部署所需的管理和服务帐户及证书 (Duet Enterprise)

项目
02/03/2017

适用于： Duet Enterprise for Microsoft SharePoint and SAP Server 2.0

上一次修改主题： 2015-03-09

建议您在开始安装 Duet Enterprise 之前创建所需的服务和用户帐户。例如，您将需要一个 Web 应用程序的服务帐户（用于 Duet Enterprise 网站），以及一个或多个服务帐户（用于 SharePoint 场和 SAP 系统之间的通信）。您还需要一个 SSL 证书来配置 Duet Enterprise 网站的 Web 应用程序和 SAP 系统之间的安全通信。SAP 管理员也会提供 SSL 证书，您必须为该证书创建 SharePoint 环境中的信任关系。

本文内容：

部署 Duet Enterprise 所需的帐户
保护 Duet Enterprise 安全所需的证书
创建托管帐户

部署 Duet Enterprise 所需的帐户

以下各节介绍用于部署 Duet Enterprise 的帐户。表介绍完成部署过程后必须提供的帐户。

备注

如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，可在该工作表中记录这些帐户。

安装 Duet Enterprise

下表介绍用于安装 Duet Enterprise 的帐户的要求。

帐户	用途	要求
“安装”用户帐户	用于执行以下内容的用户帐户：运行 setup.exe 运行 DuetConfig.exe 该帐户将授予对 Business Data Connectivity Service 元数据存储的执行权限。工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将该帐户记录在表 3 的“‘安装’用户帐户”行中。	运行 SharePoint Server 2010 的计算机上 Windows Administrators 组的成员。安装 Duet Enterprise 所在的 SharePoint Server 场中 Farm Administrators 组的成员。使用 DuetConfig.exe /configureprofilesynccommand 配置配置文件同步时，需要对 User Profile Service 应用程序的完全控制权限。请注意，系统会自动将该权限授予用于安装 Microsoft SharePoint Server 2010 的帐户，但不会自动授予给所有的场管理员。

“安装”用户帐户

用于执行以下内容的用户帐户：

运行 setup.exe
运行 DuetConfig.exe

该帐户将授予对 Business Data Connectivity Service 元数据存储的执行权限。

工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将该帐户记录在表 3 的“‘安装’用户帐户”行中。

运行 SharePoint Server 2010 的计算机上 Windows Administrators 组的成员。
安装 Duet Enterprise 所在的 SharePoint Server 场中 Farm Administrators 组的成员。
使用 DuetConfig.exe /configureprofilesynccommand 配置配置文件同步时，需要对 User Profile Service 应用程序的完全控制权限。请注意，系统会自动将该权限授予用于安装 Microsoft SharePoint Server 2010 的帐户，但不会自动授予给所有的场管理员。

配置 SharePoint 场和 SAP 系统之间的安全通信

在创建 Duet Enterprise 网站的 Web 应用程序时需要下表中的帐户。

帐户	用途	要求
服务帐户	用于 Duet Enterprise 网站 Web 应用程序。工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将该帐户记录在表 3 的“Duet Enterprise 网站 Web 应用程序的服务帐户”行中。	该帐户必须配置为 SharePoint Server 中的托管帐户。重要不要将某个用户帐户用于此目的。这样做可能会造成 SAP 工作流任务状态不一致。相反，建议您使用唯一的 Windows 域帐户，一个不会用于其他任何目的的帐户。

服务帐户

用于 Duet Enterprise 网站 Web 应用程序。

工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将该帐户记录在表 3 的“Duet Enterprise 网站 Web 应用程序的服务帐户”行中。

该帐户必须配置为 SharePoint Server 中的托管帐户。

重要

不要将某个用户帐户用于此目的。这样做可能会造成 SAP 工作流任务状态不一致。相反，建议您使用唯一的 Windows 域帐户，一个不会用于其他任何目的的帐户。

导入 BDC 模型

在导入 BDC 模型时需要下表中的帐户。Duet Enterprise 随附的 BDC 模型由 SAP 管理员更新以匹配 SAP 系统中的设置，然后提供给 SharePoint 管理员，其必须将这些模型导入 SharePoint Server。

帐户	用途	要求
可以访问 SAP 内容的最终用户	用于指定要授予 BDC 模型执行权限的用户或 Active Directory 域服务 (AD DS) 组帐户。备注建议您在部署期间指定 nt authority\authenticated users Windows 组。这样可以使所有验证的用户都可以访问 SAP 内容。部署之后，如果需要增强安全性，可以将该 Windows 组替换为单个用户帐户或其他 Windows 组。工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将要使用的用户帐户或组记录在工作表的表 3 的“可以访问 SAP 内容的用户”行中。	Windows 用户或组。备注其必须是有效的域帐户或组。不支持 SharePoint 组。
WSDL 访问帐户	用于访问和下载 SAP WSDL。该帐户将被授予对所有 BDC 模型的完全权限。工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，SAP 管理员将在工作表的表 2 的“WSDL 访问的用户名”和“WSDL 访问的密码”行中提供此帐户。	Windows 用户或组。WSDL 访问帐户由 SAP 管理员创建。您必须提供用户或组名称以及关联的密码。

可以访问 SAP 内容的最终用户

用于指定要授予 BDC 模型执行权限的用户或 Active Directory 域服务 (AD DS) 组帐户。

备注

建议您在部署期间指定 nt authority\authenticated users Windows 组。这样可以使所有验证的用户都可以访问 SAP 内容。部署之后，如果需要增强安全性，可以将该 Windows 组替换为单个用户帐户或其他 Windows 组。

工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将要使用的用户帐户或组记录在工作表的表 3 的“可以访问 SAP 内容的用户”行中。

Windows 用户或组。

备注

其必须是有效的域帐户或组。不支持 SharePoint 组。

WSDL 访问帐户

用于访问和下载 SAP WSDL。该帐户将被授予对所有 BDC 模型的完全权限。

工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，SAP 管理员将在工作表的表 2 的“WSDL 访问的用户名”和“WSDL 访问的密码”行中提供此帐户。

Windows 用户或组。WSDL 访问帐户由 SAP 管理员创建。您必须提供用户或组名称以及关联的密码。

同步配置文件和角色

在计划配置 Duet Enterprise 的角色同步时需要下表中的帐户。

帐户	用途	要求
AD DS 帐户	SharePoint 管理员使用它将 AD DS 中的用户帐户与 SharePoint Server 场中的用户配置文件存储进行同步。SAP 管理员还使用该帐户将 AD DS 中的用户帐户提取到 SAP 配置文件存储中。提示 AD DS 管理员可以提供该帐户名。工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将该帐户名和密码记录在表 1 的“AD DS 帐户和密码”行中。	SharePoint Farm Administrators 组的成员或 User Profile Service 管理员。至少具有对 AD DS 的目录同步权限。

AD DS 帐户

SharePoint 管理员使用它将 AD DS 中的用户帐户与 SharePoint Server 场中的用户配置文件存储进行同步。SAP 管理员还使用该帐户将 AD DS 中的用户帐户提取到 SAP 配置文件存储中。

提示

AD DS 管理员可以提供该帐户名。

工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将该帐户名和密码记录在表 1 的“AD DS 帐户和密码”行中。

SharePoint Farm Administrators 组的成员或 User Profile Service 管理员。
至少具有对 AD DS 的目录同步权限。

配置报告

在计划配置 Duet Enterprise 的报告解决方案时需要下表中的帐户。

帐户	用途	要求
报告发布程序帐户	用于对从 SAP 系统发送至 SharePoint Server 的报告进行授权。该帐户将被授予对报告发布程序 URL 的完全控制权限。工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将该帐户名和密码记录在表 3 的“报告发布程序帐户”行中。	该用户帐户和密码将提供给 SAP 管理员以用作 SAP 系统的报告发布程序帐户。因此，建议您专门针对此目的创建一个帐户，而不是使用某个人员的用户帐户。

报告发布程序帐户

用于对从 SAP 系统发送至 SharePoint Server 的报告进行授权。该帐户将被授予对报告发布程序 URL 的完全控制权限。

工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将该帐户名和密码记录在表 3 的“报告发布程序帐户”行中。

该用户帐户和密码将提供给 SAP 管理员以用作 SAP 系统的报告发布程序帐户。因此，建议您专门针对此目的创建一个帐户，而不是使用某个人员的用户帐户。

配置 SAP 工作流

在计划配置 SharePoint Server 中的 Duet Enterprise 工作流网站时需要下表中的帐户。

帐户	用途	要求
服务帐户	用于 SharePoint Server 和 SAP 环境之间的所有工作流事务。SharePoint Server 仅接受来自工作流服务帐户的请求。这也是唯一一个可将协议发送给 SAP 系统的帐户。工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将该帐户记录在表 3 的“工作流发布者帐户”行中。	所有工作流网站的 SharePoint Owners 组的成员。重要请勿使用与用作任何 Web 应用程序的应用程序池帐户相同的帐户。特别地，该帐户不能与您在部署工作表的表 3 的“Duet Enterprise 网站 Web 应用程序的服务帐户”行中输入的帐户相同。使用相同的帐户可能会造成 SAP 工作流任务状态不一致。因此，建议您使用唯一的 Windows 域帐户，该帐户不会用于其他目的。

服务帐户

用于 SharePoint Server 和 SAP 环境之间的所有工作流事务。SharePoint Server 仅接受来自工作流服务帐户的请求。这也是唯一一个可将协议发送给 SAP 系统的帐户。

工作表步骤：如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将该帐户记录在表 3 的“工作流发布者帐户”行中。

所有工作流网站的 SharePoint Owners 组的成员。

重要

请勿使用与用作任何 Web 应用程序的应用程序池帐户相同的帐户。特别地，该帐户不能与您在部署工作表的表 3 的“Duet Enterprise 网站 Web 应用程序的服务帐户”行中输入的帐户相同。使用相同的帐户可能会造成 SAP 工作流任务状态不一致。因此，建议您使用唯一的 Windows 域帐户，该帐户不会用于其他目的。

保护 Duet Enterprise 安全所需的证书

为 Duet Enterprise 网站配置的 Web 应用程序和 SAP 系统之间的所有网络调用均通过安全套接字层 (HTTPS) 进行。另外，SharePoint 管理员必须导出安全令牌服务 (STS) 证书并将其提供给 SAP 管理员才能配置 SAP 系统中的信任关系。此过程使从 SharePoint Secure Token Service 发送的令牌在到达 SAP 系统之后接受验证。SharePoint 管理员还必须使用 SSL 证书（SAP 管理员已将其用于保护 Duet Enterprise 使用的 Web 服务的安全）配置信任关系。为了支持此过程，需要以下证书。

使用以下证书来保护 Duet Enterprise 的安全：

SharePoint 管理员必须获得或创建为 Duet Enterprise 配置的 Web 应用程序的 SSL 证书。请注意，必须扩展在其上启用了 Duet Enterprise 解决方案的 Web 应用程序，配置的区域才能使用 HTTPS 协议 (SSL) 和基本身份验证。该配置了 SSL 的区域（本文中称为面向 SAP 的区域）用于与 SAP 系统进行的所有通信。运行 SharePoint Server 2010 的服务器的管理员必须将该 SSL 证书绑定到 Web 应用程序的面向 SAP 的区域，并将证书提供给 SAP 系统管理员以使其在运行 SAP NetWeaver 的服务器上获得信任。
SharePoint 管理员必须导出 Security Token Service (STS) 证书并将其提供给 SAP 系统管理员。SAP 系统管理员将使用 STS 证书通过 Security Token Service 建立单向信任关系。
SAP 系统管理员必须将用于保护 Duet Enterprise 使用的 Web 服务的 SSL 证书提供给 SharePoint 管理员，此管理员将为该证书配置信任关系。这会使 Duet Enterprise 网站接受 SAP 环境中的信息。

备注

有关如何获得和使用这些证书的分步说明，请参阅配置 SharePoint 和 SAP 环境之间的安全通信 (https://go.microsoft.com/fwlink/?linkid=205812&clcid=0x804)。

创建托管帐户

如果要用于 Duet Enterprise 网站的 Web 应用程序尚不存在，则将需要一个托管帐户来分配给稍后要创建的 Web 应用程序所使用的应用程序池。

托管帐户是一个 AD DS 用户帐户，其凭据在 SharePoint Server 中进行管理和存储。若要创建托管帐户，请通过 SharePoint Server 注册 AD DS 帐户。

确定 AD DS 用户帐户

在创建托管帐户之前，首先必须确定要使用的 AD DS 用户帐户。建议您请求 AD DS 管理员执行以下操作。
1. 专门针对此目的创建一个帐户，而不是使用某个用户帐户。
2. 将帐户配置为具有永不过期的密码。
如果使用的是部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x804)，将该帐户记录在工作表的表 3 的“Duet Enterprise 网站 Web 应用程序的服务帐户”行中。

注册托管帐户

确认您拥有以下管理凭据：
- 您必须是服务器场管理员才能完成此过程。
在管理中心网站上的“安全性”部分，单击“配置托管帐户”。
在“管理帐户”页上，单击“注册管理帐户”。
在“注册管理帐户”页上的“帐户注册”部分，输入服务帐户凭据。

备注

建议您不要为服务帐户启用自动密码更改功能。
单击“确定”。

通过