Share via

Configurer les communications sécurisées entre les environnements SharePoint et SAP (Duet Enterprise)

  • Article

 

S’applique à : Duet Enterprise for Microsoft SharePoint and SAP

Dernière rubrique modifiée : 2016-11-29

Cet article décrit les procédures qui permettent de configurer les communications sécurisées entre l’application Web sur laquelle vous souhaitez paramétrer des solutions fournies avec Duet Enterprise for Microsoft SharePoint and SAP et l’environnement SAP. La liste suivante récapitule les étapes clés que vous allez effectuer dans le cadre de cet article.

  • Utilisez ou créez une application Web pour laquelle vous allez configurer une ou plusieurs solutions Duet Enterprise. Cette application Web doit être configurée de manière à utiliser l’authentification basée sur les revendications. Vous pouvez utiliser une application Web existante ou en créer une nouvelle. Vous devez ensuite étendre l’application Web afin de créer une zone, que vous allez configurer de manière à utiliser le protocole HTTPS (SSL). Cette zone est utilisée pour toutes les transactions entre l’application Web et le système SAP.

  • Liez un certificat SSL à la zone configurée pour SSL et fournissez-le à l’administrateur SAP afin qu’il configure une relation d’approbation sur le système SAP.

  • Exportez le certificat du service d’émission de jeton de sécurité (STS) et fournissez-le à l’administrateur SAP afin qu’il configure une relation d’approbation sur le système SAP.

  • Établissez une relation d’approbation avec le certificat SSL fourni par l’administrateur SAP.

Conseil

Vous devez effectuer les procédures de cet article dans l’ordre indiqué.

Créer ou obtenir un certificat SSL

Notes

Pour créer un certificat SSL, vous devez être membre du groupe Administrateurs sur un serveur Web frontal qui exécute Internet Information Services (IIS) 7.

Pour utiliser SSL (Secure Sockets Layer) afin de sécuriser une application Web, vous devez disposer d’un certificat SSL. Dans le cas d’un environnement de production, il est recommandé d’obtenir un certificat signé auprès d’une autorité de certification tierce ou d’une autorité de certification dans votre domaine intranet. Toutefois, dans le cas des environnements de test, vous pouvez créer un certificat auto-signé à cette fin. Pour plus d’informations sur le type de certificat à utiliser et sur la création d’un certificat auto-signé, voir Configuration de SSL sur IIS 7.0 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x40C) (éventuellement en anglais).

BatonHandoffIcon

Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), enregistrez l’emplacement et le nom de fichier du certificat SSL dans la ligne « SSL certificate file name and location » (nom de fichier et emplacement du certificat SSL) du tableau 1.

Préparer l’application Web sur laquelle vous souhaitez activer les fonctionnalitésDuet Enterprise

Duet Enterprise requiert au moins une application Web configurée pour l’authentification basée sur les revendications Windows. Cette application Web permet d’héberger un ou plusieurs sites qui exposent des informations provenant de SAP, par exemple les sites Duet Enterprise. En règle générale, vous souhaitez que les utilisateurs finaux puissent recourir au protocole HTTP pour accéder au contenu des sites SharePoint.

Étant donné que les transactions de flux de travail entre l’application Web et le système SAP requièrent l’authentification de base, qui envoie toutes les informations en texte clair, il est recommandé d’étendre l’application Web afin de créer une zone et de configurer celle-ci pour SSL et l’authentification de base.

Plusieurs options sont à votre disposition lorsque vous configurez l’application Web. Par exemple, vous pouvez déployer les sites Duet Enterprise sur une application Web existante ou créer une application Web.

L’authentification basée sur les revendications Windows est requise pour toutes les applications Web sur lesquelles vous allez configurer des solutions Duet Enterprise. L’authentification par formulaire n’est pas prise en charge, car les rapports ne peuvent pas être routés vers les sites qui utilisent cette méthode d’authentification.

Effectuez l’une des actions suivantes :

  • S’il existe une application Web sur laquelle vous souhaitez activer la fonctionnalité Duet Enterprise, vous devez vérifier qu’elle est configurée pour l’authentification basée sur les revendications Windows. Pour vérifier que votre application Web existante prend en charge Duet Enterprise, voir Vérifier si une application Web est configurée pour l’authentification basée sur les revendications Windows.

  • Si l’application Web sur laquelle vous souhaitez activer la fonctionnalité Duet Enterprise n’existe pas, voir Créer une application Web pour les sites Duet Enterprise.

Vérifier si une application Web est configurée pour l’authentification basée sur les revendications Windows

Si vous disposez d’une application Web que vous souhaitez utiliser pour les sites Duet Enterprise, vous devez vérifier qu’elle est configurée pour l’authentification basée sur les revendications Windows. Si vous souhaitez créer une application Web pour les sites Duet Enterprise, passez à l’étape Créer une application Web pour les sites Duet Enterprise.

Si l’application Web à utiliser pour les sites Duet Enterprise n’est pas configurée pour l’authentification basée sur les revendications Windows, vous pouvez éventuellement la convertir de manière à ce qu’elle soit configurée de la sorte ou vous pouvez créer une application Web pour les sites Duet Enterprise. Pour plus d’informations sur la conversion d’une application Web afin de la configurer pour l’authentification basée sur les revendications Windows, voir Effectuer une migration depuis l’authentification par formulaire vers l’authentification basée sur les revendications (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205651&clcid=0x40C) et Effectuer une migration depuis l’authentification en mode classique vers l’authentification basée sur les revendications (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205652&clcid=0x40C).

Notes

Vous devez être membre du groupe Administrateurs de batterie SharePoint pour effectuer cette procédure.

Pour déterminer si une application Web est configurée pour l’authentification basée sur les revendications Windows

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Vous devez être membre du groupe SharePoint Administrateurs de batterie et membre du groupe Administrateurs Windows sur le serveur exécutant l’Administration centrale.

  2. Sur le site Web Administration centrale, dans la barre de lancement rapide, cliquez sur Gestion des applications.

  3. Dans la section Applications Web, cliquez sur Gérer les applications Web.

  4. Dans la colonne Nom, cliquez sur l’application Web pour laquelle vous souhaitez vérifier le fournisseur d’authentification.

  5. Dans le groupe Sécurité du Ruban, cliquez sur Fournisseurs d’authentification.

  6. Dans la boîte de dialogue Fournisseurs d’authentification, sous Nom du fournisseur d’appartenances, vérifiez que la zone pour laquelle vous allez déployer les sites Duet Enterprise indique « Authentification par revendications ». Si ce n’est pas le cas, l’application Web n’est pas configurée pour l’authentification basée sur les revendications et vous devez la convertir afin qu’elle soit configurée pour l’authentification basée sur les revendications Windows ou créer une application Web pour les sites Duet Enterprise.

Créer une application Web pour les sites Duet Enterprise

L’application Web pour les sites Duet Enterprise doit être configurée de manière à utiliser l’authentification basée sur les revendications Windows. Si vous ne disposez pas d’une application Web sur laquelle vous souhaitez activer les sites Duet Enterprise, utilisez cette procédure pour en créer une. Sinon, passez à l’étape Étendre l’application Web.

Notes

Vous devez être membre du groupe Administrateurs de batterie SharePoint pour effectuer cette procédure.

Pour créer une application Web qui utilise l’authentification basée sur les revendications Windows

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Pour créer une application Web, vous devez être membre du groupe SharePoint Administrateurs de batterie et membre du groupe Administrateurs Windows sur le serveur exécutant l’Administration centrale.

  2. Dans la page d’accueil de l’Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications Web.

  3. Dans le groupe Collaboration du Ruban, cliquez sur Nouveau.

  4. Dans la page Créer une application Web, dans la section Authentification, cliquez sur Authentification par revendications.

  5. Dans la section Site Web IIS, dans la zone Port, tapez le numéro de port que vous souhaitez utiliser pour accéder à l’application Web.

    Par défaut, ce champ est rempli avec un numéro de port aléatoire.

    Notes

    Le numéro de port par défaut pour l’accès HTTP est 80. Si vous souhaitez que les utilisateurs accèdent à l’application Web sans taper de numéro de port, utilisez le numéro de port par défaut.

  6. Facultatif : dans la section Site Web IIS, dans la zone En-tête de l’hôte, tapez le nom de l’hôte (par exemple, www.contoso.com) que vous souhaitez utiliser pour accéder à l’application Web.

    Notes

    En général, cette valeur n’est pas définie, sauf si vous souhaitez configurer plusieurs sites Web IIS qui partagent le même numéro de port sur le même serveur et que DNS est configuré pour acheminer les demandes au même serveur.

  7. Dans la section Site Web IIS, dans la zone Chemin d’accès, tapez éventuellement le chemin d’accès du répertoire racine du site Web IIS sur le serveur.

    Cette zone est remplie avec un chemin d’accès suggéré.

  8. Dans la section Types d’authentification basée sur les revendications, vérifiez que la case à cocher Activer l’authentification Windows est activée, puis, dans le menu déroulant, choisissez Négocier (Kerberos) ou NTLM. Pour plus d’informations, voir Planifier l’authentification Kerberos (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0x40C).

  9. Dans la section URL publique, définissez l’URL sur le nom de domaine complet. Par exemple, https://corp.contoso.com:80.

    Notes

    La valeur Zone est automatiquement définie sur Par défaut pour une nouvelle application Web.

    BatonHandoffIcon

    Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), tapez cette URL dans la ligne « URL of Web application for Duet Enterprise sites » (URL de l’application Web pour les sites Duet Enterprise) du tableau 1 de la feuille.

  10. Dans la section Pool d’applications, vérifiez que l’option Créer un nouveau pool d’applications est sélectionnée, puis tapez le nom à utiliser pour le nouveau pool d’applications ou conservez le nom par défaut.

  11. Sous Sélectionnez un compte de sécurité pour ce pool d’applications, vérifiez que l’option Configurable est sélectionnée, puis sélectionnez le compte géré à utiliser pour ce pool d’applications.

    BatonHandoffIcon

    Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C) et que vous avez déjà identifié ou créé le compte nécessaire pour le déploiement, ce compte est répertorié dans la ligne « Service account for the Duet Enterprise sites Web application » (compte de service pour l’application Web des sites Duet Enterprise) du tableau 3.

  12. Dans la section Nom de la base de données et authentification, sélectionnez le serveur de bases de données et le nom de base de données pour votre nouvelle application Web, comme décrit dans le tableau suivant, ou acceptez les valeurs par défaut.

    Élément Action

    Serveur de bases de données

    Tapez le nom du serveur de bases de données et de l’instance Microsoft SQL Server à utiliser sous la forme nom_serveur\instance. Vous pouvez également utiliser l’entrée par défaut.

    Nom de la base de données

    Tapez le nom de la base de données ou utilisez l’entrée par défaut.

  13. Dans la section Nom de la base de données et authentification, vérifiez que l’option Authentification Windows (recommandée) est sélectionnée.

  14. Si vous utilisez la mise en miroir de base de données, dans la section Serveur de basculement, dans la zone Serveur de bases de données de basculement, tapez le nom d’un serveur de bases de données de basculement spécifique que vous souhaitez associer à une base de données de contenu.

  15. Dans la section Connexions aux applications de service, sélectionnez les connexions aux applications de service qui seront disponibles pour l’application Web. Dans le menu déroulant, cliquez sur Par défaut ou Personnalisé. L’option Personnalisé permet de sélectionner les connexions aux applications de service que vous souhaitez utiliser pour l’application Web.

    Conseil

    Duet Enterprise requiert que les applications de service suivantes soient associées à cette application Web : Service Business Data Connectivity, service Banque d’informations sécurisé et application de service de profil utilisateur.

  16. Dans la section Programme d’amélioration du produit, cliquez sur Oui ou Non.

  17. Cliquez sur OK pour créer la nouvelle application Web.

  18. Cliquez sur OK dans la boîte de dialogue qui apparaît. L’application Web que vous avez créée apparaît dans la page Gestion des applications Web de l’Administration centrale. Ne fermez pas cette page, car vous en aurez besoin pour la prochaine procédure.

Étendre l’application Web

Utilisez cette procédure pour étendre l’application Web afin de créer une zone qui sera utilisée pour toutes les transactions entre l’application Web et le système SAP.

Notes

Vous devez être membre du groupe Administrateurs de batterie SharePoint et membre du groupe Administrateurs Windows sur le serveur exécutant l’Administration centrale pour effectuer cette procédure.

Pour étendre l’application Web

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Pour créer une application Web, vous devez être membre du groupe SharePoint Administrateurs de batterie et membre du groupe Administrateurs Windows sur le serveur exécutant l’Administration centrale.

  2. Dans la page d’accueil de l’Administration centrale, dans la section Gestion des applications, cliquez sur Gérer les applications Web.

  3. Dans la page Gestion des applications Web, sélectionnez l’application Web que vous avez créée dans la procédure précédente.

  4. Dans le groupe Collaboration du Ruban, cliquez sur Étendre.

  5. Dans la page Étendre une application Web à un autre site Web IIS, dans la section Site Web IIS, vérifiez que l’option Créer un nouveau site Web IIS est sélectionnée, puis tapez éventuellement le nom du site Web dans la zone Nom.

  6. Dans la section Site Web IIS, dans la zone Port, tapez le numéro de port que vous souhaitez utiliser pour accéder à l’application Web. Par défaut, ce champ est rempli avec un numéro de port aléatoire.

  7. Facultatif : dans la section Site Web IIS, dans la zone En-tête de l’hôte, tapez le nom de l’hôte (par exemple, www.contoso.com) que vous souhaitez utiliser pour accéder à l’application Web.

    Notes

    En général, ce champ n’est pas défini, sauf si vous souhaitez configurer plusieurs sites Web IIS qui partagent le même numéro de port sur le même serveur et que DNS est configuré pour acheminer les demandes au même serveur.

  8. Facultatif : dans la section Site Web IIS, dans la zone Chemin d’accès, tapez le chemin d’accès du répertoire racine du site Web IIS sur le serveur. Par défaut, ce champ est rempli avec un chemin d’accès suggéré.

  9. Dans la section Configuration de la sécurité, sous Utiliser Secure Sockets Layer (SSL), cliquez sur Oui.

  10. Dans la section Types d’authentification basée sur les revendications, vérifiez que l’option Activer l’authentification Windows est sélectionnée, puis, dans le menu déroulant, choisissez Négocier (Kerberos) ou NTLM. Pour plus d’informations, voir Planifier l’authentification Kerberos (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0x40C).

  11. Activez la case à cocher Authentification de base (les informations d’identification sont envoyées en texte clair).

  12. Dans la section URL publique, définissez l’URL sur le nom de domaine complet. Par exemple, https://corp.contoso.com:443.

    BatonHandoffIcon

    Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), tapez cette URL dans la ligne « URL of Web application for report publishing » (URL de l’application Web pour la publication des rapports) du tableau 1.

  13. Dans la liste Zone, sélectionnez la zone à utiliser pour ce port. Vous pouvez choisir n’importe quelle zone disponible, mais il est recommandé de choisir la zone Personnalisée, car ce nom décrit mieux la finalité de cette zone.

  14. Cliquez sur OK pour étendre l’application Web.

    Pour plus d’informations sur la façon de configurer SSL, voir Configuration de SSL sur IIS 7.0 (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x40C) (éventuellement en anglais).

Créer un mappage des accès de substitution pour l’application Web compatible SSL

L’application Web que vous avez créée dans la procédure précédente doit être accessible à l’aide de l’URL spécifiée dans le certificat SSL que vous allez lier à cette application Web (dans une procédure ultérieure). S’il ne s’agit pas de la même URL, par exemple si l’application Web a été créée à l’aide du nom de domaine complet, mais que le certificat utilise l’URL courte, vous devez créer un mappage des accès de substitution pour spécifier l’URL répertoriée dans le certificat.

Notes

Un exemple de nom de domaine complet est http://contoso.corp.com. Dans cet exemple, l’URL courte serait http://contoso.

Si l’URL répertoriée dans le certificat SSL et l’URL utilisée pour la création de l’application Web sont les mêmes, vous n’avez pas besoin d’effectuer cette procédure.

Pour créer un mappage des accès de substitution

  1. Dans l’Administration centrale, dans la barre de lancement rapide, cliquez sur Paramètres système.

  2. Dans la section Gestion de la batterie, cliquez sur Configurer les mappages d’accès de substitution.

  3. Cliquez sur Ajouter des URL internes.

  4. Dans la section Collection de mappages des accès de substitution, sélectionnez l’application Web que vous utiliserez pour vos sites Duet Enterprise.

  5. Dans la section Ajouter une URL interne, procédez comme suit :

    1. Dans la zone Protocole, hôte et port de l’URL, tapez l’URL répertoriée dans le certificat SSL.

    2. Dans la liste Zone, sélectionnez la zone à utiliser pour cette URL.

      Notes

      Il s’agit du nom de la zone que vous avez sélectionnée lorsque vous avez étendu l’application Web dans la procédure précédente.

  6. Cliquez sur Enregistrer.

    Le mappage des accès de substitution que vous avez créé apparaît dans la page Mappages des accès de substitution.

Créer la liaison SSL pour la zone compatible SSL

Effectuez cette procédure pour lier un certificat SSL à la zone compatible SSL de votre application Web.

Notes

Vous devez être membre du groupe Administrateurs sur l’ordinateur qui exécute SharePoint Server 2010 pour effectuer cette procédure.

Pour créer la liaison SSL pour l’application Web étendue

  1. Connectez-vous à un serveur Web frontal en tant que membre du groupe Administrateurs Windows.

  2. Cliquez sur Démarrer, pointez sur Programmes, pointez sur Outils d’administration, puis cliquez sur Gestionnaire des services Internet (IIS).

  3. Dans le volet Connexions, développez Sites, puis sélectionnez le site associé à l’application Web compatible SSL que vous avez créée dans une procédure antérieure.

    Conseil

    Ce site peut être identifié par le numéro de port et le nom que vous lui avez affectés lorsque vous avez étendu l’application Web.

    BatonHandoffIcon

    Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), cette URL est répertoriée dans la ligne « URL of Web application for report publishing » (URL de l’application Web pour la publication des rapports) du tableau 1.

  4. Dans le volet Actions, sous Modifier le site, cliquez sur Liaisons.

  5. Dans la boîte de dialogue Liaisons de sites, cliquez sur Ajouter.

  6. Dans la boîte de dialogue Ajouter la liaison de site, sélectionnez https dans la liste déroulante Type.

  7. Dans la liste des certificats SSL, sélectionnez le certificat SSL que vous avez créé ou obtenu au cours de la procédure Créer ou obtenir un certificat SSL, puis cliquez sur OK.

  8. Cliquez sur Fermer pour fermer la boîte de dialogue Liaisons de sites.

  9. Répétez les étapes 1 à 8 pour chaque serveur Web frontal supplémentaire dans la rotation d’équilibrage de charge de votre batterie de serveurs SharePoint Server 2010.

Exporter le certificat SSL

Si vous avez obtenu un certificat SSL auprès d’une autorité de certification, vous n’avez pas besoin d’effectuer cette procédure, car vous disposez déjà du certificat dans votre système de fichiers. Toutefois, si vous avez utilisé IIS sur un serveur Web frontal SharePoint pour créer un certificat auto-signé à des fins de test, vous devez exporter le certificat afin de pouvoir partager une copie de ce certificat avec l’administrateur SAP.

Notes

Vous devez être membre du groupe Administrateurs Windows sur le serveur Web frontal SharePoint pour effectuer cette procédure.

Pour exporter le certificat SSL

  1. Connectez-vous à un serveur Web frontal SharePoint pour lequel vous avez lié le certificat.

  2. Si le Gestionnaire des services Internet (IIS) n’est pas déjà ouvert, cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire des services Internet (IIS).

  3. Dans l’arborescence, sélectionnez le nœud du serveur.

  4. Dans le volet du milieu, sous IIS, double-cliquez sur Certificats de serveur.

  5. Dans le volet du milieu, double-cliquez sur le certificat que vous avez lié à votre application Web étendue.

  6. Dans la boîte de dialogue Certificat, sous l’onglet Détails, cliquez sur Copier dans un fichier.

  7. Dans la page Bienvenue, cliquez sur Suivant.

  8. Dans la page Exportation de la clé privée, vérifiez que l’option Non, ne pas exporter la clé privée est sélectionnée, puis cliquez sur Suivant.

  9. Dans la page Format de fichier d’exportation, cliquez sur Suivant.

  10. Dans la page Fichier à exporter, dans la zone Nom du fichier, tapez le chemin d’accès et le nom de fichier à utiliser pour l’exportation du certificat, puis cliquez sur Suivant.

    Conseil

    Vous n’avez pas besoin de taper une extension de nom de fichier.

  11. Cliquez sur Terminer.

  12. Cliquez sur OK pour fermer la boîte de dialogue L’exportation s’est effectuée correctement..

  13. Cliquez sur OK pour fermer la boîte de dialogue Certificat.

Partager le certificat SSL avec l’administrateur SAP

Vous devez fournir une copie du certificat SSL à l’administrateur SAP. Celui-ci utilisera le certificat SSL pour établir une communication entre le serveur SAP NetWeaver dans le système SAP et votre application Web.

BatonHandoffIcon

Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), le chemin d’accès et le nom de fichier du certificat SSL sont répertoriés dans la ligne « SSL certificate file name and location » (nom de fichier et emplacement du certificat SSL) du tableau 1.

Exporter le certificat du service d’émission de jeton de sécurité SharePoint

Cette procédure suppose que le service d’émission de jeton de sécurité SharePoint, également appelé « service Banque d’informations sécurisé », est déjà en cours d’exécution.

Notes

Vous devez être membre du groupe Administrateurs de batterie SharePoint pour effectuer cette procédure.

Pour vérifier que le service Banque d’informations sécurisé est en cours d’exécution

  1. Connectez-vous au site Web Administration centrale en tant qu’administrateur de batterie.

  2. Dans l’Administration centrale, dans la barre de lancement rapide, cliquez sur Paramètres système.

  3. Dans la section Serveurs, cliquez sur Gérer les services sur le serveur.

  4. Dans la colonne État, vérifiez que l’état de la ligne du service Banque d’informations sécurisé est défini sur Démarré.

Pour exporter le certificat du service d’émission de jeton de sécurité SharePoint

  1. Vérifiez que vous disposez des informations d’identification administratives suivantes :

    • Vous devez être membre du groupe Administrateurs Windows sur le serveur Web frontal SharePoint.

  2. Connectez-vous à un serveur Web frontal en tant que membre du groupe Administrateurs Windows.

  3. Cliquez sur Démarrer, cliquez sur Exécuter, tapez mmc dans la zone de texte Ouvrir, puis cliquez sur OK.

  4. Si le composant logiciel enfichable Certificat est répertorié dans la colonne Nom, passez à l’étape 5. Sinon, procédez comme suit :

    1. Dans la console, cliquez sur Fichier, puis cliquez sur Ajouter ou supprimer des composants logiciels enfichables.

    2. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, dans la colonne Composant logiciel enfichable, cliquez sur Certificats, puis cliquez sur Ajouter.

    3. Dans la boîte de dialogue Composant logiciel enfichable Certificats, sélectionnez Le compte de l’ordinateur, puis cliquez sur Suivant.

    4. Cliquez sur Terminer, puis cliquez sur OK.

      Le composant logiciel enfichable Certificats apparaît maintenant dans la colonne Nom.

  5. Dans la racine de la console (volet de navigation), développez l’arborescence Certificats, développez SharePoint, puis cliquez sur Certificats.

  6. Dans la colonne Délivré à, cliquez avec le bouton droit sur Service de jeton de sécurité (STS) SharePoint, pointez sur Toutes les tâches, puis cliquez sur Ouvrir.

  7. Dans la boîte de dialogue Certificat, sous l’onglet Détails, cliquez sur Copier dans un fichier.

  8. Dans la page Bienvenue, cliquez sur Suivant.

  9. Étant donné que seul le certificat public est requis, mais pas la clé privée, dans la page Exportation de la clé privée, vérifiez que l’option Non, ne pas exporter la clé privée est sélectionnée, puis cliquez sur Suivant.

  10. Dans la page Format de fichier d’exportation, cliquez sur Suivant.

  11. Dans la page Format de fichier d’exportation, dans la zone Nom du fichier, tapez le chemin d’accès et le nom de fichier à utiliser pour l’exportation de votre certificat, puis cliquez sur Suivant.

    Par exemple, c:\share\STScert.

    Conseil

    Vous n’avez pas besoin de taper l’extension de nom de fichier.

  12. Dans la page Fin de l’Assistant Exportation de certificat, cliquez sur Terminer.

  13. Dans la boîte de dialogue L’exportation s’est effectuée correctement, cliquez sur OK.

  14. Cliquez sur OK pour fermer la boîte de dialogue Certificat.

  15. Laissez la console ouverte, car vous en aurez besoin dans une procédure ultérieure.

Fournir le certificat STS à l’administrateur SAP

Fournissez à l’administrateur SAP une copie du certificat du service d’émission de jeton de sécurité (STS) que vous avez exporté. L’administrateur SAP utilisera le certificat STS pour établir une relation d’approbation à sens unique avec le service d’émission de jeton de sécurité.

BatonHandoffIcon

Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), tapez le nom et l’emplacement du certificat STS dans la ligne « STS certificate file name and location » (nom de fichier et emplacement du certificat STS) du tableau 1.

Fournir des informations sur le certificat STS à l’administrateur SAP

Vous devez fournir le nom de l’émetteur du service d’émission de jeton de sécurité à l’administrateur SAP. Utilisez la procédure indiquée dans cette section pour recueillir cette information.

Notes

Vous devez être membre du groupe Administrateurs Windows sur un serveur Web frontal SharePoint pour effectuer les procédures répertoriées dans cette section.

Pour recueillir le nom de l’émetteur du service d’émission de jeton de sécurité

  1. Dans la console MMC, dans la boîte de dialogue Certificat, cliquez sur l’onglet Détails.

  2. Dans la colonne Champ, cliquez sur Émetteur.

  3. Dans le volet du bas, notez la valeur pour CN, OU, O et C.

    BatonHandoffIcon

    Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), ajoutez cette information dans la ligne « STS Issuer name » (nom de l’émetteur du service d’émission de jeton de sécurité) du tableau 1.

Vérifier qu’une clé est générée pour l’application du service Banque d’informations sécurisé

Pour que les modèles BDC fournis avec Duet Enterprise puissent être importés, un administrateur SharePoint doit générer une clé pour l’application du service Banque d’informations sécurisé. Effectuez cette procédure pour vérifier si une clé a été générée et, si ce n’est pas le cas, pour en générer une. Cette procédure ne peut être réalisée que si l’application du service Banque d’informations sécurisé est démarrée.

Notes

Vous devez être membre du groupe Administrateurs de batterie pour effectuer cette procédure.

Pour vérifier qu’une clé est générée

  1. Dans l’Administration centrale, dans le menu de lancement rapide, cliquez sur Gestion des applications.

  2. Dans la section Applications de service, cliquez sur Gérer les applications de service.

  3. Sous l’onglet Applications de service, dans la colonne Nom, cliquez sur le lien Proxy de l’application du service Banque d’informations sécurisé.

  4. Si aucune clé n’est répertoriée dans cette page, dans le Ruban, cliquez sur Générer une nouvelle clé.

  5. Tapez une phrase secrète dans les zones Phrase secrète et Confirmer la phrase secrète.

Identifier les informations relatives aux domaines utilisateur et aux services de domaine Active Directory (AD DS)

Pour que l’administrateur SAP puisse extraire les comptes d’utilisateur d’AD DS, vous devez lui fournir les informations suivantes pour chaque service d’annuaire ou domaine Windows dans lequel sont stockés les comptes d’utilisateur utilisés par SharePoint :

  • Nom d’hôte du serveur qui exécute AD DS. Par exemple, ContosoDC1.

    BatonHandoffIcon

    Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), ajoutez cette information dans la ligne « AD DS Server name » (nom du serveur AD DS) du tableau 1.

  • Numéro de port utilisé pour la connexion à AD DS. Le numéro de port par défaut est 389. Si ce numéro n’est pas utilisé, l’administrateur de domaine AD DS peut fournir le numéro de port à utiliser.

    BatonHandoffIcon

    Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), ajoutez ce numéro de port dans la ligne « Port number of AD DS service » (numéro de port du service AD DS) du tableau 1.

  • Compte d’utilisateur disposant d’autorisations DirSync minimales sur le service AD DS (par exemple, contoso\admin1) et mot de passe de ce compte.

    Notes

    L’administrateur de domaine AD DS peut fournir ces nom et mot de passe de compte.

    BatonHandoffIcon

    Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), ajoutez ce compte (sous la forme domaine\nom_utilisateur) et le mot de passe de ce compte à la ligne « AD DS account and password » (compte et mot de passe AD DS) du tableau 1.

  • Nom de l’attribut qui stocke le nom d’utilisateur SAP.

    Notes

    Si le nom d’utilisateur SAP est stocké dans AD DS, l’administrateur AD DS peut fournir le nom de cet attribut.

    BatonHandoffIcon

    Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), ajoutez le nom de cet attribut à la ligne « Attribute in AD DS where SAP user name is maintained » (attribut dans AD DS dans lequel le nom d’utilisateur SAP est conservé) du tableau 1.

  • Nom du domaine de base utilisateur, par exemple, CN=Users,DC=dev24,DC=devwdf, DC=sap,DC=corp.

    Notes

    L’administrateur AD DS peut fournir ces informations.

    BatonHandoffIcon

    Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), ajoutez cette information à la ligne « User Base Domain Name » (nom du domaine de base utilisateur) du tableau 1.

Établir une relation d’approbation avec le certificat SSL provenant de l’environnement SAP

Pour que l’application Web compatible SSL accepte les informations provenant de l’environnement SAP, vous devez établir une relation d’approbation avec le certificat SSL qui a été fourni par l’administrateur SAP. Si l’administrateur SAP et vous-même utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), l’emplacement et le nom de fichier de ce certificat sont répertoriés dans la ligne « SSL Certificate location and file name » (emplacement et nom de fichier du certificat SSL) du tableau 2 de la feuille.

Notes

Vous devez être membre du groupe SharePoint Administrateurs de batterie pour effectuer cette procédure.

Pour approuver le certificat SSL provenant de l’environnement SAP

  1. Dans l’Administration centrale, dans la barre de lancement rapide, cliquez sur Sécurité.

  2. Dans la section Sécurité générale, cliquez sur Gérer la relation d’approbation.

  3. Dans le groupe Gestion du Ruban, cliquez sur Nouveau.

  4. Dans la boîte de dialogue Établir une relation d’approbation, dans la zone Nom, tapez le nom à utiliser pour cette relation d’approbation.

  5. En regard de la zone Certificat d’autorité racine, cliquez sur Parcourir.

  6. Dans la boîte de dialogue Sélectionner le fichier à télécharger, dans la zone Nom du fichier, tapez le chemin d’accès et le nom de fichier du certificat pour lequel vous souhaitez établir une relation d’approbation, puis cliquez sur Ouvrir.

    BatonHandoffIcon

    Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), le nom de fichier et l’emplacement du certificat sont répertoriés dans la ligne « SSL Certificate location and file name » (emplacement et nom de fichier du certificat SSL) du tableau 2 de la feuille.

  7. Cliquez sur OK pour fermer la boîte de dialogue Établir une relation d’approbation.

    Le nom que vous avez tapé à l’étape 4 apparaît dans la colonne Nom de la page Relations d’approbation.