokoll, Host und Port der URL die im SSL-Zertifikat aufgelistete URL ein.

   2. Wählen Sie in der Liste Zone die Zone aus, die Sie für diese URL verwenden möchten.

      Hinweis

      Dies ist der Name der Zone, die Sie beim Erweitern der Webanwendung im vorherigen Verfahren ausgewählt haben.

6. Klicken Sie auf Speichern.

   Die erstellte alternative Zugriffszuordnung wird auf der Seite Alternative Zugriffszuordnungen angezeigt.

Erstellen der SSL-Bindung für die SSL-fähige Zone

Führen Sie dieses Verfahren aus, um ein SSL-Zertifikat an die SSL-fähige Zone Ihrer Webanwendung zu binden.

So erstellen Sie die SSL-Bindung für die erweiterte Webanwendung

1. Melden Sie sich an einem Front-End-Webserver als Mitglied der Windows-Administratorengruppe an.

2. Zeigen Sie im Startmenü auf Programme, zeigen Sie auf Verwaltung, und klicken Sie dann auf Internetinformationsdienste-Manager.

3. Erweitern Sie im Bereich Verbindungen die Option Sites, und wählen Sie die Website aus, die der SSL-fähigen Webanwendung zugeordnet ist, die Sie in einem früheren Verfahren erstellt haben.

   Tipp

   Diese Website kann anhand der Portnummer und des Namens identifiziert werden, die bzw. den Sie der Website beim Erweitern der Webanwendung zugewiesen haben.

   Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, wird diese URL in der Zeile URL der Webanwendung für die Berichtsveröffentlichung in Tabelle 1 des Arbeitsblatts aufgelistet.

4. Klicken Sie im Bereich Aktionen unter Site bearbeiten auf Bindungen.

5. Klicken Sie im Dialogfeld Sitebindungen auf Hinzufügen.

6. Wählen Sie im Dialogfeld Sitebindung hinzufügen die Option https in der Dropdownliste Typ aus.

7. Wählen Sie in der Liste SSL-Zertifikat das SSL-Zertifikat aus, das Sie im Abschnitt Erstellen oder Abrufen eines SSL-Zertifikats erstellt oder abgerufen haben, und klicken Sie dann auf OK.

8. Klicken Sie auf Schließen, um das Dialogfeld Sitebindungen zu schließen.

9. Wiederholen Sie die Schritte 1 bis 8 für jeden zusätzlichen Front-End-Webserver in der Lastenausgleichsrotation der SharePoint Server 2010-Serverfarm.

Exportieren des SSL-Zertifikats

Wenn Sie sich ein SSL-Zertifikat von einer Zertifizierungsstelle besorgt haben, müssen Sie dieses Verfahren nicht ausführen, da das Zertifikat bereits in Ihrem Dateisystem vorhanden ist. Wenn Sie allerdings mithilfe von IIS auf einem Front-EndWebserver mit SharePoint ein selbstsigniertes Zertifikat zu Testzwecken erstellt haben, müssen Sie das Zertifikat exportieren, damit Sie eine Kopie dieses Zertifikats gemeinsam mit dem SAP-Administrator nutzen können.

So exportieren Sie das SSL-Zertifikat

1. Melden Sie sich an einem Front-End-Webserver mit SharePoint an, für den Sie das Zertifikat gebunden haben.

2. Wenn der Internetinformationsdienste-Manager noch nicht geöffnet ist, zeigen Sie im Startmenü auf Verwaltung, und klicken Sie dann auf Internetinformationsdienste-Manager.

3. Wählen Sie in der Strukturansicht den Serverknoten aus.

4. Doppelklicken Sie im mittleren Bereich unter IIS auf Serverzertifikate.

5. Doppelklicken Sie im mittleren Bereich auf das Zertifikat, das Sie an Ihre erweiterte Webanwendung gebunden haben.

6. Klicken Sie im Dialogfeld Zertifikat auf der Registerkarte Details auf In Datei kopieren.

7. Klicken Sie auf der Seite Willkommen auf Weiter.

8. Stellen Sie auf der Seite Privaten Schlüssel exportieren sicher, dass Nein, privaten Schlüssel nicht exportieren ausgewählt ist, und klicken Sie dann auf Weiter.

9. Klicken Sie auf der Seite Format der zu exportierenden Datei auf Weiter.

10. Geben Sie auf der Seite Zu exportierende Datei in das Feld Dateiname den Pfad und den Dateinamen zum Exportieren des Zertifikats ein, und klicken Sie dann auf Weiter.

    Tipp

    Eine Dateinamenerweiterung ist nicht erforderlich.

11. Klicken Sie auf Fertig stellen.

12. Klicken Sie auf OK, um das Dialogfeld Der Export war erfolgreich zu schließen.

13. Klicken Sie auf OK, um das Dialogfeld Zertifikate zu schließen.

Gemeinsames Nutzen des SSL-Zertifikats mit dem SAP-Administrator

Sie müssen eine Kopie des SSL-Zertifikats an den SAP-Administrator übergeben. Der SAP-Administrator verwendet das SSL-Zertifikat zum Herstellen der Kommunikation zwischen dem SAP NetWeaver-Server im SAP-System und Ihrer Webanwendung.

Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, werden der Speicherort und der Dateiname des SSL-Zertifikats in der Zeile Dateiname und Speicherort des SSL-Zertifikats in Tabelle 1 des Arbeitsblatts aufgelistet.

Exportieren des Zertifikats des SharePoint-Sicherheitstokendiensts

Bei diesem Verfahren wird davon ausgegangen, dass der SharePoint-Sicherheitstokendienst, der auch als Secure Store Service bezeichnet wird, bereits ausgeführt wird.

So überprüfen Sie, ob Secure Store Service ausgeführt wird

1. Melden Sie sich als Farmadministrator bei der Website für die Zentraladministration an.

2. Klicken Sie in der Zentraladministration auf der Schnellstartleiste auf Systemeinstellungen.

3. Klicken Sie im Abschnitt Server auf Dienste auf dem Server verwalten.

4. Überprüfen Sie in der Spalte Status, ob der Status für die Zeile Secure Store Service auf Gestartet festgelegt ist.

So exportieren Sie das Zertifikat des SharePoint-Sicherheitstokendiensts

1. Stellen Sie sicher, dass Sie über die folgenden Administratoranmeldeinformationen verfügen:

   • Sie müssen Mitglied der Windows-Administratorengruppe auf dem Front-End-Server mit SharePoint sein.

2. Melden Sie sich an einem Front-End-Webserver als Mitglied der Windows-Administratorengruppe an.

3. Zeigen Sie im Startmenü auf Ausführen, geben Sie mmc in das Feld Öffnen ein, und klicken Sie dann auf OK.

4. Falls das Zertifikat-Snap-In in der Spalte Name aufgeführt ist, gehen Sie weiter zu Schritt 5. Führen Sie andernfalls die folgenden Aktionen aus:

   1. Klicken Sie in der Konsole auf Datei und dann auf Snap-In hinzufügen/entfernen.

   2. Klicken Sie im Dialogfeld Snap-Ins hinzufügen bzw. entfernen in der Spalte Snap-In auf Zertifikate, und klicken Sie dann auf Hinzufügen.

   3. Wählen Sie im Dialogfeld Zertifikat-Snap-In die Option Computerkonto aus, und klicken Sie dann auf Weiter.

   4. Klicken Sie auf Fertig stellen und anschließend auf OK.

      Das Zertifikat-Snap-In wird nun in der Spalte Name aufgelistet.

5. Erweitern Sie im Navigationsbereich Konsolenstamm die Struktur Zertifikate, erweitern Sie SharePoint, und klicken Sie dann auf Zertifikate.

6. Klicken Sie in der Spalte Ausgestellt für mit der rechten Maustaste auf SharePoint-Sicherheitstokendienst, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Öffnen.

7. Klicken Sie im Dialogfeld Zertifikat auf der Registerkarte Details auf In Datei kopieren.

8. Klicken Sie auf der Seite Willkommen auf Weiter.

9. Nur das öffentliche Zertifikate, nicht aber der private Schlüssel wird benötigt. Stellen Sie deshalb auf der Seite Privaten Schlüssel exportieren sicher, dass Nein, privaten Schlüssel nicht exportieren ausgewählt ist, und klicken Sie dann auf Weiter.

10. Klicken Sie auf der Seite Format der zu exportierenden Datei auf Weiter.

11. Geben Sie auf der Seite Zu exportierende Datei in das Feld Dateiname den Pfad und den Dateinamen zum Exportieren des Zertifikats ein, und klicken Sie dann auf Weiter.

    Beispiel: c:\share\STScert

    Tipp

    Eine Dateinamenerweiterung ist nicht erforderlich.

12. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

13. Klicken Sie im Dialogfeld Der Export war erfolgreich auf OK.

14. Klicken Sie auf OK, um das Dialogfeld Zertifikate zu schließen.

15. Lassen Sie die Konsole geöffnet, da sie in einem späteren Verfahren noch benötigt wird.

Übergeben des Zertifikats des Sicherheitstokendiensts an den SAP-Administrator

Übergeben Sie eine Kopie des exportierten Zertifikats des Sicherheitstokendiensts an den SAP-Administrator. Der SAP-Administrator richtet mithilfe dieses Zertifikats eine unidirektionale Vertrauensstellung mit dem Sicherheitstokendienst ein.

Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, geben Sie den Namen und den Speicherort des Zertifikats des Sicherheitstokendiensts in der Zeile Dateiname und Speicherort des STS-Zertifikats in Tabelle 1 des Arbeitsblatts ein.

Bereitstellen von Informationen zum Zertifikat des Sicherheitstokendiensts an den SAP-Administrator

Sie müssen dem SAP-Administrator den Namen des STS-Ausstellers bereitstellen. Verwenden Sie das Verfahren in diesem Abschnitt, um diese Information zu erfassen.

So erfassen Sie den Namen des STS-Ausstellers

1. Klicken Sie im MMC-Snap-In im Dialogfeld Zertifikat auf die Registerkarte Details.

2. Klicken Sie in der Spalte Feld auf Aussteller.

3. Notieren Sie sich im unteren Bereich den Wert für CN, OU, O und C.

   Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, geben Sie diese Informationen in der Zeile Name des STS-Ausstellers in Tabelle 1 des Arbeitsblatts ein.

Überprüfen der Generierung eines Schlüssels für die Secure Store Service-Anwendung

Bevor die im Lieferumfang von Duet Enterprise enthaltenen BDC-Modelle importiert werden können, muss ein SharePoint-Administrator zunächst einen Schlüssel für die Secure Store Service-Anwendung generieren. Führen Sie dieses Verfahren aus, um zu überprüfen, ob ein Schlüssel generiert wurde, und um ggf. einen Schlüssel zu generieren. Für dieses Verfahren muss die Secure Store Service-Anwendung gestartet werden.

So stellen Sie sicher, dass ein Schlüssel generiert wird

1. Klicken Sie in der Zentraladministration auf der Schnellstartleiste auf Anwendungsverwaltung.

2. Klicken Sie im Abschnitt Dienstanwendungen auf Dienstanwendungen verwalten.

3. Klicken Sie auf der Registerkarte Dienstanwendungen in der Spalte Name auf den Link Secure Store Service-Anwendungsproxy.

4. Falls auf dieser Seite kein Schlüssel aufgelistet wird, klicken Sie auf dem Menüband auf Neuen Schlüssel erstellen.

5. Geben Sie in den Feldern Passphrase und Passphrase bestätigen eine Passphrase ein.

Identifizieren von Informationen zu Benutzerdomänen und Active Directory-Domänendiensten (AD DS)

Zum Abrufen von Benutzerkonten aus Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) durch den SAP-Administrator müssen Sie dem SAP-Administrator die folgenden Informationen für alle Windows-Domänen oder Verzeichnisdienste bereitstellen, in denen von SharePoint verwendete Benutzerkonten gespeichert sind:

• Den Hostnamen des Servers mit AD DS. Beispielsweise ContosoDC1.

  Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, geben Sie diesen Namen in der Zeile Name des AD DS-Servers in Tabelle 1 des Arbeitsblatts ein.

• Die zum Herstellen einer Verbindung mit AD DS verwendete Portnummer. Die Standardportnummer ist 389. Falls nicht die Standardportnummer verwendet wird, kann der AD DS-Domänenadministrator die zu verwendende Portnummer angeben.

  Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, geben Sie diese Portnummer in der Zeile Portnummer von AD DS in Tabelle 1 des Arbeitsblatts ein.

• Das Benutzerkonto, das mindestens die DirSync-Berechtigungen für den AD DS-Dienst aufweist (z. B. contoso\admin1), und das Kennwort für dieses Konto.

  Hinweis

  Der AD DS-Domänenadministrator kann diesen Kontonamen und das Kennwort bereitstellen.

  Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, geben Sie dieses Konto (im Format Domäne\Benutzername) und das Kennwort für dieses Konto in der Zeile AD DS-Konto und -Kennwort in Tabelle 1 des Arbeitsblatts ein.

• Den Namen des Attributs, in dem der SAP-Benutzername gespeichert wird.

  Hinweis

  Falls der SAP-Benutzername in AD DS gespeichert wird, kann der AD DS-Administrator den Namen dieses Attributs angeben.

  Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, geben Sie den Namen dieses Attributs in der Zeile Attribut in AD DS für den SAP-Benutzernamen in Tabelle 1 des Arbeitsblatts ein.

• Den Benutzerbasis-Domänennamen. Beispielsweise CN=Users,DC=dev24,DC=devwdf, DC=sap,DC=corp

  Hinweis

  Der AD DS-Administrator kann diese Informationen bereitstellen.

  Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, geben Sie diese Informationen in der Zeile Benutzerbasis-Domänenname in Tabelle 1 des Arbeitsblatts ein.

Einrichten einer Vertrauensstellung mit dem SSL-Zertifikat aus der SAP-Umgebung

Damit die SSL-fähige Webanwendung Informationen aus der SAP-Umgebung akzeptiert, müssen Sie eine Vertrauensstellung mit dem vom SAP-Administrator bereitgestellten SSL-Zertifikat einrichten. Falls Sie und der SAP-Administrator das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, werden der Speicherort und der Dateiname dieses Zertifikats in der Zeile Speicherort und Dateiname des SSL-Zertifikats in Tabelle 2 des Arbeitsblatts aufgelistet.

So richten Sie eine Vertrauensstellung mit dem SSL-Zertifikat aus der SAP-Umgebung ein

1. Klicken Sie in der Zentraladministration auf der Schnellstartleiste auf Sicherheit.

2. Klicken Sie im Abschnitt Allgemeine Sicherheit auf Vertrauensstellung verwalten.

3. Klicken Sie in der Gruppe Verwalten des Menübands auf Neu.

4. Geben Sie im Dialogfeld zum Einrichten einer Vertrauensstellung in das Feld Name den gewünschten Namen für diese Vertrauensstellung ein.

5. Klicken Sie neben dem Feld Zertifikat der Stammzertifizierungsstelle auf Durchsuchen.

6. Geben Sie im Dialogfeld Datei zum Hochladen auswählen in das Feld Dateiname den Pfad und den Dateinamen des Zertifikats ein, für das Sie eine Vertrauensstellung einrichten möchten, und klicken Sie dann auf Öffnen.

   Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, werden der Dateiname und der Speicherort des Zertifikats in der Zeile Speicherort und Dateiname des SSL-Zertifikats in Tabelle 2 des Arbeitsblatts aufgelistet.

7. Klicken Sie auf OK, um das Dialogfeld zum Einrichten einer Vertrauensstellung zu schließen.

   Der Name, den Sie in Schritt 4 eingegeben haben, wird auf der Seite Vertrauensstellung in der Spalte Name angezeigt.