Synchronisieren von Profilen und Rollen (Duet Enterprise)

Gilt für: Duet Enterprise for Microsoft SharePoint and SAP

Letztes Änderungsdatum des Themas: 2011-08-05

In diesem Artikel wird das Aktivieren der Rollensynchronisierung für Duet Enterprise für Microsoft SharePoint und SAP erläutert. Es wird Folgendes vorausgesetzt:

• Ein SAP-Administrator hat die Zuordnung von SAP-Benutzern zu SAP-Rollen im SAP-System erstellt.

• Ein SharePoint-Administrator hat den Benutzerprofil-Synchronisierungsdienst gestartet und eine Profilsynchronisierungsverbindung zum AD DS-Dienst (Active Directory Domain Services, Active Directory-Domänendienste) hergestellt, der die von der SharePoint Server-Farm verwendeten Benutzerkonten enthält. Informationen zum Ausführen dieser Verfahren finden Sie unter Konfigurieren der Profilsynchronisierung (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=202966&clcid=0x407).

• Der SharePoint-Administrator hat den AD DS-Dienst mit dem SharePoint-Benutzerprofilspeicher synchronisiert. Folgen Sie den Anweisungen in Ausführen einer einmaligen Profilsynchronisierung (SharePoint Server 2010) (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=201163&clcid=0x407), um Benutzerprofilinformationen zwischen AD DS und SharePoint Server 2010 zu synchronisieren.

Inhalt dieses Artikels:

• Aktivieren des Duet Enterprise-Features "Anspruchsanbieter"

• Erteilen von Berechtigungen für den Metadatenspeicher

• Sicherstellen, dass der Farmadministrator über Vollzugriff verfügt

• Bereitstellen des SharePoint 2010-Timerdienstkontos

• Konfigurieren der Datei "DuetConfig.exe.config"

• Konfigurieren der Profilsynchronisierung

• Synchronisieren von SAP-Profilen mit dem SharePoint-Benutzerprofilspeicher

• Erteilen von Berechtigungen für eine SAP-Rolle für eine Website

Aktivieren des Duet Enterprise-Features "Anspruchsanbieter"

So aktivieren Sie das Duet Enterprise-Feature "Anspruchsanbieter"

1. Klicken Sie auf der Website für die Zentraladministration auf der Schnellstartleiste auf Zentraladministration.

2. Klicken Sie im Abschnitt Systemeinstellungen auf Farmfeatures verwalten.

3. Klicken Sie in der Zeile für Anspruchsanbieter für SAP-Rollen in Duet Enterprise auf Aktivieren.

   Der Status der Spalte wird geändert zu Aktiv. Bei diesem Status stehen die SAP-Rollen in der Personenauswahl zur Verfügung, nachdem der SharePoint Server 2010-Benutzerprofilspeicher mit dem SAP-Profilspeicher synchronisiert wurde.

Erteilen von Berechtigungen für den Metadatenspeicher

So erteilen Sie Berechtigungen für den Metadatenspeicher

1. Klicken Sie in der Zentraladministration auf der Schnellstartleiste auf Anwendungsverwaltung.

2. Klicken Sie im Abschnitt Dienstanwendungen auf Dienstanwendungen verwalten.

3. Klicken Sie in der Spalte Name auf die Verknüpfung zu Business Data Connectivity-Dienstanwendung.

4. Klicken Sie in der Gruppe Berechtigungen auf dem Menüband auf Berechtigungen für den Metadatenspeicher festlegen.

5. Geben Sie im Dialogfeld Berechtigungen für den Metadatenspeicher festlegen im oberen Feld das Benutzerkonto des Administrators ein, der Duet Enterprise bereitstellt.

   Wenn Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, ist dieser Name in der Zeile Setup-Benutzerkonto von Tabelle 3 des Arbeitsblatts aufgeführt.

6. Klicken Sie auf Hinzufügen.

7. Stellen Sie im Abschnitt Berechtigungen für authentifizierte Benutzer (unterer Abschnitt) sicher, dass das Kontrollkästchen Ausführen aktiviert ist.

8. Klicken Sie auf OK.

   Hinweis

   Falls mindestens einem Benutzer noch nicht die Berechtigung zum Festlegen von Berechtigungen im Metadatenspeicher erteilt wurde, kann möglicherweise eine Fehlermeldung wie die Folgende angezeigt werden: Mindestens ein Benutzer/eine Gruppe in der Zugriffssteuerungsliste muss die Berechtigung zum Festlegen von Berechtigungen besitzen, damit das Erstellen eines nicht verwaltbaren Objekts verhindert wird. Erteilen Sie zum Auflösen dieses Problems mindestens einem Benutzer die Berechtigung zum Festlegen von Berechtigungen im Metadatenspeicher.

Sicherstellen, dass der Farmadministrator über Vollzugriff verfügt, und Überprüfen des Namens der Benutzerprofildienst-Anwendung

Mit diesem Verfahren können Sie sicherstellen, dass die Mitglieder der Gruppe Farmadministratoren Vollzugriff auf den standardmäßigen Benutzerprofildienst und die Business Data Connectivity Serviceanwendung in der SharePoint-Farm besitzen. Diese Berechtigung muss dem Farmadministrator, der weiter unten in diesem Artikel die Profilsynchronisierung konfiguriert wird, erteilt werden.

So stellen Sie sicher, dass der Farmadministrator Vollzugriff besitzt

1. Klicken Sie in der Zentraladministration auf der Schnellstartleiste auf Zentraladministration.

2. Klicken Sie im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

3. Klicken Sie in der Spalte Typ auf die Zeile, die die standardmäßige Benutzerprofildienst-Anwendung enthält, um die Zeile auszuwählen.

4. Der Name der Benutzerprofildienst-Anwendung ist in der Spalte Name aufgeführt. Notieren Sie sich den Namen dieser Dienstanwendung, da Sie ihn später in einem Verfahren verwenden benötigen werden.

   Wenn Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, geben Sie diesen Namen in die Zeile Name der Benutzerprofildienst-Anwendung von Tabelle 1 des Arbeitsblatts ein.

5. Klicken Sie in der Gruppe Freigabe des Menübands auf Berechtigungen.

6. Stellen Sie im Dialogfeld Verbindungsberechtigungen sicher, dass der Farmadministrator Vollzugriff besitzt.

7. Klicken Sie auf OK.

8. Klicken Sie in der Spalte Typ auf Business Data Connectivity-Dienstanwendung für den Dienst, den Sie für die Rollensynchronisierung verwenden.

9. Klicken Sie in der Gruppe Freigabe des Menübands auf Berechtigungen.

10. Stellen Sie im Dialogfeld Verbindungsberechtigungen sicher, dass der Farmadministrator Vollzugriff besitzt.

Bereitstellen des SharePoint 2010-Timerdienstkontos

Sie müssen dem SAP-Administrator das Benutzerkonto nennen, das dem SharePoint 2010-Timerdienst zugeordnet ist, der auch als SPTimerV4-Dienst bezeichnet wird. Der SAP-Administrator muss sicherstellen, dass dieses Konto einem SAP-Benutzer zugeordnet ist, dem ausreichende Berechtigungen im SAP-System erteilt wurden, um die Benutzerrollenzuordnungen abzufragen.

So rufen Sie das Benutzerkonto für den SharePoint 2010-Timerdienst ab

1. Melden Sie sich an einem Front-End-Webserver in der SharePoint Server 2010-Farm als Mitglied der Windows-Administratorengruppe an.

2. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Dienste.

3. Klicken Sie in der Spalte Name mit der rechten Maustaste auf SharePoint 2010 Timer, und klicken Sie dann auf Eigenschaften.

4. Notieren Sie im Dialogfeld mit den Eigenschaften von SharePoint 2010 Timer auf der Registerkarte Anmelden den Kontonamen, der im Textfeld Dieses Konto aufgeführt ist.

5. Übergeben Sie diesen Kontonamen an den SAP-Administrator.

   Wenn Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, geben Sie diesen Kontonamen im Format Domäne\Konto in die Zeile SharePoint 2010-Timerdienstkonto von Tabelle 1 des Arbeitsblatts ein.

6. Klicken Sie auf Abbrechen, um das Dialogfeld mit den Eigenschaften von SharePoint 2010 Timer zu schließen.

Konfigurieren der Datei "DuetConfig.exe.config"

Führen Sie die folgenden Schritte aus, um die Einstellungen im Knoten ProfileSynchronization der Datei DuetConfig.exe.config.xml zu konfigurieren, die von der Rollensynchronisierung verwendet werden. Diese Einstellungen werden vom SharePoint-Zeitgeberauftrag verwendet, der zum Synchronisieren des SharePoint-Benutzerprofilspeichers mit dem SAP-Profilspeicher verwendet wird.

So konfigurieren Sie die Datei "DuetConfig.exe.config"

1. Öffnen Sie ein Eingabeaufforderungsfenster, und navigieren Sie zum Ordner <Laufwerk>:\Programme\Duet Enterprise\1.0.

   Dabei gilt:

   <Laufwerk> ist das Laufwerk, auf dem die Duet Enterprise-Dateien gespeichert sind.

2. Geben Sie an der Eingabeaufforderung notepad DuetConfig.exe.config ein, und drücken Sie die EINGABETASTE.

3. Fügen Sie in der Datei DuetConfig.exe.config Werte für die folgenden Schlüssel im ProfileSychronizations-Knoten hinzu: UserProfileServiceApplicationName, LOBSystemInstanceName, EntityName, EntityNamespace, MethodInstanceName, Batchsize und MembershipProvider.

   Die folgenden Abschnitte enthalten ausführliche Anleitungen zu den für diese Schlüssel bereitgestellten Werten.

Der Schlüssel "UserProfileServiceApplicationName"

Der Wert des Schlüssels UserProfileServiceApplicationName muss auf den Namen der Benutzerprofildienst-Anwendung festgelegt werden, den Sie für die Profilsynchronisierung mit der SAP-Umgebung verwenden möchten. Beachten Sie den Standardnamen dieser Dienstanwendung: Benutzerprofildienst-Anwendung. Dieser Name kann von einem Administrator geändert werden, oder Sie können auch mehrere Benutzerprofildienst-Anwendungen verwenden.

Wenn Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, ist dieser Name in der Zeile Name der Benutzerprofildienst-Anwendung von Tabelle 1 des Arbeitsblatts aufgeführt.

So geben Sie den Wert des Schlüssels "UserProfileServiceApplicationName" an

• Falls der Name der Benutzerprofildienst-Anwendung, die Sie für Duet Enterprise verwenden möchten, vom Standardwert in der Datei DuetConfig.exe.config (Benutzerprofildienst-Anwendung) abweicht, ändern Sie den Wert des Schlüssels UserProfileServiceApplicationName in den Namen Ihrer Benutzerprofildienst-Anwendung.

Die Schlüssel "LOBSystemInstanceName", "EntityName", "EntityNamespace" und "MethodInstanceName"

In den meisten Fällen können die Standardwerte der Schlüssel LOBSystemInstanceName, EntityName, EntityNamespace und MethodInstanceName in der Datei DuetConfig.exe.config übernommen werden, da sie mit den Werten in den BDC-Modellen von UserRoles.xml übereinstimmen, die mit Duet Enterprise bereitgestellt werden. Falls der SAP-Administrator die Werte dieser Schlüssel in der Datei UserRoles.xml ändert, müssen Sie die Werte in der Datei DuetConfig.exe.config so konfigurieren, dass diese identisch sind.

So zeigen Sie die Datei "UserRoles.xml" an

1. Öffnen Sie ein Eingabeaufforderungsfenster als Administrator, und navigieren Sie zum Ordner mit den entzippten Modelldateien.

   Wenn Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, ist der Speicherort der entzippten Modelldateien in der Zeile Speicherort der entzippten Modelldatei von Tabelle 1 des Arbeitsblatts aufgeführt.

2. Geben Sie im Eingabeaufforderungsfenster notepad UserRoles.xml ein, und drücken Sie die EINGABETASTE.

Überprüfen und Aktualisieren der Schlüsselwerte

1. Suchen Sie in der Datei UserRoles.xml nach dem Schlüssel LOBSystemInstance.

2. Falls der Wert der Name-Eigenschaft SAPUsersService lautet, gehen Sie weiter zu Schritt 4. Setzen Sie den Vorgang andernfalls mit Schritt 3 fort.

3. Ändern Sie den Wert des Schlüssels LOBSystemInstanceName in der Datei DuetConfig.exe.config auf den Wert der Name-Eigenschaft des LOBSystemInstance-Schlüssels aus der Datei UserRoles.xml.

4. Suchen Sie in der Datei UserRoles.xml nach dem Schlüssel Entity. Falls der Wert der Name-Eigenschaft SAPUsers lautet, gehen Sie weiter zu Schritt 6. Setzen Sie den Vorgang andernfalls mit Schritt 5 fort.

5. Ändern Sie den Wert des Schlüssels EntityName in der Datei DuetConfig.exe.config auf den Wert der Name-Eigenschaft des Entity-Knotens in UserRoles.xml.

6. Falls in der Datei UserRoles.xml für den Entity-Schlüssel der Wert der Namespace-Eigenschaft des Entity-Schlüssels SAP.Office.DuetEnterprise.Roles lautet, gehen Sie weiter zu Schritt 8. Setzen Sie den Vorgang andernfalls mit Schritt 7 fort.

7. Ändern Sie den Wert des EntityName-Schlüssels in DuetConfig.exe.config, damit dieser übereinstimmt.

8. Suchen Sie in der Datei UserRoles.xml nach MethodInstanceName. Falls der Wert von MethodInstanceName auf employeeGetAll festgelegt ist, gehen Sie weiter zu Schritt 9. Ändern Sie andernfalls den Wert des Schlüssels MethodInstanceName in der Datei DuetConfig.exe.config in den Wert der MethodInstanceName-Eigenschaft in UserRoles.xml.

9. Schließen Sie die Datei UserRoles.xml.

Der Schlüssel "Batchsize"

Mit dem Batchsize-Parameter können Sie die maximale Anzahl von Benutzerkonten anzeigen, die in einem einzelnen Netzwerkaufruf synchronisiert werden können. Der Standardwert ist 100. Wenn Sie diesen Wert in einen größeren Wert ändern, kann die Leistung der Rollensynchronisierung verbessert werden. Sie müssen jedoch testen, welcher Wert am besten in Ihrer Bereitstellung verwendet werden kann.

Der Schlüssel "MembershipProvider"

Dieser Schlüssel wird nicht verwendet. Er wird für eine zukünftige Unterstützung bereitgestellt. Es wird empfohlen, dass Sie den Standardwert dieses Schlüssels übernehmen. Er lautet membership.

Konfigurieren der Profilsynchronisierung

Mit diesem Verfahren wird die Business Connectivity Services-Verbindung zwischen dem SharePoint- und SAP-System hergestellt. Zudem werden die Einstellungen für die Profilsynchronisierungs-Auftragsdefinition aktualisiert, die Sie später in diesem Verfahren zum Synchronisieren des SharePoint- und SAP-Profilspeichers verwenden werden.

So konfigurieren Sie die Profilsynchronisierung

1. Öffnen Sie ein Eingabeaufforderungsfenster, und navigieren Sie zum Ordner <Laufwerk>:\Programme\Duet Enterprise\1.0.

   Dabei ist <Laufwerk> das Laufwerk, auf dem die Duet Enterprise-Dateien gespeichert sind.

2. Geben Sie an der Eingabeaufforderung DuetConfig.exe /configureprofileSync ein, und drücken Sie die EINGABETASTE.

   Wenn die Profilsynchronisierung konfiguriert ist, wird eine Meldung angezeigt, dass die Einstellungen für den angegebenen Profilsynchronisierungsauftag erfolgreich aktualisiert wurden.

Synchronisieren von SAP-Profilen mit dem SharePoint-Benutzerprofilspeicher

Führen Sie die folgenden Aktionen aus, bevor Sie mit diesem Verfahren beginnen:

• Stellen Sie sicher, dass der SAP-Administrator SAML zum Erstellen eines Endpunkts konfiguriert hat.

  Wenn Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, ist der Wert der Zeile SAML ist konfiguriert (Ja/Nein) in Tabelle 2 des Arbeitsblatts auf Ja festgelegt, falls die Konfiguration stattgefunden hat.

• Stellen Sie sicher, dass der Auftrag "Synchronize roles to consumers" im SAP-System ausgeführt wurde.

  Der SAP-Administrator muss den Auftrag "Synchronize roles to consumers" regelmäßig ausführen, um die Benutzerrollen im SAP-System mit dem Profilspeicher auf dem Server mit SAP NetWeaver zu synchronisieren. Es wird empfohlen, den SAP-Benutzerprofilspeicher erst dann mit dem SharePoint-Benutzerprofilspeicher zu synchronisieren, wenn der SAP-Administrator den Synchronisierungsauftrag abgeschlossen hat. Andernfalls kann die Ausführung des Synchronisierungsauftrags zwischen dem SAP-Profilspeicher und dem SharePoint-Benutzerprofilspeicher wesentlich länger dauern. Beachten Sie, dass die Ausführung des Auftrags "Synchronize roles to consumers" zum Synchronisieren von 100.000 Benutzern etwa 80 Minuten dauert, während die Synchronisierung des Profilspeichers in SAP NetWeaver mit dem SharePoint-Benutzerprofilspeicher etwa 100 Minuten zum Synchronisieren von 100.000 Benutzern benötigt. Wenn Sie diese Synchronisierungsaufträge planen möchten, sollten Sie diese zunächst manuell ausführen, um festzustellen, wie lange die Ausführung der verschiedenen Synchronisierungsaufträge auf Ihren Systemen durchschnittlich dauert.

So synchronisieren Sie Profile

1. Klicken Sie in der Zentraladministration auf der Schnellstartleiste auf Überwachung.

2. Klicken Sie auf der Seite Überwachung im Abschnitt Zeitgeberaufträge auf Auftragsdefinitionen überprüfen.

3. Klicken Sie auf der Seite Auftragsdefinitionen in der Spalte Titel auf die Duet Enterprise-Profilsynchronisierung für die Verknüpfung <Name der Benutzerprofildienst-Anwendung>.

   Dabei gilt: <Name der Benutzerprofildienst-Anwendung> ist der Name der Benutzerprofildienst-Anwendung, die Sie für die Rollensynchronisierung verwenden.

   Tipp

   Standardmäßig ist der Name dieser Verknüpfung auf Duet Enterprise-Profilsynchronisierung für Benutzerprofildienst-Anwendung festgelegt.

   Wenn Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, ist dieser Name in der Zeile BDC-Dienstname von Tabelle 1 aufgeführt.

4. Klicken Sie auf der Seite Zeitgeberauftrag bearbeiten auf Jetzt ausführen.

   Hinweis

   Dieser Zeitgeberauftrag wird einmal pro Tag ausgeführt, Sie können ihn jedoch so konfigurieren, dass er seltener ausgeführt wird, falls dadurch die Leistung beeinträchtigt wird.

   Weitere Informationen zu SharePoint-Zeitgeberaufträgen finden Sie unter Anzeigen des Status des Zeitgeberauftrags (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=204641&clcid=0x407).

Erteilen von Berechtigungen für eine SAP-Rolle auf einer Website

Nachdem der SAP-Benutzerprofilspeicher mit dem SharePoint-Benutzerprofilspeicher synchronisiert wurde, können Sie dieses Verfahren ausführen, um Benutzern Berechtigungen auf eine Website auf der Grundlage ihrer SAP-Rollen zuzuordnen. Beachten Sie, dass nur Websites unterstützt werden, die sich in einer Webanwendung befinden, von der die formularbasierte Authentifizierung verwendet wird.

So erteilen Sie Berechtigungen für eine SAP-Rolle auf einer Website

1. Gehen Sie in einem Browser zu der Website, für die Sie SAP-Rollen aktivieren möchten.

2. Klicken Sie im Menü Websiteaktionen auf Websiteberechtigungen.

3. Klicken Sie in der Gruppe Erteilen des Menübands auf Berechtigungen erteilen.

4. Klicken Sie im Dialogfeld Berechtigungen erteilen im Abschnitt Benutzer auswählen auf Durchsuchen.

   Tipp

   Die Option für Durchsuchen wird durch ein Symbol dargestellt, das wie ein Buch aussieht.

5. Geben Sie in das Feld Suchen einen Teil des gewünschten SAP-Rollennamens ein, und klicken Sie dann auf Suchen.

6. Wählen Sie den SAP-Rollennamen aus, klicken Sie auf Hinzufügen, und klicken Sie dann auf OK.

7. Wählen Sie im Dialogfeld Berechtigungen erteilen im Abschnitt Berechtigungen erteilen die Gruppe aus, der Sie den Benutzer hinzufügen möchten, und klicken Sie dann auf OK.