Sincronizzare profili e ruoli (Duet Enterprise)

Duet 1.0
 

Si applica a: Duet Enterprise for Microsoft SharePoint and SAP

Ultima modifica dell'argomento: 2015-03-09

In questo articolo viene descritto come abilitare la sincronizzazione dei ruoli per Duet Enterprise per Microsoft SharePoint e SAP. L'articolo presuppone quanto segue:

  • Un amministratore di SAP ha creato il mapping utente SAP a ruolo SAP nel sistema SAP.

  • Un amministratore di SharePoint ha avviato il servizio di sincronizzazione dei profili utente e ha creato una connessione di sincronizzazione di profili al servizio Servizi di dominio Active Directory che contiene gli account utente utilizzati dalla farm di SharePoint Server. Per informazioni su come completare queste procedure, vedere Configurare la sincronizzazione dei profili (SharePoint Server 2010) (http://go.microsoft.com/fwlink/?linkid=202966&clcid=0x410).

  • L'amministratore di SharePoint ha sincronizzato il servizio Servizi di dominio Active Directory con l'archivio profili utente di SharePoint. Attenersi alle istruzioni riportate in Perform nonrecurring profile synchronization (SharePoint Server 2010) (http://go.microsoft.com/fwlink/?linkid=201163&clcid=0x410) (le informazioni potrebbero essere in lingua inglese) per sincronizzare le informazioni dei profili utente tra Servizi di dominio Active Directory e SharePoint Server 2010.

Contenuto dell'articolo:

NotaNote
Per completare questa procedura è necessario essere membro del gruppo di amministratori della farm.
Per abilitare la caratteristica Provider di attestazioni di Duet Enterprise
  1. Nel sito Web Amministrazione centrale fare clic su Amministrazione centrale sulla barra di avvio veloce.

  2. Nella sezione Impostazioni di sistema fare clic su Gestisci caratteristiche farm.

  3. Nella riga Provider di attestazioni di ruoli SAP di Duet Enterprise fare clic su Attiva.

    La colonna di stato cambierà in Attivo. Quando sono attivi, i ruoli SAP sono disponibili Selezione utenti dopo che l'archivio profili utente di SharePoint Server 2010 è stato sincronizzato con l'archivio profili SAP.

NotaNote
Per completare questa procedura è necessario essere membro del gruppo di amministratori della farm.
Per concedere autorizzazioni all'archivio dei metadati
  1. Sulla barra di avvio veloce di Amministrazione centrale fare clic su Gestione applicazioni.

  2. Nella sezione Applicazioni di servizio fare clic su Gestisci applicazioni di servizio.

  3. Nella colonna Nome fare clic sul collegamento per l'Applicazione del servizio di integrazione applicativa dei dati.

  4. Nel gruppo Autorizzazioni della barra multifunzione fare clic su Imposta autorizzazioni archivio metadati.

  5. Nella casella superiore della finestra di dialogo Imposta autorizzazioni archivio metadati immettere l'account utente dell'amministratore che distribuisce Duet Enterprise.

     

    BatonHandoffIcon

    Se si utilizza il foglio di lavoro di distribuzione (http://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), questo nome è elencato nella riga “Setup user account” della tabella 3 del foglio di lavoro.

  6. Fare clic su Aggiungi.

  7. Nella sezione Autorizzazioni per Tutti gli utenti autenticati (sezione inferiore) assicurarsi che la casella di controllo Esecuzione sia selezionata.

  8. Fare clic su OK.

    NotaNote
    Se non è ancora stata concessa l'autorizzazione Imposta autorizzazioni ad almeno un utente, può venire visualizzato il messaggio di errore seguente “Almeno un utente o gruppo nell'elenco di controllo di accesso deve disporre del diritto Imposta autorizzazioni per evitare la creazione di un oggetto non gestibile”. Per risolvere questo problema, concedere ad almeno un utente l'autorizzazione Imposta autorizzazioni sull'archivio dei metadati.

Eseguire questa procedura per verificare che i membri del gruppo Amministratori farm dispongano di autorizzazioni di controllo completo per il servizio profili utente predefinito e per l'applicazione servizio di integrazione applicativa dei dati nella farm di SharePoint. L'amministratore della farm responsabile di configurare la sincronizzazione dei profili, più avanti in questo articolo, deve disporre di tale autorizzazione.

SuggerimentoTip
SharePoint Server 2010 supporta diverse applicazioni servizio profili utente. Tuttavia la sincronizzazione dei ruoli di Duet Enterprise funziona solo con l'applicazione servizio profili utente predefinita.
NotaNote
Per completare questa procedura è necessario essere membro del gruppo Amministratori farm o amministratore dell'applicazione Servizio profili utente.
Per assicurare che l'amministratore della farm disponga di autorizzazioni di controllo completo
  1. Nella barra di avvio veloce in Amministrazione centrale fare clic su Amministrazione centrale.

  2. Nella sezione Gestione applicazioni fare clic su Gestisci applicazioni di servizio.

  3. Nella colonna Tipo fare clic sulla riga che contiene l'Applicazione servizio profili utente predefinita per selezionarla.

  4. Il nome dell'applicazione servizio profili utente è elencato nella colonna Nome. Annotare il nome di questa applicazione di servizio poiché sarà necessario per una procedura successiva.

     

    BatonHandoffIcon

    Se si utilizza il foglio di lavoro di distribuzione (http://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), digitare questo nome nella riga “User Profile Service Application name” della tabella 1 del foglio di lavoro.

  5. Nel gruppo Condivisione della barra multifunzione fare clic su Autorizzazioni.

  6. Nella finestra di dialogo relativa alle autorizzazioni di connessione assicurarsi che l'amministratore della farm disponga di autorizzazioni di controllo completo.

  7. Fare clic su OK.

  8. Nella colonna Tipo fare clic su Applicazione del servizio di integrazione applicativa dei dati per il servizio che si sta utilizzando per la sincronizzazione dei ruoli.

  9. Nel gruppo Condivisione della barra multifunzione fare clic su Autorizzazioni.

  10. Nella finestra di dialogo relativa alle autorizzazioni di connessione assicurarsi che l'amministratore della farm disponga di autorizzazioni di controllo completo.

È necessario rendere disponibile all'amministratore di SAP l'account utente assegnato al servizio SharePoint 2010 Timer, anche denominato servizio SPTimerV4. L'amministratore di SAP deve assicurarsi che questo account sia mappato a un utente SAP a cui sono concesse autorizzazioni sufficienti sul sistema SAP per effettuare una query sulle assegnazioni UserRoles.

NotaNote
Per completare questa procedura è necessario essere membro del gruppo Administrators di Windows.
Per ottenere l'account utente per il servizio SharePoint 2010 Timer
  1. Accedere a un server Web front-end nella farm di SharePoint Server 2010 come membro del gruppo Administrators.

  2. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione e quindi Servizi.

  3. Nella colonna Nome fare clic con il pulsante destro del mouse su SharePoint 2010 Timer e quindi scegliere Proprietà.

  4. nella finestra di dialogo Proprietà di SharePoint 2010 Timer, nella scheda Accedi, annotare il nome dell'account elencato nella casella di testo Account.

  5. Rendere disponibile il nome account all'amministratore SAP.

     

    BatonHandoffIcon

    Se si utilizza il foglio di lavoro di distribuzione (http://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), digitare questo nome di account, nel formato dominio\account nella riga “SharePoint 2010 Timer service account” della tabella 1 del foglio di lavoro.

  6. Fare clic su Annulla per chiudere la finestra di dialogo Proprietà di SharePoint 2010 Timer.

Eseguire la procedura seguente per configurare le impostazioni nel nodo ProfileSynchronization del file DuetConfig.exe.config.xml utilizzato dalla sincronizzazione dei ruoli. Queste impostazioni sono utilizzate dal processo timer di SharePoint utilizzato per sincronizzare l'archivio profili utente di SharePoint con l'archivio profili di SAP.

NotaNote
Per completare questa procedura è necessario essere membro del gruppo Administrators di Windows.
Per configurare il file DuetConfig.exe.config
  1. Aprire una finestra del prompt dei comandi e andare alla cartella <unità>:\Programmi\Duet Enterprise\1.0.

    Dove:

    <unità> è l'unità in cui sono archiviati i file di Duet Enterprise.

  2. Al prompt dei comandi, digitare notepad DuetConfig.exe.config e premere Invio.

  3. Nel file DuetConfig.exe.config aggiungere valori alle chiavi seguenti nel nodo ProfileSychronizations: UserProfileServiceApplicationName, LOBSystemInstanceName, EntityName, EntityNamespace, MethodInstanceName, Batchsize e MembershipProvider.

    Nelle sezioni seguenti vengono fornite istruzioni dettagliate sui valori da inserire per queste chiavi.

Il valore di UserProfileServiceApplicationName deve essere impostato sul nome dell'applicazione servizio profili utente che si desidera utilizzare per la sincronizzazione dei profili con l'ambiente SAP. Notare che il nome predefinito di questa applicazione di servizio è Applicazione servizio profili utente. Un amministratore può modificare questo nome oppure possono essere presenti più applicazioni servizio profili utente.

 

BatonHandoffIcon

Se si utilizza il foglio di lavoro di distribuzione (http://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), questo nome è elencato nella riga “User Profile Service Application name” della tabella 1 del foglio di lavoro.

Per specificare il valore della chiave UserProfileServiceApplicationName
  • Se il nome dell'applicazione servizio profili utente che si desidera utilizzare per Duet Enterprise è diverso da quello predefinito indicato nel file DuetConfig.exe.config (Applicazione servizio profili utente) modificare il valore della chiave "UserProfileServiceApplicationName" impostando il nome dell'applicazione servizio profili utente.

Nella maggior parte dei casi, i valori predefiniti delle chiavi LOBSystemInstanceName, EntityName, EntityNamespace e MethodInstanceName nel file DuetConfig.exe.config sono appropriati poiché corrispondono ai valori presenti nei modelli BDC di UserRoles.xml disponibili con Duet Enterprise. Se l'amministratore di SAP modifica i valori di queste chiavi nel file UserRoles.xml, è necessario configurare i valori nel file DuetConfig.exe.config affinché siano identici.

Per visualizzare il file UserRoles.xml
  1. Aprire una finestra del prompt dei comandi come amministratore e andare alla cartella che contiene i file di modello non compressi.

     

    BatonHandoffIcon

    Se si utilizza il foglio di lavoro di distribuzione (http://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), il percorso dei file di modello non compressi è elencato nella riga “Unzipped model file location” della tabella 1 del foglio di lavoro.

  2. Nella finestra del prompt dei comandi digitare notepad UserRoles.xml e premere Invio.

Verificare e aggiornare i valori delle chiavi
  1. Nel file UserRoles.xml cercare la chiave LOBSystemInstance.

  2. Se il valore della proprietà Name è “SAPUsersService”, andare al passaggio 4. In caso contrario, andare al passaggio 3.

  3. Modificare il valore della chiave LOBSystemInstanceName nel file DuetConfig.exe.config in modo che corrisponda alla proprietà Name della chiave LOBSystemInstance nel file UserRoles.xml.

  4. Nel file UserRoles.xml cercare la chiave >Enti. Se il valore della proprietà Name è SAPUsers, andare al passaggio 6. In caso contrario, andare al passaggio 5.

  5. Modificare il valore della chiave EntityName nel file DuetConfig.exe.config in modo che corrisponda alla proprietà Name del nodo Entity in UserRoles.xml.

  6. Nel file UserRoles.xml, per la chiave Entity, se il valore della proprietà Namespace della chiave Entity è “SAP.Office.DuetEnterprise.Roles”, andare al passaggio 8. In caso contrario, andare al passaggio 7.

  7. Modificare il valore della chiave EntityName in DuetConfig.exe.config in modo corrispondente.

  8. Nel file UserRoles.xml file cercare MethodInstanceName. Se il valore di MethodInstanceName è “employeeGetAll”, andare al passaggio 9. In caso contrario, modificare il valore della chiave MethodInstanceName nel file DuetConfig.exe.config in modo corrispondente al valore della proprietà MethodInstanceName in UserRoles.xml.

  9. Chiudere il file UserRoles.xml.

È possibile utilizzare il parametro Batchsize per specificare il numero massimo di account utente che è possibile sincronizzare in un'unica chiamata di rete. Il valore predefinito è 100. Modificando questo valore e impostando un numero maggiore è possibile migliorare le prestazioni di sincronizzazione dei ruoli. Tuttavia, è opportuno effettuare prove per determinare il valore ottimale per la propria distribuzione.

Questa chiave non è utilizzata. È presente per supporto futuro. È consigliabile accettare il valore predefinito di questa chiave, ossia “membership”.

Questa procedura consente di creare la connessione Servizi di integrazione applicativa tra i sistemi SharePoint e SAP e di aggiornare le impostazioni per la definizione del processo di sincronizzazione profili che si utilizzerà in un procedura successiva per sincronizzare gli archivi di profili SharePoint e SAP.

NotaNote
Per completare questa procedura è necessario essere membri del gruppo Amministratori farm di SharePoint.
Per configurare la sincronizzazione dei profili
  1. Aprire una finestra del prompt dei comandi e andare alla cartella <unità>:\Programmi\Duet Enterprise\1.0.

    Dove <unità> è l'unità in cui sono archiviati i file di Duet Enterprise.

  2. Al prompt dei comandi digitare DuetConfig.exe /configureprofileSync e quindi premere Invio.

    Dopo che è stata configurata la sincronizzazione dei profili, viene visualizzato il messaggio che indica che le impostazioni per il processo di sincronizzazione specificato sono state aggiornate correttamente.

NotaNote
Per completare questa procedura è necessario essere membro del gruppo di amministratori della farm.

Prima di iniziare questa procedura, eseguire le operazioni seguenti:

  • Verificare che l'amministratore di SAP abbia configurato SAML per la creazione di un endpoint.

     

    BatonHandoffIcon

    Se si utilizza il foglio di lavoro di distribuzione (http://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), il valore della riga “SAML is configured (Yes/No)” della Tabella 2 del foglio di lavoro sarà Yes se questa caratteristica è configurata.

  • Verificare che l'esecuzione del processo di sincronizzazione dei ruoli con i consumer nel sistema SAP sia terminata.

    L'amministratore SAP deve eseguire il processo di sincronizzazione dei ruoli con i consumer periodicamente per sincronizzare i ruoli utente nel sistema SAP con l'archivio profili nel server che esegue SAP NetWeaver. È consigliabile evitare di sincronizzare l'archivio profili utente di SAP con l'archivio profili utente di SharePoint finché l'amministratore SAP non ha completato il processo di sincronizzazione. In caso contrario, il processo di sincronizzazione tra l'archivio profili di SAP e l'archivio profili utente di SharePoint potrebbe richiedere molto più tempo. Si noti che il processo di sincronizzazione dei ruoli con i consumer impiega circa 80 minuti per sincronizzare 100.000 utenti, mentre la sincronizzazione dell'archivio profili di SAP NetWeaver con l'archivio profili utente di SharePoint impiega circa 100 minuti per sincronizzare 100.000 utenti. Se si desidera pianificare tali processi di sincronizzazione, è consigliabile eseguirli prima manualmente per determinare il tempo medio richiesto da ognuno di essi nei sistemi in uso.

Per sincronizzare i profili
  1. Nella barra di avvio veloce in Amministrazione centrale fare clic su Monitoraggio.

  2. Nella sezione Processi timer della pagina Monitoraggio fare clic su Rivedi definizioni processi.

  3. Nella colonna Titolo della pagina Definizioni processi fare clic sul collegamento Sincronizzazione profili di Duet Enterprise per <Nome applicazione servizio profili utente>.

    Dove <Nome applicazione servizio profili utente> è il nome dell'applicazione servizio profili utente che si sta utilizzando per la sincronizzazione dei ruoli.

    SuggerimentoTip
    Per impostazione predefinita, il nome di questo collegamento è Sincronizzazione profili di Duet Enterprise per Profile Synchronization for Applicazione servizio profili utente.

     

    BatonHandoffIcon

    Se si utilizza il foglio di lavoro di distribuzione (http://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), questo nome è elencato nella riga “BDC service name” della tabella 1.

  4. Nella pagina Modifica processo timer fare clic su Esegui.

    NotaNote
    Questo processo timer è pianificato per essere eseguito una volta al giorno, ma è possibile configurare un'esecuzione meno frequente se il processo provoca problemi di prestazioni.

    Per ulteriori informazioni sui processi timer di SharePoint, vedere Visualizzare lo stato dei processi timer (SharePoint Server 2010) (http://go.microsoft.com/fwlink/?linkid=204641&clcid=0x410).

Dopo la sincronizzazione di un archivio profili utente SAP con l'archivio profili utente SharePoint, è possibile eseguire questa procedura per concedere le autorizzazioni utente a un sito in base ai relativi ruoli SAP. Notare che sono supportati solo i siti presenti in un'applicazione Web che utilizza l'autenticazione basata su attestazioni.

SuggerimentoTip
Questa procedura richiede che i ruoli SAP siano già stati sincronizzati con l'archivio profili utente SharePoint.
NotaNote
Per eseguire questa procedura, è necessario essere proprietario del sito.
Per concedere autorizzazioni di un ruolo SAP a un sito
  1. Da un browser accedere al sito per cui si desidera abilitare i ruoli SAP.

  2. Scegliere Autorizzazioni sito dal menu Azioni sito.

  3. Nel gruppo Concedi sulla barra multifunzione fare clic su Concedi autorizzazioni.

  4. Nella sezione Selezione utenti della finestra di dialogo Concedi autorizzazioni fare clic su Sfoglia.

    SuggerimentoTip
    Il comando Sfoglia è rappresentato da un'icona a forma di libro.
  5. Nella casella Trova digitare parte del nome del ruolo SAP da cercare e quindi fare clic su Cerca.

  6. Selezionare il nome del ruolo SAP, fare clic su Aggiungi e quindi scegliere OK.

  7. Nella sezione Concedi autorizzazioni della finestra di dialogo Concedi autorizzazioni selezionare il gruppo a cui si desidera aggiungere l'utente e quindi scegliere OK.

Mostra: