Configurar la solución Sincronización de roles en Duet Enterprise para SharePoint y SAP Server 2.0

Última modificación del tema: 2013-12-18

Resumen: información sobre la configuración de la sincronización de roles (RoleSync) para Duet Enterprise 2.0.

La solución de sincronización de roles (RoleSync) que se proporciona con Duet Enterprise para Microsoft SharePoint y SAP Server 2.0 permite a los administradores de SharePoint sincronizar la propiedad de roles de SAP guardada en el almacén de perfiles de SAP con los perfiles de usuario de SharePoint. Después de realizar la sincronización de roles, los usuarios pueden usar el Selector de personas de SharePoint para conceder permisos sobre cualquier objeto protegible de SharePoint, como sitios, listas y archivos. También mejora la solución de Informes, dado que los informes compartidos solo se pueden compartir mediante roles de SAP y los usuarios pueden suscribirse a informes compartidos.

En este artículo, se presupone lo siguiente:

• Un administrador de SAP ha creado la asignación de usuarios de SAP a roles de SAP en el sistema SAP.

• Un administrador de SharePoint ha iniciado la aplicación Servicio de perfiles de usuario y ha creado una conexión de sincronización de perfiles con el servicio de los Servicios de dominio de Active Directory (AD DS) que contiene las cuentas de usuario que utiliza la granja de SharePoint Server. Si desea obtener información sobre cómo llevar a cabo estos procedimientos, consulte Sincronización de perfiles de usuario y grupo en SharePoint Server 2013.

• El administrador de SharePoint ha sincronizado el servicio de AD DS con el almacén de perfiles de usuario de SharePoint. Para obtener más información, consulte Administración de la sincronización de perfiles en SharePoint Server 2013.

  Nota

  Los perfiles de usuario de SharePoint con los que desea sincronizar los roles de SAP deben existir antes de realizar la sincronización de roles. Los roles de SAP solo se sincronizarán con los perfiles de usuario de SharePoint que ya existan. Puede crear estos perfiles de usuario en el almacén de perfiles de usuario de SharePoint manualmente, pero el método recomendado para crearlos es realizar la sincronización de perfiles con AD DS.

En este artículo:

• Antes de empezar

• Activación de la característica Proveedor de notificaciones de Duet Enterprise

• Identificación de la cuenta de Temporizador de extensiones de SharePoint

• Concesión de permisos al almacén de metadatos

• Comprobación de que el administrador de la granja tiene todos los permisos de control

• Suministro de la cuenta del servicio de temporizador de SharePoint

• Sincronización de perfiles de SAP con el almacén de perfiles de usuario de SharePoint

• Paso de comprobación

• Concesión de permisos para un sitio a un rol de SAP

Antes de empezar

Antes de configurar la sincronización de roles, el administrador de SAP debe haber llevado a cabo lo siguiente:

• Asignar confianza al certificado SSL que ha creado anteriormente, en Preparar el entorno de Duet Enterprise para SharePoint y SAP Server 2.0.

El administrador de SharePoint debe haber llevado a cabo lo siguiente:

• Importar el modelo RoleSync. Para obtener más información, consulte Importar modelos en Duet Enterprise para SharePoint y SAP Server 2.0.

Activación de la característica Proveedor de notificaciones de Duet Enterprise

Para habilitar la característica Proveedor de notificaciones de Duet Enterprise

1. En el sitio web de Administración central de SharePoint, en Inicio rápido, haga clic en Administración central.

2. En la sección Configuración del sistema, haga clic en Administrar características de la granja de servidores.

3. En la fila Proveedor de notificaciones de roles SAP para Duet Enterprise, haga clic en Activar.

   La columna de estado cambiará a Activo. Cuando está activo, los roles de SAP están disponibles en el Selector de personas después de sincronizar el almacén de perfiles de usuario de SharePoint Server 2013 con el almacén de perfiles de SAP.

Identificación de la cuenta de Temporizador de extensiones de SharePoint

Para llevar a cabo los tres procedimientos siguientes, debe saber qué cuenta está asignada al Temporizador de extensiones de SharePoint.

Identificar la cuenta de Temporizador de extensiones de SharePoint

1. Inicie sesión en la granja de servidores de SharePoint como Administrador de Windows.

2. Haga clic en Inicio y, a continuación, haga clic en Ejecutar.

3. En el cuadro de diálogo Ejecutar, en el cuadro Abrir, escriba services.msc y, a continuación, haga clic en Aceptar.

4. En la ventana Servicios, en la columna Nombre, haga doble clic en Temporizador de extensiones de SharePoint.

5. Haga clic en la pestaña Iniciar sesión.

6. Anote el nombre de la cuenta que se muestra en el cuadro Esta cuenta.

Concesión de permisos al almacén de metadatos

Para conceder permisos al almacén de metadatos

1. En Administración central, en Inicio rápido, haga clic en Administración de aplicaciones.

2. En la sección Aplicaciones de servicio, haga clic en Administrar aplicaciones de servicio.

3. En la columna Nombre, haga clic en el vínculo de la Aplicación Servicio de conectividad a datos empresariales.

4. En el grupo Permisos de la cinta, haga clic en Establecer permisos del almacén de metadatos.

5. En el cuadro de diálogo Establecer permisos del almacén de metadatos, en el cuadro superior, escriba la cuenta de usuario del trabajo de temporizador que está en uso.

6. Haga clic en Agregar.

7. En la sección <cuenta de usuario> (sección inferior), asegúrese de que esté activada la casilla Ejecutar.

   Donde <cuenta de usuario> es el nombre de la cuenta que ha agregado en los pasos del 1 al 6.

8. Haga clic en Aceptar.

   Nota

   Si aún no se ha concedido el permiso Establecer permisos en el almacén de metadatos a un usuario, como mínimo, es posible que reciba el siguiente mensaje de error: "Por lo menos un usuario o grupo de la lista de control de acceso debe tener el derecho SetPermissions para evitar la creación de un objeto que no se pueda administrar". Para resolver este problema, conceda a al menos un usuario el permiso Establecer permisos en el almacén de metadatos.

Comprobación de que la cuenta de temporizador tiene todo el control y comprobación del nombre de la aplicación Servicio de perfiles de usuario

Use este procedimiento para comprobar que la cuenta asignada a la cuenta Temporizador de SharePoint tiene todos los permisos de control sobre la aplicación Servicio de perfiles de usuario predeterminada y la aplicación Servicio de conectividad a datos empresariales de la granja de servidores de SharePoint. El administrador de la granja que configurará la sincronización de perfiles, proceso que se describe más adelante en este mismo artículo, deberá conceder este permiso.

Consejo:
SharePoint Server 2013 admite varias aplicaciones de servicio de perfiles de usuario. Sin embargo, la sincronización de roles de Duet Enterprise solo funciona con la aplicación de servicio de perfiles de usuario predeterminada.

Para comprobar que la cuenta de temporizador tiene todo el control

1. En Administración central, en Inicio rápido, haga clic en Administración central.

2. En la sección Administración de aplicaciones, haga clic en Administrar aplicaciones de servicio.

3. En la columna Tipo, haga clic en la fila que contiene la Aplicación de servicio de perfiles de usuario predeterminada para seleccionar la fila.

4. El nombre de la aplicación de servicio de perfiles de usuario aparece en la columna Nombre. Tome nota del nombre de esta aplicación de servicio: lo necesitará más tarde en otro procedimiento.

5. En el grupo Compartir de la cinta, haga clic en Permisos.

6. En el cuadro de diálogo Permisos de conexión, compruebe que se ha asignado el permiso Control total a la cuenta usada para el servicio Temporizador de SharePoint.

7. Haga clic en Aceptar.

Suministro de la cuenta del servicio de temporizador de SharePoint

Debe proporcionar al administrador de SAP la cuenta de usuario asignada al servicio de temporizador de SharePoint, también llamado servicio SPTimerV4. El administrador de SAP se debe asegurar de que esta cuenta esté asignada a un usuario de SAP al que se le hayan concedido suficientes permisos en el sistema SAP como para realizar consultas de las asignaciones de UserRoles.

Para obtener la cuenta de usuario para el servicio de temporizador de SharePoint

1. Inicie sesión en un servidor front-end web de la granja de SharePoint Server 2013 como miembro del grupo Administradores.

2. Haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en Servicios.

3. En la columna Nombre, haga clic con el botón secundario en Temporizador de SharePoint y, a continuación, haga clic en Propiedades.

4. En el cuadro de diálogo Propiedades del servicio de temporizador de SharePoint, en la pestaña Iniciar sesión, tome nota del nombre de cuenta que aparece en el cuadro de texto Esta cuenta.

5. Proporcione este nombre de cuenta al administrador de SAP.

6. Haga clic en Cancelar para cerrar el cuadro de diálogo Propiedades del servicio de temporizador de SharePoint.

Sincronización de roles de SAP con el almacén de perfiles de usuario de SharePoint

Antes de comenzar con este procedimiento, haga lo siguiente:

• Compruebe que el administrador de SAP ha configurado un extremo OData.

• Pida al administrador de SAP que compruebe que el trabajo "Sincronizar roles con consumidores" ha terminado de ejecutarse en el sistema SAP.

  El administrador de SAP debe ejecutar el trabajo "Sincronizar roles con consumidores" periódicamente para sincronizar los roles de usuario del sistema SAP con el almacén de perfiles de SAP del servidor que usa SAP NetWeaver. Le recomendamos que no sincronice el almacén de perfiles de usuario de SAP con el almacén de perfiles de usuario de SharePoint hasta que el administrador de SAP haya finalizado el trabajo de sincronización. De lo contrario, el trabajo de sincronización entre el almacén de perfiles de SAP y el almacén de perfiles de usuario de SharePoint puede tardar mucho más en completarse. Tenga en cuenta que el trabajo "Sincronizar roles con consumidores" suele tardar unos 80 minutos en sincronizar 100 000 usuarios, mientras que la sincronización del almacén de perfiles de SAP NetWeaver con el almacén de perfiles de usuario de SharePoint suele tardar unos 100 minutos en sincronizar 100 000 usuarios. Si tiene pensado programar estos trabajos de sincronización, le recomendamos que los ejecute manualmente en primer lugar, para averiguar cuánto tiempo tarda, de media, en ejecutarse dentro de sus sistemas.

Para sincronizar perfiles

1. En Administración central, en Inicio rápido, haga clic en Supervisión.

2. En la página Supervisión, en la sección Trabajos del temporizador, haga clic en Revisar definiciones de trabajo.

3. En la página Definiciones de trabajos, en la columna Título, haga clic en el vínculo Sincronización de perfiles de Duet Enterprise para <Nombre de la aplicación de servicio de perfiles de usuario>.

   Donde <Nombre de la aplicación de servicio de perfiles de usuario> es el nombre de la aplicación de servicio de perfiles de usuario que utiliza actualmente para la sincronización de roles.

   Consejo:
   Si solamente tiene una aplicación de servicio de perfiles de usuario, este nombre es Sincronización de perfiles de Duet Enterprise para Aplicación de servicio de perfiles de usuario, de forma predeterminada.

4. En la página Editar trabajo del temporizador, haga clic en Ejecutar ahora.

   Nota

   Este trabajo del temporizador está programado para ejecutarse una vez al día, pero puede configurarlo para que se ejecute con menos frecuencia si provoca algún problema de rendimiento.

   Si desea obtener más información sobre los trabajos de temporizador de SharePoint, consulte Visualización del estado del trabajo del temporizador en SharePoint 2013.

Paso de comprobación

Después de finalizar la sincronización de roles, la propiedad Roles SAP aparecerá en la parte inferior de cada página de perfiles de usuario de SharePoint, y mostrará los roles de SAP a los que están asignadas. Estos roles de SAP también estarán disponibles en el Selector de personas al conceder permisos para objetos protegibles, como sitios, listas y archivos. Además, los roles de SAP estarán disponibles al usar informes compartidos, si ha configurado la solución de informes.

Concesión de permisos para un sitio a un rol de SAP

Después de sincronizar el almacén de perfiles de usuario de SAP con el almacén de perfiles de usuario de SharePoint, puede realizar este procedimiento para conceder a los usuarios permisos sobre un sitio según sus roles de SAP. Solo son compatibles los sitios que se encuentren en una aplicación web que utilice autenticación basada en notificaciones, y que estén asociados con la aplicación de servicio de perfiles de usuario que usó para configurar la sincronización de roles.

Consejo:
Antes de usar roles SAP para establecer permisos en un sitio, la colección de sitios ya debe existir y los roles SAP ya se deben haber sincronizado con la tienda de perfiles de usuario de SharePoint. Después de haber concedido permisos de un rol SAP a un sitio, la colección de sitios no se debe renombrar ni eliminar.

Para conceder permisos sobre un sitio a un rol de SAP

1. En un navegador, vaya al sitio para el que desea habilitar los roles de SAP.

2. Haga clic en el icono Configuración y, a continuación, haga clic en Configuración del sitio.

   Consejo:
   El icono Configuración se asemeja a un engranaje.

3. En Usuarios y permisos, haga clic en Permisos del sitio.

4. En el grupo Conceder de la cinta, haga clic en Conceder permisos.

5. En el cuadro de diálogo Conceder permisos, haga lo siguiente:

   1. Haga clic en MOSTRAR OPCIONES.

   2. En Seleccionar un grupo o nivel de permisos, seleccione el grupo o el nivel de permisos al que desee asignar el rol de SAP.

   3. En el cuadro superior, escriba parte del nombre del rol de SAP.

      Consejo:
      Aparecerá una lista desplegable con todos los roles de SAP disponibles.

6. Puede terminar de escribir el nombre del rol de SAP o seleccionarlo en la lista desplegable; a continuación, haga clic en Compartir.

Consulte también

Instalar y configurar Duet Enterprise para SharePoint y SAP Server 2.0