プロファイルとロールを同期する (Duet Enterprise)

適用先: Duet Enterprise for Microsoft SharePoint and SAP

トピックの最終更新日: 2015-03-09

ここでは、Duet Enterprise for Microsoft SharePoint and SAP のロール同期を有効にする方法について説明します。

• SAP 管理者は、SAP ユーザーと SAP ロールのマッピングを SAP システムで作成します。

• SharePoint 管理者は、User Profile Synchronization Service を開始し、SharePoint Server ファームによって使用されるユーザー アカウントを含む Active Directory ドメイン サービス (AD DS) のサービスに対するプロファイル同期接続を作成します。これらの手順を実行する方法については、「プロファイルの同期を構成する (SharePoint Server 2010)」(https://go.microsoft.com/fwlink/?linkid=202966&clcid=0x411) を参照してください。

• SharePoint 管理者は、AD DS サービスと SharePoint ユーザー プロファイル ストアを同期します。AD DS と SharePoint Server 2010 の間でユーザー プロファイル情報を同期するには、「定期的ではないプロファイルの同期を実行する (SharePoint Server 2010) (SharePoint Server 2010)」(https://go.microsoft.com/fwlink/?linkid=201163&clcid=0x411) の手順に従います。

この記事の内容

• Duet Enterprise 要求プロバイダー機能をアクティブ化する

• メタデータ ストアに対する権限を付与する

• ファーム管理者にフル コントロール権限があることを確認する

• SharePoint 2010 Timer Service アカウントを提供する

• DuetConfig.exe.config ファイルを構成する

• プロファイルの同期を構成する

• SAP プロファイルと SharePoint ユーザー プロファイルを同期する

• SAP ロールの権限をサイトに付与する

Duet Enterprise 要求プロバイダー機能をアクティブ化する

Duet Enterprise 要求プロバイダー機能をアクティブ化するには

1. サーバーの全体管理 Web サイトで、サイド リンク バーの [サーバーの全体管理] をクリックします。

2. [システム設定] セクションで、[ファーム機能の管理理] をクリックします。

3. [Duet Enterprise SAP ロール要求プロバイダー] 行で、[アクティブ化] をクリックします。

   状態列が [アクティブ] に変わります。要求プロバイダーがアクティブになると、SharePoint Server 2010 ユーザー プロファイル ストアと SAP プロファイル ストアを同期した後で、SAP ロールがユーザー選択ウィンドウで使用できるようになります。

メタデータ ストアに対する権限を付与する

メタデータ ストアに対する権限を付与するには

1. サーバーの全体管理のサイド リンク バーで、[アプリケーション構成の管理] をクリックします。

2. [サービス アプリケーション] セクションで、[サービス アプリケーションの管理] をクリックします。

3. [名前] 列で、[Business Data Connectivity Service アプリケーション] のリンクをクリックします。

4. リボンの [権限] グループで、[Metadata Store の権限の設定] をクリックします。

5. [Metadata Store の権限の設定] ダイアログ ボックスの先頭のボックスに、Duet Enterprise を展開している管理者のユーザー アカウントを入力します。

   展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合、この名前はワークシートの表 3 の「セットアップ ユーザー アカウント」行に記録されています。

6. [追加] をクリックします。

7. [すべての認証ユーザーの権限] セクション (最下部のセクション) で、[実行] チェック ボックスがオンになっていることを確認します。

8. [OK] をクリックします。

   注意

   メタデータ ストアに対する "権限の設定" 権限を付与されているユーザーがまだ 1 人もいない場合、"管理不可能なオブジェクトの作成を避けるため、アクセス コントロール リストの 1 人以上のユーザーまたは 1 つ以上のグループに SetPermissions 権限が必要です" というエラー メッセージを受け取る場合があります。この問題を解決するには、少なくとも 1 人のユーザーに、メタデータ ストアに対する "権限の設定" 権限を付与します。

ファームの管理者がフル コントロール権限を持っていること、および User Profile Service アプリケーションの名前を確認する

以下の手順を使用して、Farm Administrators グループのメンバーが既定の User Profile Service および SharePoint ファームの Business Data Connectivity Service アプリケーションに対するフル コントロール権限を持っていることを確認します。プロファイルの同期を構成するファーム管理者に、この記事の後の方で、この権限を付与する必要があります。

ファーム管理者にフル コントロール権限があることを確認するには

1. サーバーの全体管理で、サイド リンク バーの [サーバーの全体管理] をクリックします。

2. [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。

3. [種類] 列で、既定の User Profile Service アプリケーション を含む行をクリックして選択します。

4. User Profile Service アプリケーションの名前が、[名前] 列に表示されます。後の手順で必要になるので、このサービス アプリケーションの名前を記録しておきます。

   展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合、ワークシートの表 1 の「User Profile Service アプリケーション名」行にこの名前を入力します。

5. リボンの [共有] グループで、[権限] をクリックします。

6. [接続権限] ダイアログ ボックスで、ファームの管理者にフル コントロール権限が付与されていることを確認します。

7. [OK] をクリックします。

8. [種類] 列で、ロールの同期に使用しているサービスの [Business Data Connectivity Service アプリケーション] をクリックします。

9. リボンの [共有] グループで、[権限] をクリックします。

10. [接続権限] ダイアログ ボックスで、ファームの管理者にフル コントロール権限が付与されていることを確認します。

SharePoint 2010 Timer Service アカウントを提供する

SAP 管理者に、SharePoint 2010 Timer Service (別名 SPTimerV4 サービス) に割り当てられたユーザー アカウントを提供する必要があります。SAP 管理者は、このアカウントを、UserRoles 割り当てクエリの実行に十分な SAP システムに対する権限を付与された SAP ユーザーに、確実にマップする必要があります。

SharePoint 2010 Timer Service のユーザー アカウントを取得するには

1. SharePoint Server 2010 ファームのフロントエンド Web サーバーに、Administrators グループのメンバーとしてログオンします。

2. [スタート] ボタンをクリックして [管理ツール] をポイントし、[サービス] をクリックします。

3. [名前] 列で、[SharePoint 2010 Timer] を右クリックし、[プロパティ] をクリックします。

4. [SharePoint 2010 Timer のプロパティ] ダイアログ ボックスの [ログオン] タブで、[次のアカウント] テキスト ボックスに表示されているアカウント名を記録します。

5. このアカウント名を SAP 管理者に伝えます。

   展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合は、ワークシートの表 1 の「SharePoint 2010 Timer Service アカウント」行に、このアカウント名を "ドメイン\アカウント" の形式で入力します。

6. [キャンセル] をクリックして、[SharePoint 2010 Timer のプロパティ] ダイアログ ボックスを閉じます。

DuetConfig.exe.config ファイルを構成する

以下の手順を実行して、ロールの同期によって使用される、DuetConfig.exe.config.xml ファイルの ProfileSynchronization ノードの設定を構成します。これらの設定は、SharePoint ユーザー プロファイル ストアと SAP プロファイル ストアの同期に使用される SharePoint タイマー ジョブによって使用されます。

DuetConfig.exe.config ファイルを構成するには

1. コマンド プロンプト ウィンドウを開き、<ドライブ>:\Program Files\Duet Enterprise\1.0 フォルダーに移動します。

   ここで、

   <ドライブ> は、Duet Enterprise のファイルが格納されているドライブです。

2. プロンプトで、「notepad DuetConfig.exe.config」と入力して、Enter キーを押します。

3. DuetConfig.exe.config ファイルで、ProfileSychronizations ノードの次のキーに値を追加します。UserProfileServiceApplicationName、LOBSystemInstanceName、EntityName、EntityNamespace、MethodInstanceName、Batchsize、MembershipProvider。

   以下ではこれらのキーで指定する値の詳細について説明します。

UserProfileServiceApplicationName キー

UserProfileServiceApplicationName の値には、SAP 環境とのプロファイル同期に使用する User Profile Service アプリケーションの名前を設定する必要があります。このサービス アプリケーションの既定の名前は、User Profile Service Application です。管理者は、この名前を変更でき、複数の User Profile Service アプリケーションを指定することもできます。

展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合、この名前はワークシートの表 1 の「User Profile Service アプリケーション名」行で示されています。

UserProfileServiceApplicationName キーの値を指定するには

• Duet Enterprise に対して使用する User Profile Service アプリケーションの名前が、DuetConfig.exe.config ファイルで示されている既定の値 (User Profile Service Application) ではない場合、"UserProfileServiceApplicationName" キーの値を実際の User Profile Service アプリケーションの名前に変更します。

LOBSystemInstanceName、EntityName、EntityNamespace、MethodInstanceName キー

DuetConfig.exe.config ファイルの LOBSystemInstanceName、EntityName、EntityNamespace、MethodInstanceName の各キーの既定値は、Duet Enterprise で提供される UserRoles.xml BDC モデルでの値と一致しているので、ほとんどの場合は既定値で問題ありません。SAP 管理者が UserRoles.xml ファイルでこれらのキーの値を変更している場合は、DuetConfig.exe.config ファイルの値をそれと一致するように構成する必要があります。

UserRoles.xml ファイルを表示するには

1. 管理者としてコマンド プロンプト ウィンドウを開き、解凍したモデル ファイルが存在するフォルダーに移動します。

   展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合、解凍したモデル ファイルの場所は、ワークシートの表 1 の「解凍後のモデル ファイルの場所」に示されています。

2. コマンド プロンプト ウィンドウで、「notepad UserRoles.xml」と入力して Enter キーを押します。

キーの値の確認と更新

1. UserRoles.xml ファイルで、LOBSystemInstance キーを探します。

2. Name プロパティの値が "SAPUsersService" の場合は、手順 4. に進みます。それ以外の場合は手順 3. に進みます。

3. DuetConfig.exe.config ファイルの LOBSystemInstanceName キーの値を、UserRoles.xml ファイルの LOBSystemInstance キーの Name プロパティの値と一致するように変更します。

4. UserRoles.xml ファイルで、Entity キーを検索します。Name プロパティの値が SAPUsers である場合は、手順 6. に進みます。それ以外の場合は手順 5. に進みます。

5. DuetConfig.exe.config ファイルの EntityName キーの値を、UserRoles.xml の Entity ノードの Name プロパティの値と一致するように変更します。

6. UserRoles.xml ファイルで、Entity キーの Namespace プロパティの値が "SAP.Office.DuetEnterprise.Roles" である場合は、手順 8. に進みます。それ以外の場合は手順 7. に進みます。

7. DuetConfig.exe.config の EntityName キーの値を、一致するように変更します。

8. UserRoles.xml ファイルで、MethodInstanceName を検索します。MethodInstanceName の値が "employeeGetAll" である場合は、手順 9. に進みます。それ以外の場合は、DuetConfig.exe.config ファイルの MethodInstanceName キーの値を、UserRoles.xml の MethodInstanceName プロパティの値と一致するように変更します。

9. UserRoles.xml ファイルを閉じます。

Batchsize キー

Batchsize パラメーターを使用すると、1 回のネットワーク呼び出しで同期できるユーザー アカウントの最大数を指定できます。既定値は 100 です。この値を大きくすると、ロール同期のパフォーマンスが向上する可能性があります。ただし、調査を行って、実際の展開に最適な値を決定する必要があります。

MembershipProvider キー

このキーは使用されていません。将来のサポートのために提供されています。このキーは既定値 ("membership") のままにすることを押お勧めします。

プロファイルの同期を構成する

この手順では、SharePoint システムと SAP システムの間に Business Connectivity Services 接続を作成し、後の手順で SharePoint と SAP のプロファイル ストアを同期するために使用するプロファイル同期ジョブ定義の設定を更新します。

プロファイルの同期を構成するには

1. コマンド プロンプト ウィンドウを開き、<ドライブ>:\Program Files\Duet Enterprise\1.0” フォルダーに移動します。

   <ドライブ> は、Duet Enterprise のファイルが格納されているドライブです。

2. プロンプトで、「DuetConfig.exe /configureprofileSync」と入力して Enter キーを押します。

   プロファイルの同期が完了すると、"指定されたプロファイル同期ジョブの設定は正常に更新されました" というメッセージが表示されます。

SAP プロファイルと SharePoint ユーザー プロファイルを同期する

この手順を実行する前に、次の操作を行います。

• SAP 管理者がエンドポイントを作成するように SAML を構成してあることを確認します。

  展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合、この構成が行われていると、ワークシートの表 2 の「SAML の構成の有無 (はい/いいえ)」行の値が Yes になっています。

• SAP システムで "ロールをコンシューマーに同期する" ジョブの実行が完了していることを確認します。

  SAP 管理者は "ロールをコンシューマーに同期する" ジョブを定期的に実行して、SAP システム上のユーザー ロールを、SAP NetWeaver を実行しているサーバー上のプロファイル ストアに同期する必要があります。SAP 管理者がこの同期ジョブを完了するまでは、SAP ユーザー プロファイル ストアを SharePoint ユーザー プロファイル ストアと同期させないことをお勧めします。そうしないと、SAP プロファイル ストアと SharePoint ユーザー プロファイル ストアとの同期ジョブの完了に要する時間がかなり長くなる可能性があります。"ロールをコンシューマーに同期する" ジョブにかかる時間は 100,000 ユーザーの同期で約 80 分なのに対し、SAP NetWeaver 内のプロファイル ストアを SharePoint ユーザー プロファイル ストアに同期する場合は 100,000 ユーザーの同期に約 100 分かかります。これらの同期ジョブをスケジュールする場合は、最初にそれらを手動で実行して、システムでの実行にかかる概算の時間をそれぞれについて求めることをお勧めします。

プロファイルを同期するには

1. サーバーの全体管理で、サイド リンク バーの [監視] をクリックします。

2. [監視] ページの [タイマー ジョブ] セクションで、[ジョブ定義の確認] をクリックします。

3. [ジョブの定義] ページの [タイトル] 列で、[<User Profile Service アプリケーション名> での Duet Enterprise プロファイルの同期] リンクをクリックします。

   <User Profile Service アプリケーション名> は、ロールの同期に使用する User Profile Service アプリケーションの名前です。

   ヒント

   既定では、このリンクの名前は [User Profile Service Application での Duet Enterprise プロファイルの同期] になります。

   展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合、この名前は表 1 の「BDC Service の名前」行に記録されています。

4. [タイマー ジョブの編集] ページで、[今すぐ実行] をクリックします。

   注意

   このタイマー ジョブは、1 日に 1 回実行するようにスケジュールされますが、パフォーマンスの問題が発生する場合は、さらに回数を減らしてもかまいません。

   SharePoint タイマー ジョブの詳細については、「タイマー ジョブの状態を表示する (SharePoint Server 2010)」(https://go.microsoft.com/fwlink/?linkid=204641&clcid=0x411) を参照してください。

SAP ロールの権限をサイトに付与する

SAP ユーザー プロファイル ストアが SharePoint ユーザー プロファイル ストアと同期した後、この手順を実行して、SAP のロールに基づいてサイトに対するユーザー権限を付与できます。クレーム ベースの認証を使用する Web アプリケーション内のサイトだけがサポートされることに注意してください。

SAP ロールの権限をサイトに付与するには

1. ブラウザーで、SAP ロールを有効にするサイトに移動します。

2. [サイトの操作] メニューの [サイトの権限] をクリックします。

3. リボンの [許可] グループで、[アクセス許可の付与] をクリックします。

4. [アクセス許可の付与] ダイアログ ボックスの [ユーザーの選択] セクションで、[参照] をクリックします。

   ヒント

   [参照] は本に似たアイコンで表されています。

5. [検索] ボックスに検索する SAP ロール名の一部を入力し、[検索] をクリックします。

6. SAP ロール名を選択し、[追加] をクリックして、[OK] をクリックします。

7. [アクセス許可の付与] ダイアログ ボックスの [アクセス許可の付与] セクションで、ユーザーを追加するグループを選択して、[OK] をクリックします。