Поделиться через

Административные учетные записи, учетные записи служб и сертификаты, необходимые для развертывания (Duet Enterprise)

  • Статья

 

Применимо к: Duet Enterprise for Microsoft SharePoint and SAP Server 2.0

Последнее изменение раздела: 2015-03-09

Перед установкой Duet Enterprise рекомендуется создать необходимые учетные записи службы и пользователя. Например, вам потребуется учетная запись службы для веб-приложения, которое будет использоваться для сайтов Duet Enterprise, и одна или несколько учетных записей служб, которые будут использоваться для взаимодействия между фермой SharePoint и системой SAP. Также потребуется SSL-сертификат для настройки безопасного взаимодействия между веб-приложением для сайтов Duet Enterprise и системой SAP. Администратор SAP также предоставит SSL-сертификат, для которого необходимо будет создать отношение доверия со средой SharePoint.

Содержание:

  • Учетные записи, необходимые для развертывания Duet Enterprise

  • Сертификаты, необходимые для обеспечения безопасности Duet Enterprise

  • Создание управляемой учетной записи

Учетные записи, необходимые для развертывания Duet Enterprise

В последующих разделах описаны учетные записи, используемые для развертывания Duet Enterprise. В таблицах описаны учетные записи, которые необходимо предоставить по завершении процесса развертывания.

Примечание

При использовании Листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419) учетные записи можно записать в этот лист.

Установка Duet Enterprise

В приведенной ниже таблице описаны требования, предъявляемые к учетной записи, с которой выполняется установка Duet Enterprise.

Учетная запись Назначение Требования

Учетная запись программы установки

Это учетная запись пользователя, используемая для выполнения указанных ниже задач.

  • Запуск setup.exe

  • Запуск DuetConfig.exe

Этой учетной записи будет предоставлено разрешение на выполнение для хранилища метаданных Служба подключения к бизнес-данным.

Запись на листе: при использовании Листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419) запишите эту учетную запись в строку "Учетная запись пользователя для программы установки" таблицы 3.

  • Член группы администраторов Windows на компьютере с SharePoint Server 2010.

  • Член группы администраторов фермы в ферме SharePoint Server, куда устанавливается Duet Enterprise.

  • Для настройки синхронизации профилей с помощью команды DuetConfig.exe /configureprofilesync требуется полный доступ для приложения-службы профилей пользователей. Обратите внимание, что это разрешение автоматически предоставляется учетной записи, с которой выполняется установка Microsoft SharePoint Server 2010, но не предоставляется автоматически всем администраторам фермы.

Настройка безопасного взаимодействия между фермой SharePoint и системой SAP

Учетные записи в приведенной ниже таблице требуются при создании веб-приложений для сайтов Duet Enterprise.

Учетная запись Назначение Требования

Учетная запись службы

Используется для веб-приложения сайтов Duet Enterprise.

Запись на листе: при использовании Листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419) запишите эту учетную запись в строку "Учетная запись службы для веб-приложения сайтов Duet Enterprise" таблицы 3.

Эту учетную запись необходимо настроить в SharePoint Server в качестве управляемой учетной записи.

Важно!

Не используйте для этой цели учетную запись пользователя, т. к. при этом задачи рабочих процессов SAP могут перейти в противоречивое состояние. Рекомендуется выбрать уникальную учетную запись домена Windows, не используемую ни для каких других целей.

Импорт моделей подключения к бизнес-данным

Учетные записи в приведенной ниже таблице требуются при импорте моделей подключения к бизнес-данным. Модели подключения к бизнес-данным, входящие в состав Duet Enterprise, обновляются администратором SAP в соответствии с параметрами системы SAP, после чего предоставляются администратору SharePoint, который должен импортировать их в SharePoint Server.

Учетная запись Назначение Требования

Конечные пользователи, которым необходимо предоставить доступ к контенту SAP

Используется для указания учетных записей пользователей или групп в доменных службах Active Directory (AD DS), которым будут предоставлены разрешения на выполнение для моделей подключения к бизнес-данным.

Примечание

Во время развертывания рекомендуется указать группу Windows nt authority\прошедшие проверку. При этом доступ к контенту SAP будет предоставлен всем пользователям, прошедшим проверку. Если после развертывания потребуется усилить безопасность, эту группу Windows можно будет заменить на отдельные учетные записи пользователей или другую группу Windows.

Запись на листе: при использовании Листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419) запишите выбранные учетные записи пользователей или группы в строку "Пользователи, имеющие доступ к контенту SAP" таблицы 3.

Пользователь или группа Windows.

Примечание

Необходимо указать действительную учетную запись или группу домена. Группы SharePoint не поддерживаются.

Учетная запись для доступа к WSDL

Используется для доступа к WSDL-файлам SAP и их загрузки. Этой учетной записи будут предоставлены полные права на все модели для подключения к бизнес-данным.

Запись на листе: при использовании Листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419) администратор SAP должен указать эту учетную запись в строках "Имя пользователя для доступа к WSDL" и "Пароль для доступа к WSDL" таблицы 2.

Пользователь или группа Windows. Учетная запись для доступа к WSDL создается администратором SAP, а вы должны указать имя пользователя или группы и соответствующий пароль.

Синхронизация профилей и ролей

Учетная запись в приведенной ниже таблице требуется, если для Duet Enterprise планируется настроить синхронизацию ролей.

Учетная запись Назначение Требования

Учетная запись доменных служб Active Directory

Используется администратором SharePoint для синхронизации учетных записей пользователей в доменных службах Active Directory с хранилищем профилей пользователей в ферме SharePoint Server. Администратор SAP также использует эту учетную запись для копирования учетных записей пользователей из доменных служб Active Directory в хранилище профилей SAP.

Совет

Имя этой учетной записи может предоставить администратор доменных служб Active Directory.

Запись на листе: при использовании Листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419) запишите имя этой учетной записи и пароль в строку "Учетная запись доменных служб Active Directory и пароль" таблицы 1.

  • Член группы администраторов фермы SharePoint или администратор службы профилей пользователей.

  • Как минимум разрешения на синхронизацию каталогов в доменных службах Active Directory.

Настройка отчетности

Учетные записи в приведенной ниже таблице требуются, если для Duet Enterprise планируется настроить решение для работы с отчетами.

Учетная запись Назначение Требования

Учетная запись издателя отчетов

Используется для авторизации отчетов, отправляемых из системы SAP в SharePoint Server. Этой учетной записи предоставляется полный доступ к URL-адресу издателя отчетов.

Запись на листе: при использовании Листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419) запишите имя этой учетной записи и пароль в строку "Учетная запись издателя отчетов" таблицы 3.

Эта учетная запись пользователя и пароль будут переданы администратору SAP для использования в качестве учетной записи издателя отчетов в системе SAP. По этой причине рекомендуется создать учетную запись, предназначенную специально для этой цели, а не использовать учетную запись, принадлежащую реальному пользователю.

Настройка рабочих процессов SAP

Учетная запись в приведенной ниже таблице требуется, если в SharePoint Server планируется настроить сайты рабочих процессов Duet Enterprise.

Учетная запись Назначение Требования

Учетная запись службы

Используется для всех транзакций рабочих процессов между SharePoint Server и средой SAP. SharePoint Server принимает только запросы от учетной записи службы рабочих процессов. Эта учетная запись также является единственной учетной записью, которая может отправлять протоколы системе SAP.

Запись на листе: при использовании Листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419) запишите эту учетную запись в строку "Учетная запись издателя рабочих процессов" таблицы 3.

Член группы владельцев SharePoint на всех сайтах рабочих процессов.

Важно!

Не используйте для этой цели учетную запись, используемую в качестве учетной записи пула приложений для каких-либо веб-приложений. В частности, нельзя использовать учетную запись, указанную в строке "Учетная запись службы для веб-приложения сайтов Duet Enterprise" таблицы 3 на Листе развертывания, т. к. при этом задачи рабочих процессов SAP могут перейти в противоречивое состояние. По этой причине рекомендуется выбрать уникальную учетную запись домена Windows, не используемую ни для каких других целей.

Сертификаты, необходимые для обеспечения безопасности Duet Enterprise

Все сетевые вызовы между веб-приложением, настроенным для сайтов Duet Enterprise, и системой SAP, выполняются по протоколу SSL (HTTPS). Кроме того, администратор SharePoint должен экспортировать сертификат службы маркеров безопасности (STS) и предоставить его администратору SAP для настройки отношения доверия с системой SAP. Это позволит проверять маркеры, отправляемые службой маркеров безопасности SharePoint, после их получения системой SAP. Администратор SharePoint также должен настроить отношение доверия с SSL-сертификатом, который применяется администратором SAP для обеспечения безопасности веб-службы, используемой Duet Enterprise. Для этого необходимы указанные ниже сертификаты.

Для обеспечения безопасности Duet Enterprise используются указанные ниже сертификаты.

  • Администратор SharePoint должен получить или создать SSL-сертификат для веб-приложения, которое будет настроено для Duet Enterprise. Обратите внимание, что для веб-приложения, для которого включена поддержка решений Duet Enterprise, необходимо включить настроенную зону для использования протокола HTTPS (SSL) и обычной проверки подлинности. Эта зона, настроенная на поддержку SSL и называемая в данной статье зоной взаимодействия с SAP, используется для всех видов взаимодействия с системой SAP. Администратор сервера с SharePoint Server 2010 должен привязать данный SSL-сертификат к зоне взаимодействия с SAP веб-приложения и предоставить этот сертификат администратору SAP, чтобы сделать сертификат доверенным на сервере с SAP NetWeaver.

  • Администратор SharePoint должен экспортировать сертификат службы маркеров безопасности и предоставить его администратору SAP. Администратор SAP установит с помощью этого сертификата одностороннее отношение доверия со службой маркеров безопасности.

  • Администратор SAP должен предоставить SSL-сертификат, применяемый для обеспечения безопасности веб-службы, используемой в Duet Enterprise, администратору SharePoint, который настроит отношение доверия для этого сертификата. Это позволит сайтам Duet Enterprise принимать данные из среды SAP.

Примечание

Пошаговые инструкции по получению и использованию данных сертификатов см. в статье Настройка безопасного взаимодействия между средами SharePoint и SAP (https://go.microsoft.com/fwlink/?linkid=205812&clcid=0x419).

Создание управляемой учетной записи

Если веб-приложение, которое будет использоваться для сайтов Duet Enterprise, еще не создано, вам потребуется управляемая учетная запись, чтобы назначить пул приложений, который будет использоваться созданным впоследствии веб-приложением.

Управляемая учетная запись представляет собой учетную запись пользователя доменных служб Active Directory, учетные данные которой хранятся в SharePoint Server, и управление этими учетными данными осуществляется там же. Чтобы создать управляемую учетную запись, необходимо зарегистрировать учетную запись доменных служб Active Directory в SharePoint Server.

Определение учетной записи пользователя доменных служб Active Directory

  • Перед созданием управляемой учетной записи необходимо сначала определить учетную запись учетную запись пользователя доменных служб Active Directory, которая будет использоваться для этой цели. Администратору доменных служб Active Directory рекомендуется выполнить следующие действия:

    1. создать учетную запись, предназначенную специально для этой цели, а не использовать учетную запись реального пользователя;

    2. настроить учетную запись на использование пароля с неограниченным сроком действия.

    При использовании Листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419) запишите эту учетную запись в строку "Учетная запись службы для веб-приложения сайтов Duet Enterprise" таблицы 3.

Регистрация управляемой учетной записи

  1. Проверьте наличие следующих административных учетных данных.

    • Для выполнения этой процедуры необходимы права администратора фермы.

  2. На сайте центра администрирования выберите в разделе Безопасность команду Настройка управляемых учетных записей.

  3. На странице "Управляемые учетные записи" выберите элемент Регистрация управляемой учетной записи.

  4. В разделе Регистрация учетных записей страницы "Регистрация управляемой учетной записи" введите учетные данные для этой записи.

    Примечание

    Для учетных записей служб рекомендуется отключить функцию автоматической смены пароля.

  5. Нажмите кнопку ОК.