Синхронизация профилей и ролей (Duet Enterprise)

 

Применимо к: Duet Enterprise for Microsoft SharePoint and SAP

Последнее изменение раздела: 2015-03-09

В этой статье описан способ включения синхронизации роли для Duet Enterprise для Microsoft SharePoint и SAP. В рамках данной статьи предполагается следующее:

• Администратором SAP создано сопоставление пользователей SAP с ролями SAP в системе SAP.

• Администратором SharePoint запущена служба синхронизации профилей пользователей и создано подключение синхронизации профиля с доменной службой Active Directory, которая содержит учетные записи пользователей, используемые фермой SharePoint Server. Сведения о выполнении этих процедур см. в разделе Настройка синхронизации профилей (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=202966&clcid=0x419).

• Администратором SharePoint выполнена синхронизация доменной службы Active Directory с хранилищем профилей пользователей SharePoint. Выполните инструкции, приведенные в статье Perform nonrecurring profile synchronization (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=201163&clcid=0x419) (Возможно, на английском языке), чтобы осуществить синхронизацию данных профиля пользователя между доменной службой Active Directory и SharePoint Server 2010.

Содержание:

• Активация компонента поставщика утверждений Duet Enterprise

• Предоставление разрешений для хранилища метаданных

• Проверка наличия разрешений на полный доступ у администраторов ферм

• Предоставление учетной записи службы таймера SharePoint 2010

• Настройка файла thisProduct_installer.exe.config

• Настройка синхронизации профиля

• Синхронизация профилей SAP с хранилищем профилей пользователей SharePoint

• Предоставление разрешений роли SAP для сайта

Активация компонента поставщика утверждений Duet Enterprise

Примечание

Для выполнения этой процедуры необходимо быть участником группы администраторов фермы.

Включение компонента поставщика утверждений Duet Enterprise

1. На веб-сайте центра администрирования в панели быстрого запуска выберите пункт Центр администрирования.

2. В разделе Параметры системы выберите пункт Управление возможностями фермы.

3. В строке "Поставщик утверждений ролей SAP Duet Enterprise" щелкните Активировать.

   Значение в столбце состояния изменится на Активно. При активации поставщика утверждений роли SAP становятся доступными в средстве выбора людей после синхронизации хранилища профилей пользователей SharePoint Server 2010 с хранилищем профилей SAP.

Предоставление разрешений для хранилища метаданных

Примечание

Для выполнения этой процедуры необходимо быть участником группы администраторов фермы.

Предоставление разрешений для хранилища метаданных

1. На панели быстрого запуска в центре администрирования щелкните Управление приложениями.

2. В разделе Приложения-службы выберите Управление приложениями-службами.

3. В столбце Имя щелкните ссылку Приложение-служба подключения к бизнес-данным.

4. В диалоговом окне Разрешения на ленте щелкните Задание разрешений хранилища метаданных.

5. В диалоговом окне "Задание разрешений хранилища метаданных" в поле вверху укажите учетную запись администратора, выполняющего развертывание Duet Enterprise.

   При использовании листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419), это имя отображается в строке "Настройка учетной записи пользователя" Таблицы 3 этого листа.

6. Нажмите кнопку Добавить.

7. В разделе Разрешения для всех пользователей, прошедших проверку подлинности (внизу) установите флажок Выполнить.

8. Нажмите кнопку ОК.

   Примечание

   Если ни одному пользователю не было предоставлено разрешение на установку разрешений в отношении хранилища метаданных, отобразится следующее сообщение об ошибке: "Во избежание создания неуправляемого объекта хотя бы один пользователь/группа в списке "Управление доступом" должен иметь право на установку разрешений". Для устранения этой ошибки следует предоставить хотя бы одному пользователю разрешение на установку разрешений, касающихся хранилища метаданных.

Проверка наличия у администраторов фермы разрешений на полный доступ и имени приложения-службы профилей пользователей

Используйте эту процедуру для проверки наличия у участников группы "Администраторы фермы" разрешений на полный доступ для службы профилей пользователей по умолчанию и приложения-службы Служба подключения к бизнес-данным в ферме SharePoint. Это разрешение необходимо предоставить администратору фермы, который будет настраивать синхронизацию профилей, описанную далее в этой статье.

Совет

SharePoint Server 2010 поддерживает использование нескольких приложений-служб профилей пользователей. Тем не менее синхронизация ролей Duet Enterprise функционирует только с приложением-службой профилей пользователей по умолчанию.

Примечание

Для выполнения этой процедуры необходимо быть участником группы "Администраторы фермы" или администратором приложения-службы профилей пользователей.

Проверка наличия у администратора фермы разрешений на полный доступ

1. На панели быстрого запуска в центре администрирования щелкните Центр администрирования.

2. В разделе Управление приложениями выберите пункт Управление приложениями-службами.

3. В столбце Тип щелкните строку, которая содержит приложение-службу профилей пользователей по умолчанию, чтобы выбрать ее.

4. Имя приложения-службы профилей пользователей отображается в столбце Имя. Запомните имя этого приложения-службы, поскольку оно понадобится вам при выполнении последующих процедур.

   При использовании листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419), введите это имя в строку "Имя приложения-службы профилей пользователей" Таблицы 1 этого листа.

5. В группе Общий доступ на ленте щелкните элемент Разрешения.

6. В диалоговом окне "Разрешения подключения" проверьте, чтобы администратору фермы были предоставлены разрешения на полный доступ.

7. Нажмите кнопку ОК.

8. В столбце Тип выберите Приложение-служба подключения к бизнес-данным для службы, которая используется для синхронизации ролей.

9. В группе Общий доступ на ленте щелкните элемент Разрешения.

10. В диалоговом окне "Разрешения подключения" проверьте, чтобы администратору фермы были предоставлены разрешения на полный доступ.

Предоставление учетной записи службы таймера SharePoint 2010

Необходимо предоставить администратору SAP учетную запись пользователя, назначенную для службы таймера SharePoint 2010 (служба SPTimerV4). Администратор SAP должен проверить, чтобы эта учетная запись была сопоставлена с пользователем SAP, которому предоставлены достаточные разрешения в системе SAP для отправки запросов назначения UserRoles.

Примечание

Для выполнения этой процедуры необходимо быть участником группы администраторов Windows.

Получение учетной записи пользователя для службы таймера SharePoint 2010

1. Выполните вход на интерфейсный веб-сервер фермы SharePoint Server 2010, используя учетные данные участника группы "Администраторы".

2. Нажмите кнопку Пуск, последовательно выберите пункты Администрирование и Службы.

3. В столбце Имя щелкните правой кнопкой мыши Таймер SharePoint 2010 и выберите Свойства.

4. В диалоговом окне "Свойства таймера SharePoint 2010" на вкладке Вход в систему обратите внимание на имя учетной записи, отображаемой в текстовом поле Эта учетная запись.

5. Сообщите имя этой учетной записи администратору SAP.

   При использовании листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419), введите имя этой учетной записи в формате "домен/учетная запись" в строку "Учетная запись службы таймера SharePoint 2010" Таблицы 1 этого листа.

6. Нажмите кнопку ОК, чтобы закрыть диалоговое окно "Свойства таймера SharePoint 2010".

Настройка файла DuetConfig.exe.config

Для настройки параметров в узле ProfileSynchronization файла DuetConfig.exe.config.xml, используемых функцией синхронизации ролей, выполните следующие действия. Эти параметры используются заданием таймера SharePoint, применяемым для синхронизации хранилища профилей пользователей SharePoint с хранилищем профилей SAP.

Примечание

Для выполнения этой процедуры необходимо быть участником группы администраторов Windows.

Настройка файла DuetConfig.exe.config

1. Откройте окно командной строки и перейдите к папке <диск>:\Program Files\Duet Enterprise\1.0.

   Здесь:

   <диск> — это диск, на котором хранятся файлы Duet Enterprise.

2. В командной строке введите "notepad DuetConfig.exe.config" и нажмите клавишу ВВОД.

3. В файл DuetConfig.exe.config добавьте значения для следующих ключей в узле ProfileSychronizations: UserProfileServiceApplicationName, LOBSystemInstanceName, EntityName, EntityNamespace, MethodInstanceName, Batchsize и MembershipProvider.

   В следующих разделах приведены подробные инструкции в отношении значений для этих ключей.

Ключ UserProfileServiceApplicationName

Значение UserProfileServiceApplicationName должно быть установлено для имени приложения-службы профилей пользователей, которые будут использоваться для синхронизации профиля со средой SAP. Обратите внимание, что по умолчанию для этого приложения-службы используется имя "Приложение службы профилей пользователей". Это имя может быть изменено администратором, или допускается наличие нескольких приложений "Приложение службы профилей пользователей".

При использовании листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419), это имя отображается в строке "Имя приложения-службы профилей пользователей" Таблицы 1 этого листа.

Установка значения для ключа UserProfileServiceApplicationName

• Если имя приложения-службы профилей пользователей, которое будет использоваться для Duet Enterprise не является значением по умолчанию, отображаемым в файле DuetConfig.exe.config (приложение-служба профилей пользователей), измените значение ключа "UserProfileServiceApplicationName" на имя приложения-службы профилей пользователей.

Ключи LOBSystemInstanceName, EntityName, EntityNamespace, и MethodInstanceName

В большинстве случаев значения по умолчанию для ключей LOBSystemInstanceName, EntityName, EntityNamespace и MethodInstanceName в файле DuetConfig.exe.config являются приемлемыми, поскольку совпадают со значениями, отображаемыми в моделях подключения к бизнес-данным UserRoles.xml, предоставляемых в рамках Duet Enterprise. При изменении администратором SAP значений этих ключей в файле UserRoles.xml необходимо настроить значения в файле DuetConfig.exe.config, чтобы они были идентичны.

Просмотр файла UserRoles.xml

1. Из учетной записи администратора откройте окно командной строки и перейдите к папке, содержащей нераспакованные файлы модели.

   При использовании листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419), расположение нераспакованных файлов модели отображается в строке "Расположение нераспакованных файлов модели" Таблицы 1 этого листа.

2. В окне командной строки введите notepad UserRoles.xml и нажмите клавишу ВВОД.

Проверка и обновление значений ключей

1. В файле UserRoles.xml найдите ключ LOBSystemInstance.

2. Если для свойства Name установлено значение “SAPUsersService”, перейдите к шагу 4. В ином случае перейдите к шагу 3.

3. Измените значение ключа LOBSystemInstanceName в файле DuetConfig.exe.config в соответствии со значением свойства Name ключа LOBSystemInstance из файла UserRoles.xml.

4. В файле UserRoles.xml найдите ключ Entity. Если для свойства Name установлено значение SAPUsers, перейдите к шагу 6. В противном случае перейдите к шагу 5.

5. Измените значение ключа EntityName в файле DuetConfig.exe.config в соответствии со значением свойства "Name" узла Entity в файле UserRoles.xml.

6. Если для свойства "Namespace" ключа Entity в файле UserRoles.xml установлено значение “SAP.Office.DuetEnterprise.Roles”, перейдите к шагу 8. В противном случае перейдите к шагу 7.

7. Измените значение ключа EntityName в файле DuetConfig.exe.config соответствующим образом.

8. В файле UserRoles.xml найдите ключ MethodInstanceName. Если для ключа MethodInstanceName установлено значение “employeeGetAll”, перейдите к шагу 9. В противном случае измените значение ключа MethodInstanceName key в файле DuetConfig.exe.config в соответствии со значением свойства MethodInstanceName в файле UserRoles.xml.

9. Закройте файл UserRoles.xml.

Ключ Batchsize

Можно использовать параметр Batchsize для указания максимального количество учетных записей пользователей, которые могут быть синхронизированы за один вызов сети. По умолчанию используется значение 100. Изменив это значение на более, можно добиться большей производительности при синхронизации ролей. Тем не менее определять оптимальное значение для вашего развертывания придется экспериментальным путем.

Ключ MembershipProvider

Этот ключ не используется. Он предоставляется исключительно как возможное вспомогательное средство. Рекомендуется принять значение по умолчанию для этого ключа (значение “membership”).

Настройка синхронизации профилей

Цель этой процедуры — установить подключение Business Connectivity Services между системами SharePoint и SAP и обновить параметры определения задания синхронизации профилей, которое будет использоваться в последующих процедурах синхронизации хранилищ профилей SharePoint и SAP.

Примечание

Для выполнения этой процедуры необходимо принадлежать к группе "Администраторы фермы SharePoint".

Настройка синхронизации профилей

1. Откройте окно командной строки и перейдите к папке <диск>:\Program Files\Duet Enterprise\1,0 folder.

   Здесь: <диск> — это диск, на котором хранятся все файлы Duet Enterprise.

2. В командной строке введитеDuetConfig.exe /configureprofileSync и нажмите клавишу ВВОД.

   По завершении настройки синхронизации профилей отобразится сообщение "Обновление параметров указанного задания синхронизации профилей успешно завершено".

Синхронизация профилей SAP с хранилищем профилей пользователей SharePoint

Примечание

Для выполнения этой процедуры необходимо быть участником группы администраторов фермы.

Перед тем как приступить к данной процедуре, выполните указанные ниже действия.

• Убедитесь, что администратор SAP настроил SAML для создания конечной точки.

  При использовании листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419), для строки "SAML настроен (Да/Нет)" Таблицы 2 этого листа устанавливается значение "Да", если настройка SAML была выполнена.

• Убедитесь, что задание "Синхронизация ролей для потребителей" завершило работу в системе SAP.

  Администратор SAP должен периодически запускать задание "Синхронизация ролей для потребителей" для синхронизации ролей пользователей в системе SAP с хранилищем профилей на сервере с SAP NetWeaver. Не рекомендуется синхронизировать хранилище профилей пользователей SAP с хранилищем профилей пользователей SharePoint, пока администратор SAP не выполнит это задание синхронизации. В противном случае для выполнения задания синхронизации хранилища профилей SAP с хранилищем профилей пользователей SharePoint может потребоваться гораздо больше времени. Обратите внимание, что для синхронизации 100 000 пользователей заданию "Синхронизация ролей для потребителей" требуется приблизительно 80 минут, в то время как при синхронизации хранилища профилей в SAP NetWeaver с хранилищем профилей пользователей SharePoint на обработку 100 000 пользователей требуется приблизительно 100 минут. Если планируется запускать эти задания по расписанию, рекомендуется сначала запустить их вручную, чтобы определить, сколько времени требуется на их выполнение в конкретной системе.

Синхронизация профилей

1. На панели быстрого запуска в центре администрирования щелкните Мониторинг.

2. На странице "Мониторинг" в разделе Задания таймера выберите Просмотр определений заданий.

3. На странице "Определение задания" в столбце Заголовок щелкните ссылку "Синхронизация профилей Duet Enterprise для <Имя приложения-службы профилей пользователя>".

   Здесь: <Имя приложения-службы профилей пользователей> — имя приложения-службы профилей пользователей, используемого для синхронизации ролей.

   Совет

   По умолчанию используется следующее имя для этой ссылки: "Синхронизация профилей Duet Enterprise для приложения-службы профилей пользователей".

   При использовании листа развертывания (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x419) это имя отображается в строке "Имя службы подключения к бизнес-данным" Таблицы 1.

4. На странице "Изменение задания таймера" нажмите кнопку Выполнить.

   Примечание

   Для этого задания таймера настроен ежедневный запуск, однако если это отрицательно влияет на производительность, можно изменить настройки, чтобы задание запускалось реже.

   Дополнительные сведения о заданиях таймера SharePoint см. в статье Просмотр состояния задания таймера (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=204641&clcid=0x419).

Предоставление разрешений роли SAP для сайта

По завершении синхронизации хранилища профилей пользователя SAP с хранилищем профилей пользователей SharePoint можно выполнить эту процедуру, чтобы предоставить пользователям разрешения в отношении сайта на основе их ролей SAP. Обратите внимание, что поддерживаются только сайты, использующие проверку подлинности на основе утверждений.

Совет

Для этой процедуры требуется предварительная синхронизация ролей SAP с хранилищем профилей пользователей SharePoint.

Примечание

Для выполнения этой процедуры необходимо быть владельцем сайта.

Предоставление разрешений в отношении сайта для роли SAP

1. В браузере перейдите к сайту, для которого необходимо включить роли SAP.

2. В меню Действия сайта выберите Разрешения сайта.

3. В группе Предоставление на ленте щелкните Предоставить разрешения.

4. В диалоговом окне "Предоставление разрешений" в разделе Выбор пользователей щелкните элемент Обзор.

   Совет

   Элемент "Обзор" представлен значком, похожим на книгу.

5. В поле Найти введите часть имени роли SAP, которую требуется найти, и нажмите кнопку Поиск.

6. Выберите имя роли SAP, выберите Добавить и нажмите кнопку OK.

7. В диалоговом окне "Предоставление разрешений" в разделе Предоставление разрешений выберите группу, в которую требуется добавить пользователя, и нажмите кнопку OK.