次の方法で共有

展開に必要な管理アカウントとサービス アカウントおよび証明書 (Duet Enterprise)

  • [アーティクル]

 

適用先: Duet Enterprise for Microsoft SharePoint and SAP Server 2.0

トピックの最終更新日: 2015-03-09

Duet Enterprise のインストールを始める前に、必要なサービス アカウントとユーザー アカウントを作成することをお勧めします。たとえば、Duet Enterprise サイトで使用する Web アプリケーション用のサービス アカウントや、SharePoint ファームと SAP システムの間の通信に使用する 1 つ以上のサービス アカウントが必要です。また、Duet Enterprise サイトの Web アプリケーションと SAP システムの間の安全な通信を構成するために、SSL 証明書が必要です。さらに、SAP 管理者から提供される SSL 証明書に対して、SharePoint 環境で信頼関係を作成する必要もあります。

この記事の内容

  • Duet Enterprise の展開に必要なアカウント

  • Duet Enterprise をセキュリティで保護するために必要な証明書

  • 管理アカウントを作成する

Duet Enterprise の展開に必要なアカウント

以下では、Duet Enterprise の展開に使用するアカウントについて説明します。表では、展開プロセスを完了するときに提供する必要のあるアカウントについて説明します。

注意

展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合は、ワークシートにアカウントを記録できます。

Duet Enterprise をインストールする

次の表では、Duet Enterprise のインストールに使用するアカウントの要件について説明します。

アカウント 目的 要件

セットアップ ユーザー アカウント

次のことを行うために使用するユーザー アカウントです。

  • setup.exe を実行する

  • DuetConfig.exe を実行する

このアカウントには、Business Data Connectivity Service メタデータ ストアに対する実行アクセス許可を与えます。

ワークシートの手順: 展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合は、表 3 の「セットアップ ユーザー アカウント」行にこのアカウントを記録します。

  • SharePoint Server 2010 を実行しているコンピューターの Windows Administrators グループのメンバー。

  • Duet Enterprise をインストールしている SharePoint Server Farm Administrators グループのメンバー。

  • User Profile Service アプリケーションに対するフル コントロールのアクセス許可は、DuetConfig.exe /configureprofilesync コマンドを使用してプロファイルの同期を構成するときに必要とされます。Microsoft SharePoint Server 2010 のインストールに使用するアカウントには、このアクセス許可が自動的に付与されます。ただし、すべてのファーム管理者に自動的に付与されることはありません。

SharePoint ファームと SAP システムの間の安全な通信を構成する

次の表のアカウントは、Duet Enterprise サイト用の Web アプリケーションを作成するときに必要です。

アカウント 目的 要件

サービス アカウント

Duet Enterprise サイトの Web アプリケーション用に使用します。

ワークシートの手順: 展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合は、表 3 の「Duet Enterprise サイトの Web アプリケーション用のサービス アカウント」行にこのアカウントを記録します。

このアカウントは、SharePoint Server の管理アカウントとして構成する必要があります。

重要

この目的にユーザー アカウントを使用しないでください。ユーザー アカウントを使用すると、SAP ワークフロー タスクが一貫性のない状態になる可能性があります。代わりに、他の目的に使用されていない一意の Windows ドメイン アカウントを使用することをお勧めします。

BDC モデルをインポートする

次の表のアカウントは、BDC モデルをインポートするときに必要です。Duet Enterprise で提供される BDC モデルは、SAP 管理者によって SAP システムでの設定と一致するように更新された後、SharePoint Server にモデルをインポートする必要のある SharePoint 管理者に提供されます。

アカウント 目的 要件

SAP コンテンツにアクセスできるエンド ユーザー

BDC モデルに対する実行アクセス許可を付与されるユーザーまたは Active Directory ドメイン サービス (AD DS) グループ アカウントを指定するために使用されます。

注意

展開の間に nt authority\authenticated users Windows グループを指定することをお勧めします。これにより、認証されたすべてのユーザーが SAP コンテンツにアクセスできます。展開の後でセキュリティを強化する場合は、この Windows グループを個別のユーザー アカウントまたは異なる Windows グループに置き換えることができます。

ワークシートの手順: 展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合は、ワークシートの表 3 の「SAP コンテンツにアクセスできるユーザー」行に使用するユーザー アカウントまたはグループを記録します。

Windows ユーザーまたはグループ

注意

有効なドメイン アカウントまたはグループを使用する必要があります。SharePoint グループはサポートされていません。

WSDL アクセス アカウント

SAP WSDL へのアクセスとそのダウンロードに使用します。このアカウントには、すべての BDC モデルに対するフル アクセス許可が与えられます。

ワークシートの手順: 展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合は、ワークシートの表 2 の「WSDL アクセス用のユーザー名」行および「WSDL アクセス用のパスワード」行に、SAP 管理者がこのアカウントを提供します。

Windows ユーザーまたはグループ。WSDL アクセス アカウントは、SAP 管理者が作成します。ユーザーまたはグループの名前とそれに関連付けるパスワードを提供する必要があります。

プロファイルとロールを同期する

次の表のアカウントは、Duet Enterprise に対してロールの同期を構成する場合に必要です。

アカウント 目的 要件

AD DS アカウント

SharePoint 管理者が AD DS のユーザー アカウントと SharePoint Server ファームのユーザー プロファイル ストアを同期するために使用します。SAP 管理者もこのアカウントを使用して、AD DS から SAP プロファイル ストアにユーザー アカウントを取得します。

ヒント

このアカウント名は、AD DS 管理者が提供できます。

ワークシートの手順: 展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合は、表 1 の「AD DS のアカウントとパスワード」行にこのアカウント名とパスワードを記録します。

  • SharePoint の Farm Administrators グループのメンバーまたは User Profile Service 管理者。

  • 少なくとも、AD DS に対する DirSync アクセス許可。

レポートを構成する

Duet Enterprise 用のレポート ソリューションを構成する場合は、次の表のアカウントが必要です。

アカウント 目的 要件

レポート発行元アカウント

SAP システムから SharePoint Server に送信されるレポートの承認に使用されます。このアカウントには、レポート発行元 URL に対するフル コントロール アクセス許可が付与されます。

ワークシートの手順: 展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合は、表 3 の「レポート発行元アカウント」にこのアカウントの名前とパスワードを記録します。

このユーザー アカウントとパスワードは SAP 管理者に提供されて、SAP システムでレポート発行元アカウントとして使用されます。このため、個人のユーザー アカウントを使用するのではなく、この目的のためだけのアカウントを作成することをおすすめします。

SAP ワークフローを構成する

次の表のアカウントは、SharePoint Server で Duet Enterprise ワークフロー サイトを構成する場合に必要です。

アカウント 目的 要件

サービス アカウント

SharePoint Server と SAP 環境の間のすべてのワークフロー トランザクションに使用されます。SharePoint Server は、ワークフロー サービス アカウントからの要求だけを受け付けます。また、このアカウントは、SAP システムにプロトコルを送信できる唯一のアカウントでもあります。

ワークシートの手順: 展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合は、表 3 の「ワークフロー発行元アカウント」行にこのアカウントを記録します。

すべてのワークフロー サイトの SharePoint Owners グループのメンバー。

重要

Web アプリケーションのアプリケーション プール アカウントとして使用されているものと同じアカウントは使用しないでください。具体的には、このアカウントは、展開ワークシートの表 3 の「Duet Enterprise サイトの Web アプリケーション用のサービス アカウント」行に入力したものと同じアカウントにすることはできません。同じアカウントを使用すると、SAP ワークフロー タスクが一貫性のない状態になる可能性があります。このため、別の目的に使用されていない一意の Windows ドメイン アカウントを使用することをお勧めします。

Duet Enterprise をセキュリティで保護するために必要な証明書

Duet Enterprise サイト用に構成された Web アプリケーションと SAP システムの間でのすべてのネットワーク呼び出しは、Security Sockets Layer (HTTPS) を経由して行われます。さらに、SharePoint 管理者は、Secure Token Service (STS) 証明書をエクスポートして SAP 管理者に渡し、SAP システムに信頼関係を構成してもらう必要があります。これにより、SharePoint Security Token Service から送信されるトークンは、SAP システムに到着した後で検証を受けることができます。また、SharePoint 管理者は、SAP 管理者が Duet Enterprise で使用される Web サービスをセキュリティで保護するために使用した SSL 証明書との信頼関係を構成する必要もあります。これをサポートするためには、次の証明書が必要です。

Duet Enterprise をセキュリティで保護するには、次の証明書が使用されます。

  • SharePoint 管理者は、Duet Enterprise 用に構成される Web アプリケーションのための SSL 証明書を取得または作成する必要があります。Duet Enterprise ソリューションを有効にする Web アプリケーションは、構成されるゾーンが HTTPS プロトコル (SSL) と基本認証を使用できるように拡張する必要があります。この SSL 構成のゾーン (この記事では SAP 向けのゾーンと呼びます) は、SAP システムとのすべての通信に使用されます。SharePoint Server 2010 を実行するサーバーの管理者は、この SSL 証明書を Web アプリケーションの SAP 向けゾーンにバインドし、SAP システム管理者に証明書を提供して、SAP NetWeaver を実行するサーバーで信頼できるようにする必要があります。

  • SharePoint 管理者は、Security Token Service (STS) 証明書をエクスポートして、それを SAP システム管理者に渡す必要があります。SAP システム管理者は、STS 証明書を使用して、Security Token Service との一方向の信頼関係を確立します。

  • SAP システム管理者は、Duet Enterprise で使用されている Web サービスを保護するために使用される SSL 証明書を SharePoint 管理者に渡す必要があります。SharePoint 管理者は、その証明書に対する信頼関係を構成します。これにより、Duet Enterprise サイトは SAP 環境からの情報を受けつけることができるようになります。

注意

これらの証明書を取得して使用する方法の詳細な手順については、「SharePoint 環境と SAP 環境の間に安全な通信を構成する」(https://go.microsoft.com/fwlink/?linkid=205812&clcid=0x411) を参照してください。

管理アカウントを作成する

Duet Enterprise サイト用に使用する Web アプリケーションがまだ存在しない場合、後で作成する Web アプリケーションが使用するアプリケーション プールに割り当てる管理アカウントが必要です。

管理アカウントは、資格情報が SharePoint Server 内で管理されて格納される AD DS ユーザー アカウントです。管理アカウントを作成するには、AD DS アカウントを SharePoint Server に登録します。

AD DS ユーザー アカウントを決定するには

  • 管理アカウントを作成する前に、使用する AD DS ユーザー アカウントを決定する必要があります。次のことを AD DS 管理者に依頼することをお勧めします。

    1. ユーザーのアカウントを使用するのではなく、この目的専用のアカウントを作成します。

    2. 期限が切れることのないパスワードを持つアカウントを構成します。

    展開ワークシート (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x411) を使用している場合は、ワークシートの表 3 の「Duet Enterprise サイトの Web アプリケーション用のサービス アカウント」行にこのアカウントを記録します。

管理アカウントを登録するには

  1. 次に示す管理者の資格情報があることを確認します。

    • この手順を実行するには、ファームの管理者グループのメンバーである必要があります。

  2. サーバーの全体管理 Web サイトで、[セキュリティ] セクションの [管理アカウントの構成] をクリックします。

  3. [管理アカウント] ページで、[管理アカウントの登録] をクリックします。

  4. [管理アカウントの登録] ページの [アカウントの登録] セクションにサービス アカウントの資格情報を入力します。

    注意

    サービス アカウントについては自動パスワード変更機能を有効にしないことをお勧めします。

  5. [OK] をクリックします。