Atribuir permissões para dar suporte à integração TFS-Project Server
A atribuição de permissões é a primeira etapa na configuração do Team Foundation Server e do Project Server para dar suporte a sincronização de dados. Você deve conceder permissões para várias contas — administradores, contas de serviço e os membros da equipe. Você deve também ter certeza de que contas de serviço específicas tenham acesso como um Provedor de Serviços Compartilhados (SSP) para o servidor que hospeda Produtos do SharePoint para o Project Server.
Você deve conceder permissões depois de ter instalado Extensões do Team Foundation Server para Integração do Project Server. Para obter mais informações, consulte Requisitos do sistema e de instalação para dar suporte à integração do TFS com o Project Server.
Antes de começar
Antes de começar, você desejará saber quais instâncias PWA e coleções de projeto de equipe de TFS participarão da sincronização de dados. Você também desejará ter respostas para as perguntas a seguir.
Você tem todas as permissões necessárias para atribuir permissões?
Verifique se que você pertence aos seguintes grupos:
Grupo Administradores do Team Foundation, necessário para conceder permissões do TFS. Você também deve ter acesso ao Console de administração do Team Foundation. Set administrator permissions for Team Foundation Server.
Administrador do Project Web App para cada instância do Project Web Access ou Project Web App (PWA), necessário para conceder permissões do Project Server. Você deve também ter acesso ao Project Server por meio do PWA.
Grupo de segurança Administradores para os bancos de dados do SQL Server para o Project Server, necessário para conceder permissões para os bancos de dados de Relatório e Publicação do PWA.
Grupo Administradores de Farm, o grupo de administradores do aplicativo Web que oferece suporte ao Project Server ou ao grupo Administração do SharePoint. A associação de grupos dependerá da arquitetura de segurança de sua implantação.
Administrador no computador local, necessário para usar o stsadm.exe.
O modo de autenticação está definido corretamente para sua versão do Project Server?
Para o Project Server 2010:
O aplicativo Web do SharePoint para a instância do PWA deve ser configurado como Autenticação de Modo Clássico. Autenticação de modo clássico usa a autenticação do Windows. As contas de usuário são tratadas pelo SharePoint Server 2010 como contas de Serviços de Domínio Active Directory (AD DS).
Você não poderá registrar o PWA se sua autenticação estiver configurada como Autenticação Baseada em Declarações. Se não tiver certeza de qual modo de autenticação está configurado ou precisar alternar entre os modos de autenticação, vá para essa seção.
Para o Project Server 2013:
Duas permissões são suportadas: modo de Permissão do SharePoint e o modo de Permissão do Projeto. Esses dois modos usam autorização baseada em declarações. As permissões que você precisa atribuir diferem, dependendo do modo de permissão que está configurado.
O modo de permissões do SharePoint cria grupos do SharePoint que correspondem diretamente aos grupos de segurança padrão encontrados no modo de permissão do Project Server. Esses grupos são usados para conceder aos usuários níveis variados de acesso a projetos e à funcionalidade do Project Server. O modo de permissão do SharePoint é novo no Project Server 2013.
Por padrão, as novas instâncias do Project Web App usam o modo de permissão do SharePoint. Em uma instalação local, o modo pode ser alterado para uma determinada instância do Project Web App usando o cmdlet do PowerShell Set-SPProjectPermissionModeWindows.
Modo de permissão do Project Server fornece um conjunto de grupos de segurança personalizáveis e outras funcionalidades distintas dos grupos do SharePoint. Essa plataforma de segurança funciona independentemente das permissões do SharePoint no farm e permite que você ajuste os níveis de permissão para os usuários do Project Web App. Este é o mesmo modo de permissão que estava disponível no Project Server 2010.
Para obter uma comparação dos recursos suportados em cada modo de segurança, consulte Planejar o acesso do usuário no Project Server 2013.
Se não tiver certeza de qual modo de permissão está configurado ou se você precisar alternar entre os modos de permissão, vá para essa seção.
Você criou grupos do Windows para gerenciar as contas de usuário com eficácia?
Para minimizar a adição de usuários ao TFS e ao Project Server, crie grupos do Active Directory ou do Windows. Em seguida, você pode adicionar esses grupos aos grupos do TFS, Project Server e sites do SharePoint que já tenham permissões predefinidas. Além disso, você pode sincronizar recursos com o Active Directory em vários domínios e florestas.
Para obter mais informações, consulte Gerenciar sincronização do grupo de segurança com o Active Directory no Project Server 2013.
1.Identificar todas as contas de serviço e o usuário que você precisa atribuir permissões
Identifique as contas de serviço, as contas de usuário ou grupos do Active Directory que foram configurados e terá acesso aos recursos que oferecem suporte à sincronização de dados entre o TFS e o Project Server.
Contas de serviço
Identifique as seguintes contas de serviço:
Conta de serviço para TFS
Abra o console de Administração do Team Foundation. Se for usada uma conta de serviço de rede, alterá-la para uma conta de domínio.
Conta de serviço para o Manipulador de Eventos do Project Server
No computador onde o Project Server está instalado, abra computador > Gerenciar serviços e localizar o serviço de eventos do Microsoft Project Server.
Contas de serviço que executam os pools de aplicativo web Project server
Pode haver mais de uma conta de serviço, dependendo do número de instâncias do PWA que participarão da sincronização de dados do TFS. Você precisa identificar o PWA de hospedagem appPool do SharePoint e o appPool de serviço PSI. Um nome de appPool GUID pode ser associado com o appPool de serviço PSI.
Abrir Central do SharePoint Site administração, gerenciamento de aplicativos, gerenciar aplicativo de serviço de aplicativo do Project Server.
Localize o site do SharePoint que hospeda a instância do PWA. Anote o número. Ele pode ser em uma ou mais portas, por exemplo, SharePoint 80 ou aplicativo da web do SharePoint.
Abra o Gerenciador do IIS, expanda sites e localizar os sites do SharePoint que correspondem do PWA que você identificou.
Para o Project Server 2010: configurações avançadas aberta para o Pool de aplicativo e você encontrará a identidade da conta para o AppPool.
Para o Project Server 2013: SharePoint expanda Serviços da web e expanda cada GUID até encontrar aquele que contém o serviço PSI do project. Nas Configurações Avançadas, identifique o Pool de aplicativos, que é o nome do pool de GUID.
No IIS, AppPools, localize a conta usada para executar este pool de aplicativos de GUID.
Contas de usuário
Identifique as seguintes contas de usuário ou grupos:
Contas de usuário que executarão o comando TFSProjectServer registerPWA
Contas de usuário que mapearão componentes para oferecer suporte à integração do Project Server do TFS, mas não registrarão PWAs
Usuários do Project Professional
Usuários atribuídos como recursos do projeto ou tem itens de trabalho de TFS atribuídos a eles
Esses usuários enviam atualizações de status que entram na fila de status do gerente de projeto
Dependendo da função, você deve conceder permissões para cada instância do PWA que participa da sincronização de dados no servidor do SharePoint, o pool de recursos da empresa e ao TFS.
2.Conceder permissões para acessar cada instância do PWA
Execute as seguintes tarefas, com base no modo de versão e a permissão usado na implantação. Você deve adicionar contas para cada instância do PWA que você irá registrar e mapear para um projeto de equipe.
Tarefa |
Definido para essa configuração: |
---|---|
2-1. Conceder permissões globais à conta de serviço do TFS |
|
2-2. Conceder permissões de categoria para a conta de serviço do TFS |
|
2 ou 3. Adicione contas ao grupo de segurança PWA:
|
|
2-4. Adicionar contas ao grupo de segurança PWA (modo SharePoint)
|
|
2-5. Adicione contas de usuário para o Pool de recursos do Active Directory corporativo |
|
Permissões Grant Global 2-1
Required for: and
Na página Configurações do PWA, abra Gerenciar Usuários e, em seguida, Novo Usuário.
Adicione a conta de serviço do TFS.
Digite as informações necessárias em cada campo. Observe o seguinte:
Desmarque a caixa de seleção O usuário pode ser atribuído como um recurso porque a conta é uma conta de serviço.
Para Autenticação do Usuário, digite o nome da conta de serviço para TFS.
Atribua as seguintes permissões Globais:
Admin: Gerenciar Campos Personalizados da Empresa, Gerenciar Eventos do Servidor, Gerenciar Serviços do Site e Gerenciar Usuários e Grupos.
Geral: Fazer Logon, Nova Atribuição de Tarefa e Reatribuir Tarefa.
Projeto: Criar Equipe em Novo Projeto.
Exibições: Exibir Aprovações, Exibir Central de Projetos, Exibir Central de Recursos e Exibir Central de Tarefas.
Salve as alterações.
Permissões de concessão categoria 2-2
Required for: and
Na home page do PWA, na área de Início Rápido, escolha Configurações do Servidor.
Em seguida, escolha Gerenciar Categorias e, em seguida, Nova Categoria.
Digite um nome para a categoria de conta de serviço, por exemplo, digite Manutenção de Conta.
Em Usuários Disponíveis, escolha o nome da conta de serviço para Team Foundation Server e escolha Adicionar.
Em Projetos, escolha Todos os projetos atuais e futuros no banco de dados do Project Server, em seguida, clique em Salvar.
Adicionar a conta de serviço do TFS conta de serviço e selecione as caixas de seleção para essas permissões Categoria:
Projeto: Abrir Projeto e Exibir Site do Projeto
Recurso: Exibir Dados de Recursos da Empresa
Adicionar contas de 2 a 3 para um grupo de segurança do PWA
Necessário para: e
Na página Configurações do PWA, abra Gerenciar Usuários, Novo Usuário e, em seguida, digite as informações necessárias em cada campo:
Desmarque a caixa de seleção O usuário pode ser atribuído como um recurso se a conta for uma conta de serviço.
Para Autenticação do Usuário, digite o nome da conta de usuário ou da conta de serviço para TFS.
Desmarque a caixa de seleção O recurso pode ser nivelado se a conta for um administrador ou uma conta de serviço.
Para Grupos de Segurança, adicione a conta ou grupo para um dos grupos padrão:
Administradores: conta de serviço do TFS e as contas de usuários que configuram a integração, os que registram ou cancelam registros de PWAs.
Gerentes de Projeto: usuários que trabalham com o Project Professional e PWA.
Membros da Equipe: usuários que foram designados como um recurso e que são atribuídos aos itens de trabalho do TFS.
Se tiver personalizado as permissões de Categoria, verifique se os membros da equipe possuem as seguintes Categorias de Segurança: Criar Nova Tarefa ou Atribuição, Criar Links de Objetos, Abrir Projeto, Exibir Site do Projeto e Exibir Cronograma do Projeto no Project Web App(Project Server 2010).
Para o Project Server 2013, o modo de permissão, selecione: projeto aberto, exibir o site do projeto e exibir cronograma do projeto no Project Web App.
Para modificar as permissões da categoria para um usuário selecionado em uma categoria, selecione a categoria na lista Categorias Selecionadas e, em seguida, selecione Permitir para as permissões que você deseja permitir.
Salve as alterações.
Para obter mais informações, consulte Adicionar uma conta de usuário no Project Server 2010 ou Planejar acesso do usuário no Project Server 2013.
Adicionar contas de 2 a 4 para um grupo de segurança do PWA (modo SharePoint)
Necessário para:
Na home page do PWA, abra Configurações do site no ícone de engrenagem.
Abra Administradores de Coleta de Site e adicione a conta de serviço do TFS.
Abra Pessoas e grupos.
Escolha o grupo ao qual você deseja adicionar contas.
Membros da Equipe para Project Web App: contas atribuídas como recursos no plano do projeto ou para o campo Atribuído a de um item de trabalho. Ou, adicione o grupo do Active Directory usado para gerenciar esses recursos.
Administradores do Project Web App: contas de serviço para Team Foundation Server, o pool de aplicativos Web do Project Server e o Manipulador de Eventos do Project Server. Além disso, adicione as contas de usuários que configuram a integração executando os comandos TfsAdmin ProjectServer RegisterPWA/UnRegisterPWA.
Administradores de Coleta de Site PWA : as contas de usuários que configuram a integração executando os comandos TfsAdmin ProjectServer RegisterPWA/UnRegisterPWA
Gerentes de Projetos para Project Web App: contas de usuários do Project Professional.
Dica
Para exibir todos os grupos padrão, escolha Mais.Para exibir permissões atribuídas a cada grupo, escolha Configurações, Exibir Permissões do Grupo.Para saber mais, consulte Planejar acesso do usuário no Project Server 2013.
Na página do grupo, escolha Novo, Adicionar usuários.
Digite o nome de cada conta ou grupo do Active Directory para adicionar ao grupo selecionado.
Escolha Compartilhar.
2-5 adicionar contas de usuário para o Pool de recursos do Active Directory corporativo
Necessário para: , , e
Na página de configurações do PWA, em políticas Operacionais, escolha a sincronização do pool de recursos do Active Directory.
Adicione o grupo do Active Directory dos membros da equipe TFS ao pool de recursos da empresa.
3.Conceder permissões ao SharePoint Server
Conceda as permissões especificadas usando a Administração Central do SharePoint. Ou, você pode usar o Windows PowerShell.
Tarefa |
Defina essas configurações: |
---|---|
3-1. Conceda permissões de Conexão de Controle Total para iniciar o Aplicativo de Serviço do Project Server
|
|
3-2. Adicione a conta de serviço do TFS para os administradores do site do SharePoint |
Permissões Grant Connect de controle completo de 3-1 para iniciar o aplicativo de serviço do Project Server
Necessário para: e
No servidor do SharePoint para Project Server, abra Administração Central do SharePoint e em Gerenciamento de Aplicativos, escolha Gerenciar aplicativos de serviço.
Realce a linha para Aplicativo de serviço do Project Server clicando na linha, mas não no nome do aplicativo. Na faixa de opções, escolha Permissões.
Digite o nome da conta de serviço do TFS e, em seguida, escolha Adicionar.
Certifique-se de que o nome da conta do serviço recém-adicionada esteja realçado e, em seguida, marque a caixa de seleção Controle Total. Escolha OK.
Repita as etapas 3 e 4, dessa vez adicione a conta de serviço para a conta de serviço do Manipulador de Eventos do Project Server. Se houver mais de uma conta de serviço, certifique-se de que adicioná-las.
Para obter mais informações, consulte Restringir ou habilitar o acesso a um aplicativo de serviço.
3-2.Adicione a conta de serviço do TFS ao grupo de administradores
Necessário para:
No servidor do SharePoint para o Project Server, abra Administração Central do SharePoint 2013 e escolha Configurações do Site no ícone de engrenagem.
Escolha Administradores de Conjunto de Sites.
Digite o nome da conta de serviço do TFS e escolha OK quando terminar.
4.Conceder permissões ao banco de dados do Project Server
Necessário para: , , e
Conceda permissões para a conta de serviço do TFS e para a conta de serviço do pool de aplicativos Web do Project Server para atualizar o banco de dados ou os bancos de dados para cada instância do PWA. Esta etapa é necessária para todas as implantações, Project Server 2010 e Project Server 2013.
No servidor de camada de dados para Project Server, abra o SQL Server Management Studio.
Na lista Tipo de servidor, selecione Mecanismo de Banco de Dados.
Em Nome do servidor, digite o nome do servidor que hospeda os bancos de dados do Project Server e escolha Conectar.
Dica
Se SQL Server estiver instalado em um cluster, digite o nome do cluster, e não o nome do computador.Se você tiver especificado uma instância nomeada, digite o servidor e o nome da instância no seguinte formato: DatabaseServer\InstanceName.
O SQL Server Management Studio é aberto.
Expanda Bancos de dados, clique com o botão direito do mouse no menu de contexto do banco de dados para a instância do PWA e escolha Propriedades:
Para Project Server 2010: PWA_Reporting ou PWA_Publishing
Para Project Server 2013: ProjectWebApp
Na página Permissões. Adicionar a conta de serviço do TFS, (necessário para Project Server 2010 e Project Server 2013, modo de permissão).
Para o SQL Server 2008: escolha Adicionar para adicionar uma conta.
Para o SQL Server 2012: escolha Pesquisar para adicionar uma conta.
Conceda essas permissões com base no banco de dados que você selecionou:
Para o Project Server 2010: PWA_Reporting: Alterar qualquer esquema, Criar tabela, Excluir, Executar, Inserir, Selecionar e Atualizar.
Para Project Server 2010: PWA_Publishing: Selecionar
Para o Project Server 2013: ProjectWebApp: Alterar qualquer esquema, Criar tabela, Excluir, Executar, Inserir, Selecionar e Atualizar.
Repita as etapas 5 a 6, neste momento adicione a conta de serviço do pool de aplicativos Web do Project Server. Isso é necessário para todas as implantações.
Repita as etapas de 4 a 7 para cada instância do PWA que participará da sincronização de dados com o TFS.
5.Adicionar contas de usuário ao grupo Administradores do Team Foundation
Necessário para: , , e
No servidor de camada de aplicativo, Abra o Console de administração do Team Foundation, abra Associação a um grupo.
Abra Administradores do Team Foundation.
Escolha o Grupo ou Usuário do Windows e, em seguida, escolha Adicionar.
Digite o nome das contas de usuários que configuram a integração executando os comandos TfsAdmin ProjectServer RegisterPWA/UnRegisterPWA.
6.Conceder permissões de integração de administrador do Project Server
Necessário para: , , e
Contas de usuários que configuram a integração do Project Server do TFS exigem a permissão Administrar Integração do Project Server definida para permitir. Defina isso para cada coleção de projeto mapeada para um PWA.
Na página de Segurança para a coleção de projeto, abra as permissões para uma conta de usuário ou uma conta do Windows que você adicionou ao TFS para administrar a integração do project server. Defina as permissões de Administrar Integração do Project Server para Permitir.
7.Adicione contas aos grupos do Team Foundation
Necessário para: , , e
Contas de usuários que trabalham no Project Professional ou TFS exigem permissões para exibir ou contribuir com o TFS.
Na página de segurança de administração de TWA do projeto de equipe, você pode adicionar contas para a coleção de projeto ou cada projeto de equipe. Adicione contas ou grupos do Active Directory para as funções apropriadas.
Verifique se as contas de usuário ou grupos foram adicionados aos seguintes grupos TFS para cada projeto de equipe que participarão da sincronização de dados:
Função de Colaborador: membros da equipe que trabalham em um projeto do TFS integrado ao Project Server. Isso inclui as contas de usuários atribuídas como recursos no plano do projeto ou para o campo Atribuído a de um item de trabalho. Esses usuários enviam atualizações de status que entram na fila de status do gerente do projeto.
Função de Leitor: usuários que modificam os planos de projeto da empresa que são mapeados para um projeto de equipe.
Para saber mais, veja Adicionar usuários a projetos da equipe.
Lista de verificação de permissão
Use a lista de verificação a seguir para examinar se todas as permissões foram definidas de acordo com o modo de versão e de autenticação. Lembre-se de que as permissões devem ser concedidas a contas para todas as instâncias do PWA, projetos de equipe e coleções de projetos que participarão da sincronização de dados entre o TFS e o Project Server. Se você personalizar uma função ou segurança categorias para uma função, você pode remover inadvertidamente as permissões necessárias.
Conta |
Permissões |
Project Server 2010 |
Project Server 2013 (modo de permissão) |
Project Server 2013 (modo SharePoint) |
Aplicativo |
---|---|---|---|---|---|
Conta de serviço para TFS |
Global e categoria permissões |
PWA |
|||
Administradores para o grupo Project Web App |
PWA |
||||
Grupo de Administradores de Coleção de Site |
Administração Central do SharePoint |
||||
Conectar permissões ao Aplicativo de Serviço do Project Server (Controle Total) |
Administração Central do SharePoint |
||||
Bancos de dados PWA_Reporting e PWA_Publishing |
SQL Server Management Studio |
||||
Banco de dados ProjectWebApp |
SQL Server Management Studio |
||||
Conta de serviço para o pool de aplicativos Web do Project Server (Observação 1) |
Administradores de grupo PWA |
PWA |
|||
Bancos de dados PWA_Reporting e PWA_Publishing |
SQL Server Management Studio |
||||
Banco de dados ProjectWebApp |
SQL Server Management Studio |
||||
Conta de serviço para o Manipulador de Eventos do Project Server |
Conectar permissões ao Aplicativo de Serviço do Project Server (Controle Total) |
Administração Central do SharePoint |
|||
Administradores de grupo PWA |
PWA |
||||
Contas de usuário que irão configurar a integração e executarão o comando TFSProjectServer registerPWA |
Administradores de grupo PWA |
PWA |
|||
Grupo de Administradores de Coleção de Site |
Administração Central do SharePoint |
||||
Grupo de Administradores do Team Foundation |
Console de administração do Team Foundation |
||||
Administrar a integração com o Project Server |
TWA |
||||
Contas de usuário que mapearão componentes para oferecer suporte à integração do Project Server do TFS, mas não registrarão PWAs |
Administrar a integração com o Project Server |
TWA |
|||
Usuários do Project Professional |
Grupo de Gerente de Projeto para cada instância do PWA |
PWA |
|||
Grupo de Leitores do TFS |
TWA |
||||
Usuários atribuídos como recursos do projeto ou tem itens de trabalho de TFS atribuídos a eles |
Membros da equipe para o grupo PWA App |
PWA |
|||
Categorias de segurança (nota 2), os membros da equipe (Note 2) |
PWA |
||||
Pool de projeto da empresa e ao pool de recursos de projeto para o plano de projeto |
PWA |
||||
Grupo de Colaboradores do TFS |
TWA |
Observações:
Algumas implantações podem ter mais de uma conta de serviço para o Pool de aplicativos Web do Project Server. Vá aqui para determinar as contas de serviço para esses pools de aplicativos.
As Categorias de Segurança atribuídas aos Membros da Equipe por padrão são suficientes; no entanto, se essas categorias têm sido personalizadas, algumas permissões podem ter sido removidas. As seguintes categorias são necessárias: Criar Nova Tarefa ou Atribuição, Criar Links de Objeto, Abrir Projeto, Exibir Site de Projeto, Exibir o Cronograma do Projeto no Aplicativo da Web do Projeto (Project Server 2010), Abrir Projeto, Exibir Site do Projeto e Exibir o Cronograma do Projeto no Aplicativo da Web do Projeto (Project Server 2013, modo de permissão do Projeto).
Perguntas e respostas
P: Como determinar ou alterar o modo de autenticação no SharePoint 2010?
A: No site de Administração Central do SharePoint 2010, abra Gerenciar aplicativos da web na seção Gerenciamento de Aplicativos e, em seguida, abra o aplicativo PWA.
Verifique se a Autenticação de modo clássico está selecionada.
Se não estiver, você precisará criar uma nova instância do PWA que usa a autenticação clássica do Windows.
P: como determinar o modo de permissão do SharePoint 2013?
A: Na home page do PWA, use o ícone de engrenagem para abrir as Configurações PWA.
Se o modo de Permissões do SharePoint estiver definido, você verá esta página:
Se o modo de Permissões do Projeto estiver definido, você verá essa página, que inclui uma seção intitulada Segurança. Você também verá links adicionais:
P: Como alternar entre os modos de permissão no Project Server 2013?
A: por padrão, os aplicativos PWA são criados usando o modo de permissão do SharePoint.
Se você alternar do modo de permissão do SharePoint para o modo de permissão clássico do Project Server, você precisa configurar manualmente a estrutura de permissões de segurança no Project Server 2013. Alternar entre o modo de permissão do SharePoint e o modo de permissão do Project Server exclui todas as configurações relacionadas à segurança.
Para alterar o modo de permissão, consulte Set-SPProjectPermissionMode.
P: Quais outros recursos estão disponíveis?
A: é possível encontrar respostas para perguntas adicionais dos seguintes recursos:
Project Server 2010 |
Microsoft Project Server 2013 |
---|---|
Consulte também
Tarefas
Configurar a integração TFS-Project Server
Conceitos
Referência rápida da configuração
Visão geral do processo de sincronização para integração do TFS com o Project Server
Administrar a integração do Team Foundation Server com o Project Server