Konfigurieren der Rollensynchronisierungslösung in Duet Enterprise für SharePoint und SAP Server 2.0

Gilt für: Duet Enterprise for Microsoft SharePoint and SAP Server 2.0

Letztes Änderungsdatum des Themas: 2013-12-18

Zusammenfassung: Hier erfahren Sie, wie Sie die Rollensynchronisierung (RoleSync) für Duet Enterprise 2.0 konfigurieren.

Mit der Rollensynchronisierungslösung (RoleSync-Lösung) von Duet Enterprise für Microsoft SharePoint und SAP Server 2.0 können SharePoint-Administratoren die im SAP-Profilspeicher gespeicherte SAP-Rolleneigenschaft mit SharePoint-Benutzerprofilen synchronisieren. Nach der Rollensynchronisierung können Benutzer die SharePoint-Personenauswahl verwenden, um Berechtigungen für beliebige sicherungsfähige Objekte in SharePoint (wie Websites, Listen und Dateien) zu erteilen. Darüber hinaus wird mit dieser Lösung die Berichtslösung erweitert, da freigegebene Berichte nur unter Verwendung von SAP-Rollen freigegeben werden und Benutzer freigegebene Berichte abonnieren können.

In diesem Artikel wird Folgendes vorausgesetzt:

• Ein SAP-Administrator hat die Zuordnung von SAP-Benutzern zu SAP-Rollen im SAP-System erstellt.

• Ein SharePoint-Administrator hat den Benutzerprofildienst-Anwendung gestartet und eine Profilsynchronisierungsverbindung mit dem Dienst der Active Directory-Domänendienste (Active Directory Domain Services, AD DS) hergestellt, der die von der SharePoint Server-Farm verwendeten Benutzerkonten enthält. Informationen zum Ausführen dieser Verfahren finden Sie unter Synchronisieren von Benutzer- und Gruppenprofilen in SharePoint Server 2013 Preview.

• Der SharePoint-Administrator hat den AD DS-Dienst mit dem SharePoint-Benutzerprofilspeicher synchronisiert. Weitere Informationen finden Sie unter Verwalten der Benutzerprofilsynchronisierung in SharePoint Server 2013.

  Tipp

  Die SharePoint-Benutzerprofile, mit denen Sie die SAP-Rollen synchronisieren möchten, müssen beim Ausführen der Rollensynchronisierung bereits vorhanden sein. Die SAP-Rollen werden nur mit bereits vorhandenen SharePoint-Benutzerprofilen synchronisiert. Die entsprechenden Benutzerprofile können zwar auch manuell im SharePoint-Benutzerprofilspeicher erstellt werden, es empfiehlt sich jedoch, eine Profilsynchronisierung mit AD DS auszuführen.

Inhalt dieses Artikels:

• Bevor Sie beginnen:

• Aktivieren des Anspruchsanbieterfeatures von Duet Enterprise

• Angeben des SharePoint-Zeitgeberdienstkontos

• Erteilen von Berechtigungen für den Metadatenspeicher

• Sicherstellen, dass der Farmadministrator über Vollzugriff verfügt

• Angeben des SharePoint-Zeitgeberdienstkontos

• Synchronisieren von SAP-Rollen mit dem SharePoint-Benutzerprofilspeicher

• Überprüfung

• Erteilen von Websiteberechtigungen für eine SAP-Rolle

Bevor Sie beginnen:

Vor dem Konfigurieren der Rollensynchronisierung muss der SAP-Administrator Folgendes ausgeführt haben:

• Er muss eine Vertrauensstellung für das SSL-Zertifikat eingerichtet haben, das Sie zuvor in Vorbereiten der Umgebung für Duet Enterprise für SharePoint und SAP Server 2.0 erstellt haben.

Der SharePoint-Administrator muss Folgendes ausgeführt haben:

• Er muss das Rollensynchronisierungsmodell importiert haben. Weitere Informationen finden Sie unter Importieren von Modellen in Duet Enterprise für SharePoint und SAP Server 2.0.

Aktivieren des Anspruchsanbieterfeatures von Duet Enterprise

So aktivieren Sie das Anspruchsanbieterfeature von Duet Enterprise

1. Klicken Sie auf der Schnellstartleiste der Website für die SharePoint-Zentraladministration auf Zentraladministration.

2. Klicken Sie im Abschnitt Systemeinstellungen auf Farmfeatures verwalten.

3. Klicken Sie in der Zeile Bereitstellung von SAP-Berechtigungen für Duet Enterprise auf Aktivieren.

   Der Status der Spalte wird in Aktiv geändert. Bei diesem Status stehen die SAP-Rollen in der Personenauswahl zur Verfügung, nachdem der SharePoint Server 2013-Benutzerprofilspeicher mit dem SAP-Profilspeicher synchronisiert wurde.

Angeben des SharePoint-Zeitgeberdienstkontos

Zum Ausführen der nächsten drei Verfahren müssen Sie wissen, welches Benutzerkonto dem SharePoint-Zeitgeberdienst zugewiesen ist.

So ermitteln Sie das SharePoint-Zeitgeberdienstkonto

1. Melden Sie sich bei einem Server in der SharePoint-Farm als Windows-Administrator an.

2. Klicken Sie im Startmenü auf Ausführen.

3. Geben Sie im Dialogfeld "Ausführen" im Feld Öffnen die Zeichenfolge services.msc ein, und klicken Sie anschließend auf OK.

4. Doppelklicken Sie im Fenster "Dienste" in der Spalte "Name" auf SharePoint-Zeitgeberdienst.

5. Klicken Sie auf die Registerkarte Anmelden.

6. Notieren Sie sich den Namen aus dem Feld Dieses Konto.

Erteilen von Berechtigungen für den Metadatenspeicher

So erteilen Sie Berechtigungen für den Metadatenspeicher

1. Klicken Sie auf der Schnellstartleiste der Zentraladministration auf Anwendungsverwaltung.

2. Klicken Sie im Abschnitt Dienstanwendungen auf Dienstanwendungen verwalten.

3. Klicken Sie in der Spalte Name auf den Link für die Business Data Connectivity-Dienstanwendung.

4. Klicken Sie auf dem Menüband in der Gruppe Berechtigungen auf Berechtigungen für den Metadatenspeicher festlegen.

5. Geben Sie im Dialogfeld Berechtigungen für den Metadatenspeicher festlegen im oberen Feld das Benutzerkonto ein, unter dem der Zeitgeberauftrag ausgeführt wird.

6. Klicken Sie auf Hinzufügen.

7. Vergewissern Sie sich im Abschnitt <Benutzerkonto> (unterer Abschnitt), dass das Kontrollkästchen Ausführen aktiviert ist.

   "<Benutzerkonto>" steht hierbei für den Namen des Kontos, das in den Schritten 1 bis 6 hinzugefügt wurde.

8. Klicken Sie auf OK.

   Tipp

   Falls noch keinem Benutzer die Berechtigung zum Festlegen von Berechtigungen im Metadatenspeicher erteilt wurde, wird möglicherweise eine Fehlermeldung wie die folgende angezeigt: "Mindestens ein Benutzer/eine Gruppe in der Zugriffssteuerungsliste muss die Berechtigung zum Festlegen von Berechtigungen besitzen, damit das Erstellen eines nicht verwaltbaren Objekts verhindert wird." Erteilen Sie zum Beheben dieses Problems mindestens einem Benutzer die Berechtigung zum Festlegen von Berechtigungen im Metadatenspeicher.

Sicherstellen, dass das Zeitgeberkonto über Vollzugriff verfügt, und Überprüfen des Namens der Benutzerprofildienst-Anwendung

Gehen Sie wie folgt vor, um sicherzustellen, dass das dem SharePoint-Zeitgeberkonto zugewiesene Konto über Vollzugriff auf die standardmäßige Benutzerprofildienst-Anwendung und die Business Data Connectivity Service-Anwendung in der SharePoint-Farm verfügt. Diese Berechtigung muss dem Farmadministrator, der weiter unten in diesem Artikel die Profilsynchronisierung konfiguriert wird, erteilt werden.

So stellen Sie sicher, dass das Zeitgeberkonto über Vollzugriff verfügt

1. Klicken Sie auf der Schnellstartleiste der Zentraladministration auf Zentraladministration.

2. Klicken Sie im Abschnitt Anwendungsverwaltung auf Dienstanwendungen verwalten.

3. Klicken Sie in der Spalte Typ auf die Zeile, die die standardmäßige Benutzerprofildienst-Anwendung enthält, um die Zeile auszuwählen.

4. Den Namen der Benutzerprofildienst-Anwendung finden Sie in der Spalte Name. Notieren Sie sich den Namen dieser Dienstanwendung, da Sie ihn für ein späteres Verfahren benötigen.

5. Klicken Sie auf dem Menüband in der Gruppe Freigabe auf Berechtigungen.

6. Vergewissern Sie sich im Dialogfeld mit den Verbindungsberechtigungen, dass das für den SharePoint-Zeitgeberdienst verwendete Konto über Vollzugriff verfügt.

7. Klicken Sie auf OK.

Angeben des SharePoint-Zeitgeberdienstkontos

Sie müssen dem SAP-Administrator das Benutzerkonto mitteilen, das dem SharePoint-Zeitgeberdienst (auch SPTimerV4-Dienst genannt) zugeordnet ist. Der SAP-Administrator muss sicherstellen, dass dieses Konto einem SAP-Benutzer zugeordnet ist, der im SAP-System über ausreichende Berechtigungen zum Abfragen der Benutzerrollenzuordnungen verfügt.

So rufen Sie das Benutzerkonto für den SharePoint-Zeitgeberdienst ab

1. Melden Sie sich bei einem Front-End-Webserver in der SharePoint Server 2013-Farm als Mitglied der Windows-Administratorengruppe an.

2. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Dienste.

3. Klicken Sie in der Spalte Name mit der rechten Maustaste auf die Option für den SharePoint-Zeitgeber, und klicken Sie anschließend auf Eigenschaften.

4. Notieren Sie sich im Eigenschaftendialogfeld des SharePoint-Zeitgebers den auf der Registerkarte Anmelden im Textfeld Dieses Konto angegebenen Kontonamen.

5. Teilen Sie diesen Kontonamen dem SAP-Administrator mit.

6. Klicken Sie auf Abbrechen, um das Eigenschaftendialogfeld für den SharePoint-Zeitgeber zu schließen.

Synchronisieren von SAP-Rollen mit dem SharePoint-Benutzerprofilspeicher

Führen Sie die folgenden Aktionen aus, bevor Sie mit diesem Verfahren beginnen:

• Vergewissern Sie sich, dass der SAP-Administrator einen OData-Endpunkt konfiguriert hat.

• Bitten Sie den SAP-Administrator, sich zu vergewissern, dass der Auftrag zum Synchronisieren von Rollen mit Kunden im SAP-System vollständig ausgeführt wurde.

  Der SAP-Administrator muss den Auftrag "Synchronize roles to consumers" regelmäßig ausführen, um die Benutzerrollen im SAP-System mit dem SAP-Profilspeicher auf dem Server mit SAP NetWeaver zu synchronisieren. Es wird empfohlen, den SAP-Benutzerprofilspeicher erst dann mit dem SharePoint-Benutzerprofilspeicher zu synchronisieren, wenn der SAP-Administrator den Synchronisierungsauftrag abgeschlossen hat. Andernfalls kann die Ausführung des Synchronisierungsauftrags zwischen dem SAP-Profilspeicher und dem SharePoint-Benutzerprofilspeicher wesentlich länger dauern. Beachten Sie, dass die Ausführung des Auftrags "Synchronize roles to consumers" zum Synchronisieren von 100.000 Benutzern etwa 80 Minuten dauert, während die Synchronisierung des Profilspeichers in SAP NetWeaver mit dem SharePoint-Benutzerprofilspeicher für 100.000 Benutzer etwa 100 Minuten dauert. Wenn Sie diese Synchronisierungsaufträge planen möchten, sollten Sie sie zunächst manuell ausführen, um zu ermitteln, wie lange die Ausführung der verschiedenen Synchronisierungsaufträge für das jeweilige System durchschnittlich dauert.

So synchronisieren Sie Profile

1. Klicken Sie auf der Schnellstartleiste von der Zentraladministration auf Überwachung.

2. Klicken Sie auf der Seite Überwachung im Abschnitt Zeitgeberaufträge auf Auftragsdefinitionen überprüfen.

3. Klicken Sie auf der Seite Auftragsdefinitionen in der Spalte Titel auf den Link Duet Enterprise-Profilsynchronisierung für <Name der Benutzerprofildienst-Anwendung>.

   <Name der Benutzerprofildienst-Anwendung> steht hierbei für den Namen der Benutzerprofildienst-Anwendung, die Sie für die Rollensynchronisierung verwenden.

   Tipp

   Falls Sie nur über eine Benutzerprofildienst-Anwendung verfügen, wird standardmäßig der Name "Duet Enterprise-Profilsynchronisierung für Benutzerprofildienst-Anwendung" verwendet.

4. Klicken Sie auf der Seite Zeitgeberauftrag bearbeiten auf Jetzt ausführen.

   Tipp

   Dieser Zeitgeberauftrag wird einmal pro Tag ausgeführt, Sie können ihn jedoch so konfigurieren, dass er seltener ausgeführt wird, falls er sich negativ auf die Leistung auswirkt.

   Weitere Informationen zu SharePoint-Zeitgeberaufträgen finden Sie unter Anzeigen des Status von Zeitgeberaufträgen in SharePoint 2013.

Überprüfung

Nach Abschluss der Rollensynchronisierung wird am unteren Rand jeder SharePoint-Benutzerprofilseite die Eigenschaft "SAP-Rollen" mit den SAP-Rollen angezeigt, denen sie zugewiesen sind. Diese SAP-Rollen stehen auch in der Personenauswahl zur Verfügung, wenn Zugriff auf sicherungsfähige Objekte wie Websites, Listen und Dateien erteilt wird. Wenn Sie die Berichtslösung konfiguriert haben, sind SAP-Rollen auch beim Ausführen freigegebener Berichte verfügbar.

Erteilen von Websiteberechtigungen für eine SAP-Rolle

Nachdem der SAP-Benutzerprofilspeicher mit dem SharePoint-Benutzerprofilspeicher synchronisiert wurde, können Sie das folgende Verfahren ausführen, um Benutzern auf der Grundlage ihrer SAP-Rollen Berechtigungen für eine Website zu erteilen. Beachten Sie, dass nur Websites unterstützt werden, die sich in einer Webanwendung befinden, von der die anspruchsbasierte Authentifizierung verwendet wird, und die der Benutzerprofildienst-Anwendung zugeordnet sind, mit der Sie die Rollensynchronisierung konfiguriert haben.

So erteilen Sie Websiteberechtigungen für eine SAP-Rolle

1. Navigieren Sie in einem Browser zu der Website, für die Sie SAP-Rollen aktivieren möchten.

2. Klicken Sie auf das Symbol Einstellungen und anschließend auf Websiteeinstellungen.

   Tipp

   Das Symbol Einstellungen erinnert an ein Zahnrad.

3. Klicken Sie unter Benutzer und Berechtigungen auf Websiteberechtigungen.

4. Klicken Sie auf dem Menüband in der Gruppe Erteilen auf Berechtigungen erteilen.

5. Gehen Sie im Dialogfeld Berechtigungen erteilen wie folgt vor:

   1. Klicken Sie auf OPTIONEN ANZEIGEN.

   2. Wählen Sie unter Wählen Sie eine Gruppe oder Berechtigungsstufe aus. die Gruppe oder Berechtigungsstufe aus, der Sie die SAP-Rolle zuweisen möchten.

   3. Geben Sie im oberen Feld einen Teil des SAP-Rollennamens ein.

      Tipp

      Eine Dropdownliste mit allen verfügbaren SAP-Rollen wird angezeigt.

6. Fahren Sie entweder mit dem Eingeben des SAP-Rollennamens fort, oder wählen Sie ihn in der Dropdownliste aus, und klicken Sie anschließend auf Freigeben.

Siehe auch

Installieren und Konfigurieren von Duet Enterprise für SharePoint und SAP Server 2.0