Share via

Für die Bereitstellung erforderliche Administrator- und Dienstkonten sowie Zertifikate (Duet Enterprise)

  • Artikel

 

Gilt für: Duet Enterprise for Microsoft SharePoint and SAP Server 2.0

Letztes Änderungsdatum des Themas: 2011-08-05

Es wird empfohlen, die erforderlichen Dienst- und Benutzerkonten zu erstellen, bevor Sie mit der Installation von Duet Enterprise beginnen. Beispielsweise benötigen Sie ein Dienstkonto für die Webanwendung, die für die Duet Enterprise-Websites verwendet wird, sowie mindestens ein Dienstkonto für die Kommunikation zwischen der SharePoint-Farm und dem SAP-System. Darüber hinaus benötigen Sie ein SSL-Zertifikat zum Konfigurieren der sicheren Kommunikation zwischen der Webanwendung für die Duet Enterprise-Websites und dem SAP-System. Ein SAP-Administrator stellt außerdem ein SSL-Zertifikat bereit, für das Sie eine Vertrauensstellung in der SharePoint-Umgebung einrichten müssen.

Inhalt dieses Artikels:

  • Für die Bereitstellung von Duet Enterprise erforderliche Konten

  • Für den Schutz von Duet Enterprise erforderliche Zertifikate

  • Erstellen eines verwalteten Kontos

Für die Bereitstellung von Duet Enterprise erforderliche Konten

In den folgenden Abschnitten werden die zum Bereitstellen von Duet Enterprise verwendeten Konten beschrieben. In den Tabellen wird erläutert, welche Konten Sie während des Bereitstellungsprozesses zur Verfügung stellen müssen.

Hinweis

Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, können die Konten in diesem Arbeitsblatt festgehalten werden.

Installieren von Duet Enterprise

In der folgenden Tabelle werden die Anforderungen für das Konto beschrieben, das zum Installieren von Duet Enterprise verwendet wird.

Konto Zweck Anforderungen

Setup-Benutzerkonto

Das Benutzerkonto, das zum Ausführen der folgenden Aufgaben verwendet wird:

  • Ausführen von setup.exe

  • Ausführen von DuetConfig.exe

Dieses Konto erhält die Ausführungsberechtigung für den Metadatenspeicher des Business Data Connectivity Services.

Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie dieses Konto in der Zeile Setup-Benutzerkonto in Tabelle 3 des Arbeitsblatts auf.

  • Mitglied der Windows-Gruppe der Administratoren auf dem Computer mit SharePoint Server 2010.

  • Mitglied der Gruppe der Farmadministratoren in der SharePoint Server-Farm, in der Sie Duet Enterprise installieren.

  • Vollzugriff auf die Benutzerprofildienst-Anwendung ist erforderlich, um die Profilsynchronisierung mit dem Befehl /configureprofilesync von DuetConfig.exe zu konfigurieren. Beachten Sie, dass dem Konto, das zum Installieren von Microsoft SharePoint Server 2010 verwendet wird, diese Berechtigung automatisch gewährt wird. Sie wird jedoch nicht allen Farmadministratoren automatisch gewährt.

Konfigurieren der sicheren Kommunikation zwischen der SharePoint-Farm und dem SAP-System

Die Konten in der folgenden Tabelle sind zum Erstellen der Webanwendungen für die Duet Enterprise-Websites erforderlich.

Konto Zweck Anforderungen

Dienstkonto

Wird für die Webanwendung der Duet Enterprise-Websites verwendet.

Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie dieses Konto in der Zeile Dienstkonto für die Webanwendung der Duet Enterprise-Websites in Tabelle 3 des Arbeitsblatts auf.

Dieses Konto muss in SharePoint Server als verwaltetes Konto konfiguriert werden.

Wichtig

Verwenden Sie für diesen Zweck kein Benutzerkonto. Dadurch könnten SAP-Workflowaufgaben einen inkonsistenten Status erhalten. Stattdessen wird die Verwendung eines eindeutigen Windows-Domänenkontos empfohlen, das nur für diesen Zweck verwendet wird.

Importieren von BDC-Modellen

Die Konten in der folgenden Tabelle sind beim Importieren von BDC-Modellen erforderlich. Die im Lieferumfang von Duet Enterprise enthaltenen BDC-Modelle werden von einem SAP-Administrator entsprechend der Einstellungen im SAP-System aktualisiert und anschließend an einen SharePoint-Administrator übergeben, der sie in SharePoint Server importieren muss.

Konto Zweck Anforderungen

Endbenutzer mit Zugriff auf SAP-Inhalt

Hiermit geben Sie den Benutzer oder die AD DS-Gruppenkonten (Active Directory Domain Service, Active Directory-Domänendienste) an, denen die Ausführungsberechtigung für die BDC-Modelle gewährt werden.

Hinweis

Es wird empfohlen, die Windowsgruppe nt authority\authenticated users während der Bereitstellung anzugeben. Auf diese Weise haben alle authentifizierten Benutzer Zugriff auf den SAP-Inhalt. Wenn Sie nach der Bereitstellung die Sicherheit verstärken möchten, können Sie diese Windows-Gruppe durch einzelne Benutzerkonten oder eine andere Windows-Gruppe ersetzen.

Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie die Benutzerkonten oder Gruppen, die Sie verwenden möchten, in der Zeile Benutzer mit Zugriff auf SAP-Inhalt in Tabelle 3 des Arbeitsblatts auf.

Windows-Benutzer oder -Gruppe.

Hinweis

Dieses Konto muss ein gültiges Domänenkonto oder eine gültige Domänengruppe sein. SharePoint-Gruppen werden nicht unterstützt.

WSDL-Zugriffskonto

Hiermit können Sie auf die SAP-WSDLs zugreifen und sie herunterladen. Diesem Konto wird der Vollzugriff für alle BDC-Modelle erteilt.

Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, gibt der SAP-Administrator dieses Konto in den Zeilen Benutzername für WSDL-Zugriff und Kennwort für WSDL-Zugriff in Tabelle 2 des Arbeitsblatts an.

Windows-Benutzer oder -Gruppe. Das WSDL-Zugriffskonto wird vom SAP-Administrator erstellt. Sie müssen den Benutzer- oder Gruppennamen und das zugehörige Kennwort bereitstellen.

Synchronisieren von Profilen und Rollen

Das Konto in der folgenden Tabelle ist erforderlich, wenn Sie die Rollensynchronisierung für Duet Enterprise konfigurieren möchten.

Konto Zweck Anforderungen

AD DS-Konto

Wird von einem SharePoint-Administrator zum Synchronisieren von Benutzerkonten in AD DS mit dem Benutzerprofilspeicher in der SharePoint Server-Farm verwendet. Ein SAP-Administrator ruft mit diesem Konto außerdem Benutzerkonten aus AD DS in den SAP-Profilspeicher ab.

Tipp

Der AD DS-Administrator kann diesen Kontonamen bereitstellen.

Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie diesen Kontonamen und das Kennwort in der Zeile AD DS-Konto und -Kennwort in Tabelle 1 des Arbeitsblatts auf.

  • Mitglied der SharePoint-Gruppe Farmadministratoren oder ein Benutzerprofildienst-Administrator.

  • Mindestens DirSync-Berechtigungen für AD DS.

Konfigurieren der Berichterstellung

Die Konten in der folgenden Tabelle sind erforderlich, wenn Sie die Berichterstellungslösung für Duet Enterprise konfigurieren möchten.

Konto Zweck Anforderungen

Konto des Berichtherausgebers

Wird zum Autorisieren von Berichten verwendet, die vom SAP-System an SharePoint Server gesendet werden sollen. Diesem Konto wird der Vollzugriff für die Berichtherausgeber-URL gewährt.

Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie diesen Kontonamen und das Kennwort in der Zeile Konto des Berichtherausgebers in Tabelle 3 des Arbeitsblatts auf.

Dieses Benutzerkonto und dieses Kennwort werden an den SAP-Administrator als Konto des Berichtherausgebers im SAP-System übergeben. Deshalb wird empfohlen, ein Konto speziell für diesen Zweck zu erstellen, anstatt das Benutzerkonto eines Benutzers zu verwenden.

Konfigurieren von SAP-Workflows

Das Konto in der folgenden Tabelle ist erforderlich, wenn Sie Duet Enterprise-Workflow-Websites in SharePoint Server konfigurieren möchten.

Konto Zweck Anforderungen

Dienstkonto

Wird für alle Workflowtransaktionen zwischen SharePoint Server und der SAP-Umgebung verwendet. SharePoint Server akzeptiert nur Anforderungen des Workflowdienstkontos. Dies ist außerdem das einzige Konto, mit dem Protokolle an das SAP-System gesendet werden können.

Arbeitsblattschritt: Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie dieses Konto in der Zeile Konto des Workflowherausgebers in Tabelle 3 des Arbeitsblatts auf.

Mitglied der SharePoint-Gruppe Besitzer für alle Workflow-Websites.

Wichtig

Verwenden Sie für Webanwendungen nicht dasselbe Konto, das als Anwendungspoolkonto verwendet wird. Dies darf insbesondere nicht dasselbe Konto sein, das Sie in der Zeile Dienstkonto für die Webanwendung der Duet Enterprise-Websites in Tabelle 3 des Bereitstellungsblatts eingegeben haben. Dadurch könnten SAP-Workflowaufgaben einen inkonsistenten Status erhalten. Deshalb wird die Verwendung eines eindeutigen Windows-Domänenkontos empfohlen, das nur für diesen Zweck verwendet wird.

Für den Schutz von Duet Enterprise erforderliche Zertifikate

Alle Netzwerkaufrufe zwischen der Webanwendung, die für Duet Enterprise-Websites konfiguriert ist, und dem SAP-System erfolgen über SSL (Secure Sockets Layer) (HTTPS). Darüber hinaus muss ein SharePoint-Administrator das Zertifikat des Sicherheitstokendiensts (Secure Token Service, STS) exportieren und an einen SAP-Administrator übergeben, um eine Vertrauensstellung im SAP-System zu konfigurieren. Dadurch können Token, die vom SharePoint-Sicherheitstokendienst gesendet werden, überprüft werden, nachdem sie im SAP-System eingetroffen sind. Der SharePoint-Administrator muss außerdem eine Vertrauensstellung mit einem SSL-Zertifikat konfigurieren, mit dem der SAP-Administrator den von Duet Enterprise verwendeten Webdienst sichert. Hierfür sind die folgenden Zertifikate erforderlich.

Die folgenden Zertifikate werden für den Schutz von Duet Enterprise verwendet:

  • Ein SharePoint-Administrator muss ein SSL-Zertifikat für die Webanwendung abrufen oder erstellen, die für Duet Enterprise konfiguriert wird. Beachten Sie, dass eine Webanwendung, für die Duet Enterprise-Lösungen aktiviert sind, erweitert werden muss, damit eine konfigurierte Zone das HTTPS-Protokoll (SSL) und die Standardauthentifizierung verwenden kann. Diese SSL-konfigurierte Zone (wird in diesem Artikel als für SAP zugänglich Zone bezeichnet) wird für die gesamte Kommunikation mit dem SAP-System verwendet. Ein Administrator des Servers mit SharePoint Server 2010 muss dieses SSL-Zertifikat an die für SAP zugänglich Zone der Webanwendung binden und das Zertifikat an einen SAP-Systemadministrator übergeben, damit es auf dem Server mit SAP NetWeaver vertrauenswürdig ist.

  • Der SharePoint-Administrator muss das Zertifikat des Sicherheitstokendiensts exportieren und an den SAP-Systemadministrator übergeben. Der SAP-Systemadministrator richtet mithilfe dieses Zertifikats eine unidirektionale Vertrauensstellung mit dem Sicherheitstokendienst ein.

  • Ein SAP-Systemadministrator muss das SSL-Zertifikat, mit dem der von Duet Enterprise verwendete Webdienst gesichert wird, an den SharePoint-Administrator übergeben, der eine Vertrauensstellung für dieses Zertifikat konfiguriert. Auf diese Weise können die Duet Enterprise-Websites Informationen von der SAP-Umgebung akzeptieren.

Hinweis

Schrittweise Anleitungen zum Abrufen und Verwenden dieser Zertifikate finden Sie unter Konfigurieren der sicheren Kommunikation zwischen den SharePoint- und SAP-Umgebungen (https://go.microsoft.com/fwlink/?linkid=205812&clcid=0x407).

Erstellen eines verwalteten Kontos

Wenn die Webanwendung, die Sie für Duet Enterprise-Websites verwenden werden, noch nicht vorhanden ist, muss ein verwaltetes Konto dem Anwendungspool zugewiesen werden, der von der später von Ihnen erstellten Webanwendung verwendet wird.

Ein verwaltetes Konto ist ein AD DS-Benutzerkonto, dessen Anmeldeinformationen in SharePoint Server verwaltet und gespeichert werden. Zum Erstellen eines verwalteten Kontos registrieren Sie ein AD DS-Konto für SharePoint Server.

So bestimmen Sie das AD DS-Benutzerkonto

  • Bevor Sie ein verwaltetes Konto erstellen können, müssen Sie zunächst das AD DS-Benutzerkonto bestimmen, das Sie verwenden möchten. Es wird empfohlen, den AD DS-Administrator zu bitten, folgende Aktionen auszuführen.

    1. Erstellen eines Kontos speziell für diesen Zweck, anstatt das Konto eines Benutzers zu verwenden.

    2. Konfigurieren eines nicht ablaufenden Kontos.

    Falls Sie das Bereitstellungsarbeitsblatt (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x407) verwenden, zeichnen Sie dieses Konto in der Zeile Dienstkonto für die Webanwendung der Duet Enterprise-Websites in Tabelle 3 des Arbeitsblatts auf.

So registrieren Sie ein verwaltetes Konto

  1. Stellen Sie sicher, dass Sie über die folgenden Administratoranmeldeinformationen verfügen:

    • Sie müssen ein Farmadministrator sein, um dieses Verfahren auszuführen.

  2. Klicken Sie auf der Website für die Zentraladministration im Abschnitt Sicherheit auf Verwaltete Konten konfigurieren.

  3. Klicken Sie auf der Seite Verwaltete Konten auf Verwaltetes Konto registrieren.

  4. Geben Sie auf der Seite Verwaltetes Konto registrieren im Abschnitt Kontoregistrierung die Anmeldeinformationen für das Dienstkonto ein.

    Hinweis

    Es wird davon abgeraten, das Feature für die automatische Kennwortänderung für Dienstkonten zu aktivieren.

  5. Klicken Sie auf OK.