Sincronización de perfiles y roles (Duet Enterprise)

Se aplica a: Duet Enterprise for Microsoft SharePoint and SAP

Última modificación del tema: 2015-03-09

En este artículo se describe cómo habilitar la sincronización de roles para Duet Enterprise para Microsoft SharePoint y SAP. En este artículo se supone lo siguiente:

• Un administrador de SAP ha creado la asignación de "usuario de SAP a rol SAP" en el sistema SAP.

• Un administrador de SharePoint ha iniciado el servicio de sincronización de perfiles de usuario y ha creado una conexión de sincronización de perfiles con Servicios de dominio de Active Directory (AD DS) que contiene las cuentas de usuario usadas por el conjunto o granja de servidores de SharePoint Server. Para obtener información acerca de cómo completar estos procedimientos, vea Configuración de la sincronización de perfiles (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=202966&clcid=0xC0A).

• El administrador de SharePoint ha sincronizado el servicio de AD DS con el almacén de perfiles de usuario de SharePoint. Siga las instrucciones que aparecen en Sincronización de perfiles no periódica (SharePoint Server 2010) (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=201163&clcid=0xC0A) para sincronizar la información de perfiles de usuario entre AD DS y SharePoint Server 2010.

En este artículo:

• Activación de la característica de proveedor de notificaciones de Duet Enterprise

• Concesión de permisos en el repositorio de metadatos

• Comprobación de que el administrador de la granja de servidores tenga permisos de control total

• Proporcionar la cuenta del servicio de temporizador de SharePoint 2010

• Configuración del archivo thisProduct_installer.exe.config

• Configuración de la sincronización de perfiles

• Sincronización de perfiles de SAP con el almacén de perfiles de usuario de SharePoint

• Concesión de permisos en un sitio a un rol SAP

Activación de la característica de proveedor de notificaciones de Duet Enterprise

Para habilitar la característica de proveedor de notificaciones de Duet Enterprise

1. En el sitio web de Administración central, en Inicio rápido, haga clic en Administración central.

2. En la sección Configuración del sistema, haga clic en Administrar características del conjunto de servidores.

3. En la fila Proveedor de notificaciones de roles SAP para Duet Enterprise, haga clic en Activar.

   La columna de estado cambiará a Activo. Cuando el estado es Activo, los roles SAP están disponibles en el selector de personas una vez sincronizado el almacén de perfiles de usuario de SharePoint Server 2010 con el almacén de perfiles de SAP.

Concesión de permisos en el repositorio de metadatos

Para conceder permisos en el repositorio de metadatos

1. En Administración central, en Inicio rápido, haga clic en Administración de aplicaciones.

2. En la sección Aplicaciones de servicio, haga clic en Administrar aplicaciones de servicio.

3. En la columna Nombre, haga clic en el vínculo de la Aplicación de Servicio de conectividad a datos empresariales.

4. En el grupo Permisos de la cinta de opciones, haga clic en Establecer permisos del almacén de metadatos.

5. En el cuadro de diálogo Establecer permisos del almacén de metadatos, en el cuadro superior, escriba la cuenta de usuario del administrador que implementa Duet Enterprise.

   Si usa la hoja de trabajo de implementación (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0xC0A), este nombre aparece en la fila “Cuenta de usuario de instalación” (Setup user account) de la tabla 3 de la hoja de cálculo.

6. Haga clic en Agregar.

7. En la sección Permisos de Todos los usuarios autenticados (sección inferior), asegúrese de que esté activada la casilla de verificación Ejecutar.

8. Haga clic en Aceptar.

   Nota

   Si al menos un usuario aún no tiene el permiso Establecer permisos en el repositorio de metadatos, es posible que reciba el mensaje de error "Por lo menos un usuario o grupo de la lista de control de acceso debe tener el derecho SetPermissions para evitar la creación de un objeto que no se pueda administrar". Para resolver este problema, conceda al menos a un usuario el permiso Establecer permisos en el repositorio de metadatos.

Comprobación de que el administrador de la granja de servidores tenga permisos de control total y comprobación del nombre de la aplicación de servicio de perfiles de usuario

Use este procedimiento para asegurarse de que los miembros del grupo de administradores de la granja de servidores tienen permisos de control total en el servicio de perfiles de usuario predeterminado y en la aplicación de Servicio de conectividad a datos empresariales en la granja de SharePoint. Debe concederse este permiso al administrador de la granja que configurará la sincronización de perfiles más adelante en este artículo.

Para asegurarse de que el administrador de la granja de servidores tenga permisos de control total

1. En Administración central, en Inicio rápido, haga clic en Administración central.

2. En la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

3. En la columna Tipo, haga clic en la fila que contiene la Aplicación de servicio de perfiles de usuario predeterminada para seleccionar la fila.

4. El nombre de la aplicación de servicio de perfiles de usuario aparecerá en la columna Nombre. Anote el nombre de esta aplicación de servicio, ya que lo necesitará para un procedimiento posterior.

   Si usa la hoja de trabajo de implementación (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0xC0A), escriba este nombre en la fila “Nombre de la aplicación de servicio de perfiles de usuario” de la tabla 1 de la hoja de cálculo.

5. En el grupo Uso compartido de la cinta de opciones, haga clic en Permisos.

6. En el cuadro de diálogo Permisos de conexión, asegúrese de que se ha concedido permisos de control total al administrador de la granja.

7. Haga clic en Aceptar.

8. En la columna Tipo, haga clic en la Aplicación de Servicio de conectividad a datos empresariales del servicio que usa para la sincronización de roles.

9. En el grupo Uso compartido de la cinta de opciones, haga clic en Permisos.

10. En el cuadro de diálogo Permisos de conexión, asegúrese de que se ha concedido el permiso de control total al administrador de la granja.

Proporcionar la cuenta del servicio de temporizador de SharePoint 2010

Debe proporcionar al administrador de SAP la cuenta de usuario que se ha asignado al servicio de temporizador de SharePoint 2010, también conocido como servicio SPTimerV4. El administrador de SAP debe asegurarse de que esta cuenta se asigne a un usuario de SAP a quien se le hayan concedido permisos suficientes en el sistema SAP para consultar la consulta de asignaciones UserRoles.

Para obtener la cuenta de usuario para el servicio de temporizador de SharePoint 2010

1. Inicie sesión en un servidor front-end web de la granja de servidores de SharePoint Server 2010 como miembro del grupo Administradores.

2. Haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en Servicios.

3. En la columna Nombre, haga clic con el botón secundario en Temporizador de SharePoint 2010 y, a continuación, haga clic en Propiedades.

4. En el cuadro de diálogo de propiedades del temporizador de SharePoint 2010, en la ficha Iniciar sesión, anote el nombre de cuenta que aparece en el cuadro de texto Esta cuenta.

5. Proporcione este nombre de cuenta al administrador de SAP.

   Si usa la hoja de trabajo de implementación (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0xC0A), escriba este nombre de cuenta, en el formato dominio\cuenta, en la fila “Cuenta del servicio de temporizador de SharePoint 2010” (SharePoint 2010 Timer service account) de la tabla 1 de la hoja de cálculo.

6. Haga clic en Cancelar para cerrar el cuadro de diálogo de propiedades del temporizador de SharePoint 2010.

Configuración del archivo DuetConfig.exe.config

Realice los siguientes pasos para establecer la configuración en el nodo ProfileSynchronization del archivo DuetConfig.exe.config.xml que usa la sincronización de roles. El trabajo del temporizador de SharePoint usado para sincronizar el almacén de perfiles de usuario de SharePoint con el almacén de perfiles de SAP usa esta configuración.

Para configurar el archivo DuetConfig.exe.config

1. Abra una ventana del símbolo del sistema y vaya a la carpeta <unidad>:\Archivos de programa\Duet Enterprise\1.0.

   Donde:

   <unidad> es la unidad donde están almacenados los archivos de Duet Enterprise.

2. En el símbolo del sistema, escriba notepad DuetConfig.exe.config y presione Entrar.

3. En el archivo DuetConfig.exe.config, agregue valores a las siguientes claves del nodo ProfileSychronization: UserProfileServiceApplicationName, LOBSystemInstanceName, EntityName, EntityNamespace, MethodInstanceName, Batchsize y MembershipProvider.

   En las secciones siguientes se proporcionan instrucciones detalladas acerca de los valores que deben proporcionarse para estas claves.

Clave UserProfileServiceApplicationName

El valor de UserProfileServiceApplicationName debe establecerse en el nombre de la aplicación de servicio de perfiles de usuario que desea usar para la sincronización de perfiles con el entorno de SAP. Observe que el nombre predeterminado de esta aplicación de servicio es Aplicación de servicio de perfiles de usuario. Un administrador puede cambiar este nombre o puede tener más de una aplicación de servicio de perfiles de usuario.

Si usa la hoja de trabajo de implementación (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0xC0A), este nombre aparece en la fila “Nombre de la aplicación de servicio de perfiles de usuario” (User Profile Service Application name) de la tabla 1 de la hoja de cálculo.

Para especificar el valor de la clave UserProfileServiceApplicationName

• Si el nombre de la aplicación de servicio de perfiles de usuario que desea usar para Duet Enterprise no es el valor predeterminado que se muestra en el archivo DuetConfig.exe.config (Aplicación de servicio de perfiles de usuario), cambie el valor de la clave "UserProfileServiceApplicationName" por el nombre de su aplicación de servicio de perfiles de usuario.

Claves LOBSystemInstanceName, EntityName, EntityNamespace y MethodInstanceName

En la mayoría de los casos, el valor predeterminado de las claves LOBSystemInstanceName, EntityName, EntityNamespace y MethodInstanceName en el archivo DuetConfig.exe.config es correcto, ya que coincide con el valor de los modelos BDC de UserRoles.xml proporcionados con Duet Enterprise. Si el administrador de SAP cambia los valores de estas claves en el archivo UserRoles.xml, deberá configurar los valores en el archivo DuetConfig.exe.config para que sean idénticos.

Para ver el archivo UserRoles.xml

1. Abra una ventana del símbolo del sistema como administrador y vaya a la carpeta que contiene los archivos del modelo descomprimidos.

   Si usa la hoja de trabajo de implementación (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0xC0A), la ubicación de los archivos del modelo descomprimidos aparecerá en la fila “Ubicación de archivo del modelo descomprimido” (Unzipped model file location) de la tabla 1 de la hoja de cálculo.

2. En la ventana del símbolo del sistema, escriba notepad UserRoles.xml y presione Entrar.

Comprobación y actualización de los valores de clave

1. En el archivo UserRoles.xml, busque la clave LOBSystemInstance.

2. Si el valor de la propiedad Name es “ServicioDeUsuariosDeSAP” (SAPUsersService), vaya al paso 4. De lo contrario, vaya al paso 3.

3. Cambie el valor de la clave LOBSystemInstanceName en el archivo DuetConfig.exe.config para que coincida con el valor de la propiedad Name de la clave LOBSystemInstance del archivo UserRoles.xml.

4. En el archivo UserRoles.xml, busque la clave Entity. Si el valor de la propiedad Name es SAPUsers, vaya al paso 6. De lo contrario, vaya al paso 5.

5. Cambie el valor de la clave EntityName en el archivo DuetConfig.exe.config para que coincida con el valor de la propiedad Name del nodo Entity en UserRoles.xml.

6. En el archivo UserRoles.xml, en la clave Entity, si el valor de la propiedad Namespace de la clave Entity es “SAP.Office.DuetEnterprise.Roles”, vaya al paso 8. De lo contrario, vaya al paso 7.

7. Cambie el valor de la clave EntityName en DuetConfig.exe.config para que coincida.

8. En el archivo UserRoles.xml, busque MethodInstanceName. Si el valor de MethodInstanceName es “employeeGetAll”, vaya al paso 9. De lo contrario, cambie el valor de la clave MethodInstanceName en el archivo DuetConfig.exe.config para que coincida con el valor de la propiedad MethodInstanceName en UserRoles.xml.

9. Cierre el archivo UserRoles.xml.

Clave Batchsize

Puede usar el parámetro Batchsize para especificar la cantidad máxima de cuentas de usuario que pueden sincronizarse en una única llamada de red. El valor predeterminado es 100. Si cambia este valor por un número más alto, es posible que mejore el rendimiento de la sincronización de roles. No obstante, deberá probar con distintos valores para determinar el que mejor funcione en la implementación.

Clave MembershipProvider

Esta clave no se usa. Se proporciona para compatibilidad futura. Se recomienda aceptar el valor predeterminado de esta clave, que es “membership”.

Configuración de la sincronización de perfiles

Mediante este procedimiento se crea la conexión de Servicios de conectividad empresarial entre los sistemas de SharePoint y SAP y se actualiza la configuración de la definición de trabajo de sincronización de perfiles que usará en un procedimiento posterior para sincronizar los almacenes de perfiles de SharePoint y SAP.

Para configurar la sincronización de perfiles

1. Abra una ventana del símbolo del sistema y vaya a la carpeta “<unidad>:\Archivos de programa\Duet Enterprise\1.0”.

   Donde <unidad> es la unidad donde están almacenados los archivos de Duet Enterprise.

2. En el símbolo del sistema, escriba DuetConfig.exe /configureprofileSync y, a continuación, presione Entrar.

   Una vez configurada la sincronización de perfiles, aparecerá el mensaje “La configuración del trabajo de sincronización de perfiles especificado se actualizó correctamente".

Sincronización de perfiles de SAP con el almacén de perfiles de usuario de SharePoint

Antes de iniciar este procedimiento, realice las siguientes tareas:

• Asegúrese de que el administrador de SAP haya configurado SAML para crear un extremo.

  Si usa la hoja de trabajo de implementación (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0xC0A), el valor de la fila “SAML está configurado (Sí/No)” [SAML is configured (Yes/No)] de la tabla 2 de la hoja de cálculo será Sí si está configurado.

• Asegúrese de que el trabajo "Sincronizar roles con los consumidores" haya terminado de ejecutarse en el sistema SAP.

  El administrador SAP debe ejecutar el trabajo "Sincronizar roles con los consumidores" periódicamente para sincronizar los roles de usuario del sistema SAP con el almacén de perfiles del servidor que ejecuta SAP NetWeaver. Se recomienda no sincronizar el almacén de perfiles de usuario SAP con el almacén de perfiles de usuario de SharePoint hasta que el administrador SAP haya completado el trabajo de sincronización. De lo contrario, el trabajo de sincronización entre el almacén de perfiles SAP y el almacén de perfiles de usuario de SharePoint podría demorar mucho más tiempo en completarse. Tenga en cuenta que el trabajo "Sincronizar roles con los consumidores" tarda aproximadamente 80 minutos para sincronizar 100.000 usuarios, mientras que la sincronización del almacén de perfiles de SAP NetWeaver con el almacén de perfiles de usuario de SharePoint tarda aproximadamente 100 minutos para sincronizar la misma cantidad de usuarios. Si va a programar estos trabajos de sincronización, se recomienda que los ejecute manualmente primero, para determinar cuánto tiempo tardará cada uno en ejecutarse en sus sistemas.

Para sincronizar los perfiles

1. En Administración central, en Inicio rápido, haga clic en Supervisión.

2. En la página Supervisión, en la sección Trabajos del temporizador, haga clic en Revisar definiciones de trabajo.

3. En la página Definiciones de trabajos, en la columna Título, haga clic en el vínculo Sincronización de perfiles de Duet Enterprise para <nombre de la aplicación de servicio de perfiles de usuario>.

   Donde <nombre de la aplicación de servicio de perfiles de usuario> es el nombre de la aplicación de servicio de perfiles de usuario que usa para la sincronización de roles.

   Sugerencia

   De manera predeterminada, el nombre de este vínculo es Sincronización de perfiles de Duet Enterprise para la aplicación de servicio de perfiles de usuario.

   Si usa la hoja de trabajo de implementación (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0xC0A), este nombre aparece en la fila “Nombre del servicio BDC” (BDC service name) de la tabla 1.

4. En la página Editar trabajo del temporizador, haga clic en Ejecutar ahora.

   Nota

   Este trabajo del temporizador está programado para ejecutarse una vez al día, pero se puede configurar para ejecutarse con menos frecuencia si afecta al rendimiento.

   Para obtener más información acerca de los trabajos del temporizador de SharePoint, vea Visualización del estado del trabajo del temporizador (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=204641&clcid=0xC0A).

Concesión de permisos en un sitio a un rol SAP

Una vez sincronizado el almacén de perfiles de usuario de SAP con el almacén de perfiles de usuario de SharePoint, puede realizar este procedimiento para conceder permisos a los usuarios en un sitio en función de sus roles SAP. Tenga en cuenta que solo se admiten los sitios que se encuentran en una aplicación web que usa la autenticación basada en notificaciones.

Para conceder permisos en un sitio a un rol SAP

1. En un explorador, vaya al sitio para el que desea habilitar los roles SAP.

2. En el menú Acciones del sitio, haga clic en Permisos del sitio.

3. En el grupo Conceder de la cinta de opciones, haga clic en Conceder permisos.

4. En la sección Seleccionar usuarios del cuadro de diálogo Conceder permisos, haga clic en Examinar.

   Sugerencia

   La acción de examinar se representa mediante un icono que se asemeja a un libro.

5. En el cuadro Buscar, escriba parte del nombre del rol SAP que desea buscar y, a continuación, haga clic en Buscar.

6. Seleccione el nombre del rol SAP, haga clic en Agregar y, a continuación, en Aceptar.

7. En la sección Conceder permisos del cuadro de diálogo Conceder permisos, seleccione el grupo al que desea agregar el usuario y, a continuación, haga clic en Aceptar.