在 Duet Enterprise for SharePoint and SAP Server 2.0 中設定 RoleSync 解決方案

SharePoint 2010
 

適用版本:Duet Enterprise for Microsoft SharePoint and SAP Server 2.0

上次修改主題的時間:2013-12-18

摘要:了解如何為 Duet Enterprise 2.0 設定角色同步處理 (RoleSync)。

Duet Enterprise for Microsoft SharePoint and SAP Server 2.0 隨附的角色同步處理 (RoleSync) 解決方案,讓 SharePoint 管理員可將儲存在 SAP 設定檔儲存中的 SAP 角色屬性與 SharePoint 使用者設定檔同步處理。執行角色同步處理之後, 使用者可以使用 SharePoint 人員選擇來授與 SharePoint 中所有安全物件的權限,例如網站、清單及檔案。它也可以加強報表解決方案,因為共用的報表只可用 SAP 角色共用,而使用者可以訂閱共用的報表。

本文假設如下:

  • SAP 管理員已經在 SAP 系統中建立 SAP 使用者與 SAP 角色的對應。

  • SharePoint 管理員已啟動 User Profile Service 應用程式,且已建立設定檔同步處理連線至包含 SharePoint Server 伺服器陣列所使用之使用者帳戶的 Active Directory 網域服務 (AD DS)。如需如何完成這些程序的詳細資訊,請參閱<同步處理 SharePoint Server 2013 中的使用者與群組設定檔>。

  • SharePoint 管理員已將 AD DS 服務與 SharePoint 使用者設定檔儲存同步處理。如需詳細資訊,請參閱<Manage user profile synchronization in SharePoint Server 2013>。

    注意事項附註:
    要同步處理 SAP 角色的 SharePoint 使用者設定檔必須已存在,才可執行角色同步處理。SAP 角色只能與已存在的 SharePoint 使用者設定檔進行同步處理。您可以在 SharePoint 使用者設定檔儲存中手動建立這些使用者設定檔,但建議您還是以與 AD DS 執行設定檔同步處理的方式,來建立這些使用者設定檔。

本文內容:

在您設定角色同步處理之前,SAP 管理員必須已完成下列作業:

SharePoint 管理員必須已完成下列作業:

注意事項附註:
您必須是伺服器陣列管理員群組的成員,才可完成此程序。
啟用 Duet Enterprise 宣告提供者功能
  1. 在 SharePoint 管理中心網站的快速啟動上,按一下 [管理中心]。

  2. 在 [系統設定] 區段中,按一下 [管理伺服器陣列功能]。

  3. 在 [Duet Enterprise SAP 角色宣告提供者] 列中,按一下 [啟動]。

    狀態欄會變更為 [作用中]。狀態為作用中時,當 SharePoint Server 2013 使用者設定檔儲存與 SAP 設定檔儲存同步處理之後,SAP 角色就會出現在「人員選擇」中。

若要執行後續的三項程序,您必須先知道指派給 SharePoint Timer Service 的使用者帳戶為何。

注意事項附註:
您必須是 Windows 系統管理員群組的成員,才可完成此程序。
識別 SharePoint Timer Service 帳戶
  1. 以 Windows 系統管理員身分登入 SharePoint 伺服器陣列中的伺服器。

  2. 按一下 [開始],然後按一下 [執行]。

  3. 在 [執行] 對話方塊的 [開啟] 方塊中,輸入 services.msc,然後按一下 [確定]。

  4. 在 [服務] 視窗的 [名稱] 欄中,按兩下 [SharePoint Timer Service]。

  5. 按一下 [登入] 索引標籤。

  6. 請記下 [這個帳戶] 方塊中顯示的帳戶名稱。

注意事項附註:
您必須是伺服器陣列管理員群組的成員,才可完成此程序。
授與中繼資料儲存區的權限
  1. 在管理中心的快速啟動上,按一下 [應用程式管理]。

  2. 在 [服務應用程式] 區段中,按一下 [管理服務應用程式]。

  3. 在 [名稱] 欄中,按一下 [Business Data Connectivity Service 應用程式] 的連結。

  4. 在功能區的 [權限] 群組中,按一下 [設定中繼資料儲存區權限]。

  5. 在 [設定中繼資料儲存區權限] 對話方塊的頂端方塊中,輸入執行計時器工作的使用者帳戶。

  6. 按一下 [新增]。

  7. 在 [<使用者帳戶>] 區段 (底端區段) 中,確定已選取 [執行] 核取方塊。

    其中 <使用者帳戶> 是您在步驟 1 到步驟 6 中新增的帳戶名稱。

  8. 按一下 [確定]。

    注意事項附註:
    如果未將中繼資料儲存區的「設定權限」權限授與至少一位使用者,可能會收到下列錯誤訊息「在存取控制清單中必須至少有一個使用者/群組擁有『設定權限』權限,以避免建立無法管理的物件」。若要解決此問題,請將中繼資料儲存區的「設定權限」權限授與至少一位使用者。

使用此程序可確保指派給 SharePoint 計時器帳戶的帳戶,能具有 SharePoint 伺服器陣列中預設 User Profile Service 應用程式及 Business Data Connectivity Service 應用程式的完全控制權限。您必須將此權限授與本文稍後會設定設定檔同步處理的伺服器陣列管理員。

提示提示:
SharePoint Server 2013 支援多個 User Profile Service 應用程式。但是,Duet Enterprise 角色同步處理只能與預設的 User Profile Service 應用程式搭配運作。
注意事項附註:
您必須是伺服器陣列管理員群組的成員或 User Profile Service 應用程式的管理員,才可完成此程序。
確定計時器帳戶具有完全控制權限
  1. 在管理中心的快速啟動上,按一下 [管理中心]。

  2. 在 [應用程式管理] 區段中,按一下 [管理服務應用程式]。

  3. 在 [類型] 欄中,按一下包含預設 [User Profile Service 應用程式] 的列,選取該列。

  4. User Profile Service 應用程式的名稱會列在 [名稱] 欄中。由於您在稍後的程序中將需要此服務應用程式的名稱,因此請記下此名稱。

  5. 在功能區的 [共用] 群組中,按一下 [權限]。

  6. 在 [連線權限] 對話方塊中,確定已將「完全控制」權限授與用於 SharePoint Timer Service 的帳戶。

  7. 按一下 [確定]。

您必須為 SAP 管理員提供指定給 SharePoint Timer Service (又稱為 SPTimerV4 服務) 的使用者帳戶。SAP 管理員必須確定此帳戶與 SAP 使用者對應,且 SAP 使用者具有 SAP 系統的足夠權限,可查詢 UserRoles 工作分派查詢。

注意事項附註:
您必須是 Windows 系統管理員群組的成員,才可完成此程序。
取得 SharePoint Timer Service 的使用者帳戶
  1. 以系統管理員群組的成員身分登入 SharePoint Server 2013 伺服器陣列中的前端網頁伺服器。

  2. 按一下 [開始],然後指向 [系統管理工具],再按一下 [服務]。

  3. 在 [名稱] 欄中,於 [SharePoint Timer] 上按一下滑鼠右鍵,然後按一下 [內容]。

  4. 在 [SharePoint Timer Service 屬性] 對話方塊的 [登入] 索引標籤上,記下列在 [這個帳戶] 文字方塊中所列的帳戶名稱。

  5. 將此帳戶名稱提供給 SAP 管理員。

  6. 按一下 [取消],關閉 [SharePoint Timer Service 屬性] 對話方塊。

注意事項附註:
您必須是伺服器陣列管理員群組的成員,才可完成此程序。

開始啟動此程序之前,請執行下列動作:

  • 確定 SAP 管理員已設定 OData 端點。

  • 要求 SAP 管理員確定「對用戶同步處理角色」工作已在 SAP 系統上執行完成。

    SAP 管理員必須定期執行「對用戶同步處理角色」工作,將 SAP 系統上的使用者角色與執行 SAP NetWeaver 之伺服器上的 SAP 設定檔儲存,進行同步處理。建議您等到 SAP 管理員已完成同步處理工作之後,再同步處理 SAP 使用者設定檔儲存與 SharePoint 使用者設定檔儲存。否則,SAP 設定檔儲存與 SharePoint 使用者設定檔儲存之間的同步處理工作,可能會更長的時間才能完成。請注意,「對用戶同步處理角色」工作同步處理 100,000 位使用者需要約 80 分鐘,而將 SAP NetWeaver 中的設定檔儲存同步處理至 SharePoint 使用者設定檔儲存時,同步處理 100,000 位使用者需要約 100 分鐘。如果您預計要排程這些同步處理工作,建議您先手動執行,以確定每個工作在您的系統上執行時,所需的平均時間。

同步處理設定檔
  1. 在管理中心的快速啟動上,按一下 [監視]。

  2. 在「監視」頁面上,按一下 [計時器工作] 區段中的 [檢閱工作定義]。

  3. 在「工作定義」頁面的 [標題] 欄中,按一下「<User Profile Service 應用程式名稱>」 的 [Duet Enterprise 設定檔同步處理] 連結。

    其中「<User Profile Service 應用程式名稱>」是您用於角色同步處理的 User Profile Service 應用程式名稱。

    提示提示:
    如果您只有一個 User Profile Service 應用程式,此名稱預設會是 User Profile Service 應用程式的 Duet Enterprise 設定檔同步處理。
  4. 在「編輯計時器工作」頁面上,按一下 [立即執行]。

    注意事項附註:
    此計時器工作會排程為每天執行一次,但是如果因此而導致效能問題,可將其設定為較少的執行頻率。

    如需 SharePoint 計時器工作的詳細資訊,請參閱<View timer job status in SharePoint 2013>。

完成角色同步處理之後,SAP 角色屬性會出現在每個 SharePoint 使用者設定檔頁面的底部,並會顯示指派給使用者的 SAP 角色。在授與安全物件 (例如網站、清單及檔案) 的權限時,這些 SAP 角色會出現在「人員選擇」中。如果您已設定報表解決方案,當您執行共用報表時,也會出現 SAP 角色。

同步處理 SAP 使用者設定檔儲存與 SharePoint 使用者設定檔儲存之後,您可以執行此程序,依據使用者的 SAP 角色授與網站的權限。請注意,只支援位於使用宣告式驗證之 Web 應用程式中的網站,以及與您用來設定角色同步處理之 User Profile Service 應用程式相關聯的網站。

提示提示:
網站集合必須已存在,而且 SAP 角色必須已同步處理至 SharePoint 使用者設定檔儲存,您才能使用 SAP 角色在網站上設定權限。在授與網站 SAP 角色權限之後,就不能將網站集合更名或刪除。
注意事項附註:
您必須是網站擁有人,才可執行此程序。
授與網站 SAP 角色權限
  1. 在瀏覽器中,進入您要啟用 SAP 角色的網站。

  2. 按一下 [設定] 圖示,然後按一下 [網站設定]。

    提示提示:
    [設定] 圖示以齒輪表示。
  3. 在 [使用者與權限] 下方,按一下 [網站權限]。

  4. 在功能區的 [授與] 群組中,按一下 [授與權限]。

  5. 在 [授與權限] 對話方塊中,執行下列動作:

    1. 按一下 [顯示選項]。

    2. 在 [選取群組或權限層級] 下,選取您要授與 SAP 角色的群組或權限層級。

    3. 在最上面的方塊中,輸入 SAP 角色的部分名稱。

      提示提示:
      隨即會出現包含所有可用 SAP 角色的下拉式清單。
  6. 請完成輸入 SAP 角色的名稱,或是從下拉式清單中選取,然後按一下 [共用]。

顯示: