Für die Bereitstellung erforderliche Administrator- und Dienstkonten sowie Zertifikate (Duet Enterprise)
Gilt für: Duet Enterprise for Microsoft SharePoint and SAP Server 2.0
Letztes Änderungsdatum des Themas: 2011-08-05
Es wird empfohlen, die erforderlichen Dienst- und Benutzerkonten zu erstellen, bevor Sie mit der Installation von Duet Enterprise beginnen. Beispielsweise benötigen Sie ein Dienstkonto für die Webanwendung, die für die Duet Enterprise-Websites verwendet wird, sowie mindestens ein Dienstkonto für die Kommunikation zwischen der SharePoint-Farm und dem SAP-System. Darüber hinaus benötigen Sie ein SSL-Zertifikat zum Konfigurieren der sicheren Kommunikation zwischen der Webanwendung für die Duet Enterprise-Websites und dem SAP-System. Ein SAP-Administrator stellt außerdem ein SSL-Zertifikat bereit, für das Sie eine Vertrauensstellung in der SharePoint-Umgebung einrichten müssen.
Inhalt dieses Artikels:
Für die Bereitstellung von Duet Enterprise erforderliche Konten
Für den Schutz von Duet Enterprise erforderliche Zertifikate
Erstellen eines verwalteten Kontos
Für die Bereitstellung von Duet Enterprise erforderliche Konten
In den folgenden Abschnitten werden die zum Bereitstellen von Duet Enterprise verwendeten Konten beschrieben. In den Tabellen wird erläutert, welche Konten Sie während des Bereitstellungsprozesses zur Verfügung stellen müssen.
Hinweis
Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, können die Konten in diesem Arbeitsblatt festgehalten werden.
Installieren von Duet Enterprise
In der folgenden Tabelle werden die Anforderungen für das Konto beschrieben, das zum Installieren von Duet Enterprise verwendet wird.
Konto | Zweck | Anforderungen |
---|---|---|
Setup-Benutzerkonto |
Das Benutzerkonto, das zum Ausführen der folgenden Aufgaben verwendet wird:
Dieses Konto erhält die Ausführungsberechtigung für den Metadatenspeicher des Business Data Connectivity Services. Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie dieses Konto in der Zeile Setup-Benutzerkonto in Tabelle 3 des Arbeitsblatts auf. |
|
Konfigurieren der sicheren Kommunikation zwischen der SharePoint-Farm und dem SAP-System
Die Konten in der folgenden Tabelle sind zum Erstellen der Webanwendungen für die Duet Enterprise-Websites erforderlich.
Konto | Zweck | Anforderungen |
---|---|---|
Dienstkonto |
Wird für die Webanwendung der Duet Enterprise-Websites verwendet. Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie dieses Konto in der Zeile Dienstkonto für die Webanwendung der Duet Enterprise-Websites in Tabelle 3 des Arbeitsblatts auf. |
Dieses Konto muss in SharePoint Server als verwaltetes Konto konfiguriert werden. Wichtig Verwenden Sie für diesen Zweck kein Benutzerkonto. Dadurch könnten SAP-Workflowaufgaben einen inkonsistenten Status erhalten. Stattdessen wird die Verwendung eines eindeutigen Windows-Domänenkontos empfohlen, das nur für diesen Zweck verwendet wird. |
Importieren von BDC-Modellen
Die Konten in der folgenden Tabelle sind beim Importieren von BDC-Modellen erforderlich. Die im Lieferumfang von Duet Enterprise enthaltenen BDC-Modelle werden von einem SAP-Administrator entsprechend der Einstellungen im SAP-System aktualisiert und anschließend an einen SharePoint-Administrator übergeben, der sie in SharePoint Server importieren muss.
Konto | Zweck | Anforderungen |
---|---|---|
Endbenutzer mit Zugriff auf SAP-Inhalt |
Hiermit geben Sie den Benutzer oder die AD DS-Gruppenkonten (Active Directory Domain Service, Active Directory-Domänendienste) an, denen die Ausführungsberechtigung für die BDC-Modelle gewährt werden. Hinweis Es wird empfohlen, die Windowsgruppe nt authority\authenticated users während der Bereitstellung anzugeben. Auf diese Weise haben alle authentifizierten Benutzer Zugriff auf den SAP-Inhalt. Wenn Sie nach der Bereitstellung die Sicherheit verstärken möchten, können Sie diese Windows-Gruppe durch einzelne Benutzerkonten oder eine andere Windows-Gruppe ersetzen. Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie die Benutzerkonten oder Gruppen, die Sie verwenden möchten, in der Zeile Benutzer mit Zugriff auf SAP-Inhalt in Tabelle 3 des Arbeitsblatts auf. |
Windows-Benutzer oder -Gruppe. Hinweis Dieses Konto muss ein gültiges Domänenkonto oder eine gültige Domänengruppe sein. SharePoint-Gruppen werden nicht unterstützt. |
WSDL-Zugriffskonto |
Hiermit können Sie auf die SAP-WSDLs zugreifen und sie herunterladen. Diesem Konto wird der Vollzugriff für alle BDC-Modelle erteilt. Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, gibt der SAP-Administrator dieses Konto in den Zeilen Benutzername für WSDL-Zugriff und Kennwort für WSDL-Zugriff in Tabelle 2 des Arbeitsblatts an. |
Windows-Benutzer oder -Gruppe. Das WSDL-Zugriffskonto wird vom SAP-Administrator erstellt. Sie müssen den Benutzer- oder Gruppennamen und das zugehörige Kennwort bereitstellen. |
Synchronisieren von Profilen und Rollen
Das Konto in der folgenden Tabelle ist erforderlich, wenn Sie die Rollensynchronisierung für Duet Enterprise konfigurieren möchten.
Konto | Zweck | Anforderungen |
---|---|---|
AD DS-Konto |
Wird von einem SharePoint-Administrator zum Synchronisieren von Benutzerkonten in AD DS mit dem Benutzerprofilspeicher in der SharePoint Server-Farm verwendet. Ein SAP-Administrator ruft mit diesem Konto außerdem Benutzerkonten aus AD DS in den SAP-Profilspeicher ab. Tipp Der AD DS-Administrator kann diesen Kontonamen bereitstellen. Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie diesen Kontonamen und das Kennwort in der Zeile AD DS-Konto und -Kennwort in Tabelle 1 des Arbeitsblatts auf. |
|
Konfigurieren der Berichterstellung
Die Konten in der folgenden Tabelle sind erforderlich, wenn Sie die Berichterstellungslösung für Duet Enterprise konfigurieren möchten.
Konto | Zweck | Anforderungen |
---|---|---|
Konto des Berichtherausgebers |
Wird zum Autorisieren von Berichten verwendet, die vom SAP-System an SharePoint Server gesendet werden sollen. Diesem Konto wird der Vollzugriff für die Berichtherausgeber-URL gewährt. Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie diesen Kontonamen und das Kennwort in der Zeile Konto des Berichtherausgebers in Tabelle 3 des Arbeitsblatts auf. |
Dieses Benutzerkonto und dieses Kennwort werden an den SAP-Administrator als Konto des Berichtherausgebers im SAP-System übergeben. Deshalb wird empfohlen, ein Konto speziell für diesen Zweck zu erstellen, anstatt das Benutzerkonto eines Benutzers zu verwenden. |
Konfigurieren von SAP-Workflows
Das Konto in der folgenden Tabelle ist erforderlich, wenn Sie Duet Enterprise-Workflow-Websites in SharePoint Server konfigurieren möchten.
Konto | Zweck | Anforderungen |
---|---|---|
Dienstkonto |
Wird für alle Workflowtransaktionen zwischen SharePoint Server und der SAP-Umgebung verwendet. SharePoint Server akzeptiert nur Anforderungen des Workflowdienstkontos. Dies ist außerdem das einzige Konto, mit dem Protokolle an das SAP-System gesendet werden können. Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie dieses Konto in der Zeile Konto des Workflowherausgebers in Tabelle 3 des Arbeitsblatts auf. |
Mitglied der SharePoint-Gruppe Besitzer für alle Workflow-Websites. Wichtig Verwenden Sie für Webanwendungen nicht dasselbe Konto, das als Anwendungspoolkonto verwendet wird. Dies darf insbesondere nicht dasselbe Konto sein, das Sie in der Zeile Dienstkonto für die Webanwendung der Duet Enterprise-Websites in Tabelle 3 des Bereitstellungsblatts eingegeben haben. Dadurch könnten SAP-Workflowaufgaben einen inkonsistenten Status erhalten. Deshalb wird die Verwendung eines eindeutigen Windows-Domänenkontos empfohlen, das nur für diesen Zweck verwendet wird. |
Für den Schutz von Duet Enterprise erforderliche Zertifikate
Alle Netzwerkaufrufe zwischen der Webanwendung, die für Duet Enterprise-Websites konfiguriert ist, und dem SAP-System erfolgen über SSL (Secure Sockets Layer) (HTTPS). Darüber hinaus muss ein SharePoint-Administrator das Zertifikat des Sicherheitstokendiensts (Secure Token Service, STS) exportieren und an einen SAP-Administrator übergeben, um eine Vertrauensstellung im SAP-System zu konfigurieren. Dadurch können Token, die vom SharePoint-Sicherheitstokendienst gesendet werden, überprüft werden, nachdem sie im SAP-System eingetroffen sind. Der SharePoint-Administrator muss außerdem eine Vertrauensstellung mit einem SSL-Zertifikat konfigurieren, mit dem der SAP-Administrator den von Duet Enterprise verwendeten Webdienst sichert. Hierfür sind die folgenden Zertifikate erforderlich.
Die folgenden Zertifikate werden für den Schutz von Duet Enterprise verwendet:
Ein SharePoint-Administrator muss ein SSL-Zertifikat für die Webanwendung abrufen oder erstellen, die für Duet Enterprise konfiguriert wird. Beachten Sie, dass eine Webanwendung, für die Duet Enterprise-Lösungen aktiviert sind, erweitert werden muss, damit eine konfigurierte Zone das HTTPS-Protokoll (SSL) und die Standardauthentifizierung verwenden kann. Diese SSL-konfigurierte Zone (wird in diesem Artikel als für SAP zugänglich Zone bezeichnet) wird für die gesamte Kommunikation mit dem SAP-System verwendet. Ein Administrator des Servers mit SharePoint Server 2010 muss dieses SSL-Zertifikat an die für SAP zugänglich Zone der Webanwendung binden und das Zertifikat an einen SAP-Systemadministrator übergeben, damit es auf dem Server mit SAP NetWeaver vertrauenswürdig ist.
Der SharePoint-Administrator muss das Zertifikat des Sicherheitstokendiensts exportieren und an den SAP-Systemadministrator übergeben. Der SAP-Systemadministrator richtet mithilfe dieses Zertifikats eine unidirektionale Vertrauensstellung mit dem Sicherheitstokendienst ein.
Ein SAP-Systemadministrator muss das SSL-Zertifikat, mit dem der von Duet Enterprise verwendete Webdienst gesichert wird, an den SharePoint-Administrator übergeben, der eine Vertrauensstellung für dieses Zertifikat konfiguriert. Auf diese Weise können die Duet Enterprise-Websites Informationen von der SAP-Umgebung akzeptieren.
Hinweis
Schrittweise Anleitungen zum Abrufen und Verwenden dieser Zertifikate finden Sie unter Konfigurieren der sicheren Kommunikation zwischen den SharePoint- und SAP-Umgebungen (https://go.microsoft.com/fwlink/?linkid=205812&clcid=0x407).
Erstellen eines verwalteten Kontos
Wenn die Webanwendung, die Sie für Duet Enterprise-Websites verwenden werden, noch nicht vorhanden ist, muss ein verwaltetes Konto dem Anwendungspool zugewiesen werden, der von der später von Ihnen erstellten Webanwendung verwendet wird.
Ein verwaltetes Konto ist ein AD DS-Benutzerkonto, dessen Anmeldeinformationen in SharePoint Server verwaltet und gespeichert werden. Zum Erstellen eines verwalteten Kontos registrieren Sie ein AD DS-Konto für SharePoint Server.
So bestimmen Sie das AD DS-Benutzerkonto
Bevor Sie ein verwaltetes Konto erstellen können, müssen Sie zunächst das AD DS-Benutzerkonto bestimmen, das Sie verwenden möchten. Es wird empfohlen, den AD DS-Administrator zu bitten, folgende Aktionen auszuführen.
Erstellen eines Kontos speziell für diesen Zweck, anstatt das Konto eines Benutzers zu verwenden.
Konfigurieren eines nicht ablaufenden Kontos.
Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie dieses Konto in der Zeile Dienstkonto für die Webanwendung der Duet Enterprise-Websites in Tabelle 3 des Arbeitsblatts auf.
So registrieren Sie ein verwaltetes Konto
Stellen Sie sicher, dass Sie über die folgenden Administratoranmeldeinformationen verfügen:
- Sie müssen ein Farmadministrator sein, um dieses Verfahren auszuführen.
Klicken Sie auf der Website für die Zentraladministration im Abschnitt Sicherheit auf Verwaltete Konten konfigurieren.
Klicken Sie auf der Seite Verwaltete Konten auf Verwaltetes Konto registrieren.
Geben Sie auf der Seite Verwaltetes Konto registrieren im Abschnitt Kontoregistrierung die Anmeldeinformationen für das Dienstkonto ein.
Hinweis
Es wird davon abgeraten, das Feature für die automatische Kennwortänderung für Dienstkonten zu aktivieren.
Klicken Sie auf OK.