規劃 Duet Enterprise for SharePoint and SAP Server 2.0 的安全性

SharePoint 2013
 

適用版本:Duet Enterprise for Microsoft SharePoint and SAP Server 2.0

上次修改主題的時間:2013-12-18

摘要:了解如何規劃 Duet Enterprise 2.0 的安全部署。

本文探討如何規劃 Duet Enterprise for Microsoft SharePoint and SAP Server 2.0 的安全部署與操作。

重要事項重要事項:
本文探討 SharePoint Server 伺服器陣列內容中有關 Duet Enterprise 2.0 的安全性規劃。如需 SAP 環境中 Duet Enterprise 安全性的相關探討,請參閱 SAP 支援市集上的《SAP Duet Enterprise 安全性指南》(在 SAP 支援入口網站的左窗格中,依序展開 [SAP Business Suite Applications]、[Duet Enterprise]、[Duet Enterprise 2.0],然後下載適合的指南)。

SharePoint Server 中的 Duet Enterprise 安全性,植基於 SharePoint Server 2013 的安全性功能上。除了本文之外,也建議您檢閱說明如何規劃及施行一般 SharePoint Server 安全性的內容。如需詳細資訊,請參閱<規劃 SharePoint 2013>中的安全性與驗證規劃文章。

本文內容:

在 Duet Enterprise 2.0 中,儲存在 SAP 系統的商業流程與資料,會呈現在 SharePoint Server 2013 網站與 Outlook 2013 中。但是,用以存取 SharePoint Server 2013 和 Outlook 的使用者帳戶,無法直接用以存取 SAP 中的資訊。Duet Enterprise 2.0 安全性架構為使用者提供了單一登入的做法,解決掉了此問題。此施行方式的目標是要將 SharePoint Server 2013 中的使用者身分識別與 SAP 系統中的使用者帳戶相對應,讓登入 SharePoint Server 2013 網站的使用者,可以存取儲存在 SAP 系統中的外部資料,而不需要重新登入 SAP 系統。

以下資訊有助於您在查看整個驗證程序之前,先行了解。

  • 使用者利用使用者的 SharePoint 使用者身分識別,登入 SharePoint。其可以是表單式驗證或儲存在 Active Directory 網域服務 (AD DS) 中的認證,但它通常與儲存在 AD DS 中的使用者帳戶相關聯。

  • SAP 環境無法驗證使用者的 SharePoint 身分識別。因此,安裝在 SharePoint Server 2013 伺服器陣列上的 Duet Enterprise 元件,會將使用者的 Windows 認證換成 SAP NetWeaver 可用以驗證使用者的使用者憑證。已安裝 Duet Enterprise 2.0 的情況下,這需要 SAP 管理員建立與 DuetRoot 憑證 (X.509 憑證) (儲存在 SharePoint Secure Store Service 中) 的信任關係。

  • SAP 環境中的資訊不能用 Windows 認證或 SharePoint 認證 (在此情況下為使用者的 SharePoint 身分識別) 加以保護。SAP 中的資訊要使用 SAP 使用者帳戶保護。在部署 Duet Enterprise 2.0 時,SAP 管理員會在 SAP 環境中建立使用者對應表格,將每位使用者的 Windows 帳戶與識別特定使用者的 SAP 使用者帳戶相對應。

下圖顯示如何在 Duet Enterprise 2.0 環境中運作驗證,以為使用者提供單一登入功能的概念。其顯示有 SharePoint 使用者在 SharePoint Server 中從 Duet Enterprise 2.0 網站存取 SAP 資訊時的步驟。

圖:Duet Enterprise 2.0 驗證

使用 SAP 角色保護 SharePoint 的物件

下列清單說明上圖所示的步驟。此圖假設 SharePoint 使用者已嘗試存取 SharePoint Server 中呈現的 SAP 資訊。

A.   使用者以使用者的 SharePoint 使用者身分識別,登入已具備 Duet Enterprise 2.0 功能的 SharePoint 網站。由於網站包含呈現 SAP 資料的外部清單或網頁組件,所以要求會傳送到 SharePoint 伺服器陣列中的 Business Connectivity Services 執行階段。

B.   Business Connectivity Services 執行階段叫用 Duet Enterprise 2.0 OData 擴充功能提供者。

C.   Duet Enterprise 2.0 OData 擴充功能提供者從 Secure Store 取得 DuetRoot 憑證。

D.   Duet Enterprise 2.0 OData 擴充功能提供者使用 DuetRoot 憑證來建立 X.500 使用者憑證,並會將憑證傳送到 Business Connectivity Services 執行階段。

E.   Business Connectivity Services 執行階段將含有使用者憑證的要求,以要求封包的形式傳送到 SAP NetWeaver 的 SAP NetWeaver Gateway 元件。

提示提示:
已安裝 SAP NetWeaver Gateway 元件的 SAP NetWeaver,亦稱為 SAP NetWeaver Gateway。

F.   由於 SAP NetWeaver 信任原先用以建立使用者憑證的 DuetRoot 憑證,因此 SAP NetWeaver 可以驗證該使用者,並尋找對應至該憑證所識別之 SharePoint 使用者的 SAP 使用者。

G.   對應至 SharePoint 使用者的 SAP 使用者帳戶會傳回 SAP NetWeaver。

H.   SAP NetWeaver 會使用 SAP 使用者帳戶,要求存取 SAP 系統中要求的資訊,如果使用者已取得存取該資訊的授權,所要求的資訊就會傳送至 SAP NetWeaver Gateway。

I.   SAP NetWeaver Gateway 會以回應封包的形式,將回覆傳送至內部部署 SharePoint 伺服器陣列上的 Business Connectivity Services 執行階段。

J.   Business Connectivity Services 執行階段會將資訊傳遞給 SharePoint 使用者。在此例中,會傳遞至使用者所存取的網站。

注意事項附註:
SharePoint Server 伺服器陣列與 SAP NetWeaver 之間的雙向連線,會使用兩個安全通訊端階層 (SSL) 憑證加以保護。一個憑證繫結至 SharePoint Web 應用程式,並為 SAP 管理員所信任;另一個憑證則繫結至 SAP NetWeaver,並為 SharePoint 管理員所信任。

在企業中,使用者執行的工作通常與使用者的角色相關。也因為此,所以使用者是否應該具備物件的特定權限等級,通常取決於使用者角色本身。因此,角色有助於將權限指定給像是清單項目、網站及文件等物件。

在 SAP NetWeaver 中,使用者會獲派一或多項角色,例如業務代表、專案經理、高階主管以及人資專員。SAP 角色可以很廣泛 (例如「所有銷售經理」),也可以很侷限 (例如「東區銷售經理」)。在 Duet Enterprise 2.0 中,可以用這些 SAP 角色存取 SharePoint Server 中的物件。可在 SharePoint Server 中套用權限的所有物件,都可以透過 SAP 角色獲派權限。這也包括與 Duet Enterprise 2.0 直接相關的物件 (例如使用外部內容類型的報表、外部清單以及動作),以及任何一般和受到保護的 SharePoint Server 物件 (例如網站或文件庫)。將物件的權限授與角色之後,獲派該角色的所有使用者即會擁有使用該物件的權限。

使用者只能獲派其於 SAP NetWeaver 中的角色。Duet Enterprise 2.0 使用 Duet Enterprise 設定檔同步處理計時器工作功能,將 SAP 系統中的使用者角色指派作業帶到 SharePoint 使用者設定檔儲存中。Duet Enterprise 2.0 也會使用 Duet Enterprise 宣告提供者,協助管理 SharePoint Server 中受保護之物件以角色為基礎的權限。

注意事項附註:
您可以將角色同步處理作業想成一個單行道。定義在 SAP 系統中的使用者角色會被帶入 SharePoint 使用者設定檔儲存中。而 SharePoint 使用者設定檔中的屬性,並不會從 SharePoint 送回 SAP。

在角色同步處理期間,會使用 Business Connectivity Services 將一組 SAP 使用者匯入 SharePoint 使用者設定檔儲存中。對於在 SharePoint 中有相關使用者設定檔的每位 SAP 使用者,指派給該使用者的所有 SAP 角色,都會列於使用者設定檔儲存中。角色同步處理會從 SharePoint Server 連線至名為 "SAPUsersService" 之 SAP 端的外部系統。此外部系統會將使用者對角色的對應,傳送到 SharePoint 使用者設定檔儲存。角色同步處理通常會在部署之後進行,依照 Duet Enterprise 設定檔同步處理計時器工作所設定的間隔來完成。您可以指定同步處理角色的頻率以及一次匯入的使用者人數。

角色與 SharePoint 使用者設定檔儲存進行同步處理之後,使用者與管理員可以依據 SAP 角色,授與對 SharePoint 安全物件的存取權。但是,SharePoint 伺服器陣列管理員必須先在伺服器陣列層級啟動 Duet Enterprise SAP 角色宣告提供者功能,讓宣告提供者可供使用,才能使用此功能。

注意事項附註:
當使用者的角色在 SAP 系統中有所變更時,該變更需要一些時間 (最高可達 10 小時) 才會散佈至 SharePoint 系統。如此可能會讓使用者暫時無法依據其新的角色取得授權。

顯示: