Planen der Sicherheit für Duet Enterprise
Gilt für: Duet Enterprise for Microsoft SharePoint and SAP
Letztes Änderungsdatum des Themas: 2011-10-19
In diesem Artikel wird erläutert, wie Sie die sichere Bereitstellung und die Vorgänge von Duet Enterprise für Microsoft SharePoint und SAP planen. Außerdem enthält der Artikel eine Vorstellung der Sicherheitsarchitektur von Duet Enterprise und Beschreibungen der Sicherheitskonfigurationsstrategien für allgemeine Duet Enterprise-Szenarien, der Konfiguration von Berechtigungen in Duet Enterprise auf der Grundlage von SAP-Rollen, der Implementierung der Sicherheit für verschiedene Elemente der Duet Enterprise-Umgebung sowie der Rollen und Konten, die Sie für die sichere Verwaltung von Duet Enterprise benötigen.
Wichtig
In diesem Artikel wird die Sicherheitsplanung für Duet Enterprise im Kontext einer Microsoft SharePoint Server-Serverfarm erläutert. Eine entsprechende Erläuterung der Sicherheit von Duet Enterprise aus der Perspektive der SAP-Umgebung finden Sie im SAP-Sicherheitshandbuch für Duet Enterprise im SAP-Supportportal (https://go.microsoft.com/fwlink/?linkid=205294&clcid=0x407). Erweitern Sie im linken Bereich des SAP-Supportportals den Abschnitt für SAP Business Suite-Anwendungen, erweitern Sie Duet Enterprise, erweitern Sie Duet Enterprise 1.0, und laden Sie dann das entsprechende Handbuch herunter.
Die Sicherheit von Duet Enterprise in SharePoint Server basiert auf den Sicherheitsfunktionen von SharePoint Server 2010. Zusätzlich zu diesem Artikel sollten Sie Inhalte lesen, in denen das Planen und Implementieren der allgemeinen Sicherheit von SharePoint Server beschrieben wird. Weitere Informationen finden Sie im Ressourcencenter für Sicherheit und AuthentifizierungMicrosoft Business Connectivity Services zu lesen. Weitere Informationen zur Sicherheit von Microsoft Business Connectivity Services und zu verwandten Bereichen finden Sie im Ressourcencenter für Business Connectivity Services (https://go.microsoft.com/fwlink/?linkid=190217&clcid=0x407).
Inhalt dieses Dokuments
Sicherheitsarchitektur von Duet Enterprise
Konfigurieren der Sicherheit für allgemeine Duet Enterprise-Authentifizierungsszenarien
Verwenden von SAP-Rollen zum Erteilen von Berechtigungen für den Zugriff auf SharePoint-Objekte für Benutzer
Empfohlene SharePoint Server-Sicherheitsmethoden in Duet Enterprise
Sicherheitsarchitektur von Duet Enterprise
In Duet Enterprise werden Geschäftsprozesse und im SAP-System gespeicherte Daten auf SharePoint Server 2010-Websites und in Microsoft Office 2010-Produktfamilie-Clients wie beispielsweise Microsoft Outlook und SharePoint Workspace angezeigt. Die für den Zugriff auf SharePoint Server 2010- und Microsoft Office 2010-Produktfamilie-Clients verwendeten Benutzerkonten können jedoch verwendet werden, um direkt in SAP auf die Informationen zuzugreifen. In der Sicherheitsarchitektur von Duet Enterprise wird dieses Problem gelöst durch Konfigurieren des WCF-Konnektors (Windows Communications Foundation) für Microsoft Business Connectivity Services, der in SharePoint Server 2010 enthalten ist. Dieser WCF-Konnektor interagiert mit dem Sicherheitstokendienst in SharePoint Server 2010 und mit SAP NetWeaver im SAP-System. Das Ziel dieser Implementierung besteht darin, Benutzeridentitäten in SharePoint Server 2010 Benutzerkonten in SAP-System zuzuordnen, damit ein Benutzer, der sich bei der SharePoint Server 2010-Website anmeldet, auf die im SAP-System gespeicherten externen Daten zugreifen kann, ohne sich beim SAP-System erneut anmelden zu müssen.
In der folgenden Grafik sehen Sie eine allgemeine Ansicht der Funktionsweise der Authentifizierung in Duet Enterprise. Dort werden die Schritte gezeigt, die ausgeführt werden, wenn ein SharePoint-Benutzer über eine Duet Enterprise-Website in SharePoint Server auf SAP-Informationen zugreift.
.jpg "Duet Enterprise-Authentifizierung")
Die Identität des SharePoint-Benutzers (ein Token, das dem Benutzer bei der Anmeldung zugeordnet wird) wird an den WCF-Konnektor für Microsoft Business Connectivity Services gesendet.
Vom Konnektor wird die Identität des SharePoint-Benutzers an den SharePoint-Sicherheitstokendienst gesendet.
Der SharePoint-Sicherheitstokendienst identifiziert den Benutzer und ändert das Token, um den SharePoint Benutzer gegenüber dem SAP-System zu identifizieren. Dann wird das Token vom SharePoint-Sicherheitstokendienst an den WCF-Konnektor zurückgegeben.
Anschließend wird das geänderte Token in einem SOAP-Anforderungspaket an SAP NetWeaver gesendet.
Da bei der Bereitstellung eine Vertrauensstellung zwischen SAP NetWeaver und dem Sicherheitstokendienst erstellt wird, kann das Token von SAP NetWeaver verwendet werden, um das SAP-Benutzerkonto zu suchen, das dem im Token identifizierten Benutzer zugeordnet ist.
Das SAP-Benutzerkonto, das dem im Token identifizierten Benutzer zugeordnet ist, wird an SAP NetWeaver zurückgegeben.
Von SAP NetWeaver wird das SAP-Benutzerkonto verwendet, um Zugriff auf die Informationen im SAP-System anzufordern. Wenn das Benutzerkonto für den Zugriff auf diese Informationen autorisiert ist, werden die angeforderten Informationen an SAP NetWeaver gesendet.
Die angeforderten Informationen werden von SAP NetWeaver als SOAP-Antwort an den WCF-Konnektor (Windows Communications Foundation) für Microsoft Business Connectivity Services gesendet.
Vom WCF-Konnektor Microsoft Business Connectivity Services werden die Informationen dem SharePoint-Benutzer übergeben.
Hinweis
Die Autorisierung in Duet Enterprise kann auf SAP-Rollen basieren. Weitere Informationen finden Sie unter Verwenden von SAP-Rollen zum Erteilen von Berechtigungen für den Zugriff auf SharePoint-Objekte für Benutzer.
Die Benutzerkonten im SAP-System werden zuerst vom SAP-Administrator den Konten im SAP-System zugeordnet. Detaillierte Informationen zu diesem Vorgang finden Sie im SAP-Sicherheitshandbuch für Duet Enterprise.
Tipp
-
Weitere Informationen zur anspruchsbasierten Authentifizierung in SharePoint Server 2010 finden Sie unter Planen von Authentifizierungsmethoden (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=134742&clcid=0x407).
-
Weitere Informationen zum SharePoint Server 2010-Benutzerprofildienst finden Sie unter Benutzerprofildienst (Übersicht) (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205678&clcid=0x407)
Allgemeine Duet Enterprise-Authentifizierungsszenarien
In diesem Abschnitt werden die zwei gängigsten Duet Enterprise-Szenarien und die empfohlene Authentifizierungskonfiguration für das jeweilige Szenario beschrieben. Zu den Schlüsselfaktoren, durch die sich die Szenarien unterscheiden, gehören folgende:
Implementieren Sie eine einzelne Lösung oder mehrere Lösungen basierend auf Duet Enterprise?
Ist Secure Sockets Layer zum Verschlüsseln der Kommunikationskanäle erforderlich?
Wie im vorherigen Abschnitt beschrieben umfasst die Sicherheit von Duet Enterprise die Rollen und Konten im SAP-System und im SharePoint Server 2010-System. Diese integrierte Authentifizierungsarchitektur wird mithilfe von anspruchsbasierter Authentifizierung zusammen mit Windows-Authentifizierung implementiert, und diese Methoden sind für beide in diesem Abschnitt beschriebene Szenarien erforderlich.
Wichtig
Formularbasierte Authentifizierung wird in dieser Version von Duet Enterprise nicht unterstützt.
Tipp
Die meisten in diesen Szenarien beschriebenen Konfigurationsschritte werden beim Erstellen der Webanwendungen ausgeführt, die die Duet Enterprise-Lösungen enthalten sollen. Die Schritte zum Konfigurieren einer Webanwendung finden Sie unter Erstellen einer Webanwendung (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=202008&clcid=0x407).
Szenario: Unternehmensintranet mit Microsoft Windows-Authentifizierungsanbieter
Dies ist das typischste Duet Enterprise-Authentifizierungsszenario. Ein Unternehmen kann beispielsweise Mitarbeiterdaten (z. B. Informationen zur Zeiterfassung, zu Gehältern und Leistungen) in einem SAP-Remotesystem verwalten. Alle Benutzer greifen über das Duet Enterprise-Intranetportal des Unternehmens auf diese Daten zu. Alle Mitarbeiter greifen über den gleichen Active Directory-Domänendienste-Anbieter auf das Portal zu.
Dieses Szenario kann wie folgt konfiguriert werden:
Anzahl der Webanwendungen |
Eine |
Zonen |
Eine Zone: Intranet |
Authentifizierung |
Anspruchsbasierte Authentifizierung |
Anspruchsauthentifizierungstyp |
Windows-Authentifizierung |
Secure Sockets Layer? |
Ja |
Szenario: Zwei Duet Enterprise-Lösungen im Intranet
In einem großen Unternehmen verwenden möglicherweise zwei Arbeitsgruppen das gleiche SAP-System, beispielsweise für Interaktionen mit der Produktinformationsdatenbank. Jeder Arbeitsgruppe interagiert über eine eigene Duet Enterprise-Lösung mit den Daten. Die Informationen im SAP-System sind in diesem Unternehmen nicht vertraulich. Daher wird in diesem Szenario Secure Sockets Layer nicht verwendet, um die Leistung der Duet Enterprise-Websites zu erhöhen.
Dieses Szenario kann wie folgt konfiguriert werden:
Anzahl der Webanwendungen |
Zwei |
Zonen |
Eine Zone pro Webanwendung: Intranet |
Authentifizierung |
Anspruchsbasierte Authentifizierung |
Anspruchsauthentifizierungstyp |
Windows-Authentifizierung in beiden Webanwendungen |
Secure Sockets Layer? |
Nein |
Verwenden von SAP-Rollen für den Zugriff auf SharePoint-Objekte
In einem Unternehmen sind die Aufgaben, die ein Benutzer ausführt, normalerweise mit dessen Rolle verbunden. Daher ist der ausschlaggebende Faktor dafür, ob ein Benutzer eine bestimmte Berechtigungsstufe für ein Objekt haben sollte, häufig die Rolle des Benutzers selbst. Deswegen sind Rollen eine nützliche Möglichkeit, Berechtigungen für Objekte wie beispielsweise Listenelemente, Websites und Dokumente zuzuweisen.
In SAP NetWeaver werden Benutzern eine oder mehrere Rollen zugewiesen, beispielsweise Vertriebsmitarbeiter, Projektmanager, Führungskraft und Spezialist für Personalwesen. SAP-Rollen können allgemein (beispielsweise Alle Vertriebsmanager) oder konkreter (beispielsweise Vertriebsmanager Region Ost) sein. In Duet Enterprise können diese SAP-Rollen verwendet werden, um auf Objekte in SharePoint Server zuzugreifen. Jedem Objekt, auf das in SharePoint Server Berechtigungen angewendet werden können, können mithilfe von SAP-Rollen Berechtigungen zugewiesen werden. Dazu gehören Objekte, die sich direkt auf Duet Enterprise beziehen (beispielsweise Berichte, externe Listen und Aktionen für externe Inhaltstypen), sowie alle allgemeinen und sicherungsfähigen SharePoint Server-Objekte (beispielsweise Websites oder Dokumentbibliotheken). Wenn einer Rolle Berechtigungen für ein Objekt erteilt wurden, verfügt jeder Benutzer, dem diese Rolle zugewiesen ist, über Berechtigungen zur Verwendung des Objekts.
Benutzern können nur in SAP NetWeaver Rollen zugewiesen werden. In Duet Enterprise wird das Feature Zeitgeberauftrag für die Duet Enterprise-Profilsynchronisierung verwendet, um die Benutzerrollenzuweisungen aus dem SAP-System in SharePoint Server zu übernehmen. Mithilfe des Duet Enterprise-Anspruchsanbieters werden die rollenbasierten Berechtigungen für sicherungsfähige Objekte in SharePoint Server verwaltet.
Bei der Rollensynchronisierung wird der Satz der SAP-Benutzer mithilfe von Microsoft Business Connectivity Servicesin den SharePoint-Benutzerprofilspeicher importiert. Für jeden SAP-Benutzer werden alle diesem Benutzer zugewiesenen SAP-Rollen im Benutzerprofilspeicher aufgelistet. Bei der Rollensynchronisierung wird eine Verbindung zwischen SharePoint Server und einem externen System auf der SAP-Seite (SAPUsersService) hergestellt. Von diesem externen System werden die Zuordnungen von Benutzern zu Rollen an den SharePoint Benutzerprofilspeicher gesendet. Die Rollensynchronisierung wird normalerweise mithilfe des Zeitgeberauftrags für die Duet Enterprise-Profilsynchronisierung als Schritt nach der Bereitstellung in festgelegten Intervallen ausgeführt. Sie können angeben, wie oft Rollen synchronisiert werden sollen und wie viele Benutzer jeweils importiert werden sollen.
Nach Abschluss der Rollensynchronisierung können Benutzer einem Objekt in SharePoint Server Berechtigungen für SAP-Rollen zuweisen. Rollen werden Objekten mithilfe der gleichen Personenauswahlschnittstellen zugewiesen, mit denen Gruppen und Personen ausgewählt werden. Wie in der Grafik gezeigt kommuniziert der Duet Enterprise-Anspruchsanbieter mithilfe von Business Data Connectivity Service mit dem SAP-System (1 und 2), um alle SAP-Rollen zu sammeln und aufzulisten, die der Benutzer in der Personenauswahl auswählen kann (3). Der Benutzer kann dann diese Rollen jedem Objekt zuweisen, für das Berechtigungen festgelegt werden können (4).
.gif "Verwenden von Duet Enterprise-Rollen in der Personenauswahl")
Wenn einer SAP-Rolle Berechtigungen für ein Objekt wie beispielsweise ein Listenelement oder ein Dokument erteilt wurden, kann ein Benutzer basierend auf seiner Rolle autorisiert werden, das Objekt zu verwenden. Wie in der Grafik gezeigt wird einem Benutzer bei der ersten Anmeldung bei einer SharePoint-Website (1) ein SAML-Forderungstoken (2) ausgestellt, das vom Duet Enterprise-Anspruchsanbieter während der Kommunikation mit dem Benutzerprofilspeicher erhöht wird, indem die SAP-Rollen des Benutzers dem SAML-Token hinzugefügt werden (3 und 4). Dann kann dem Benutzer in SharePoint Server der Zugriff auf das Objekt gewährt werden, wenn eine der Rollen des Benutzers über Berechtigungen für das Objekt verfügt (5 und 6).
.gif "Rollenbasierte Berechtigungen in Duet Enterprise")
Hinweis
Wenn die Rolle eines Benutzers im SAP-System geändert wird, dauert es eine Weile, bis die Änderung an das SharePoint-System weitergegeben wird. Dadurch wird möglicherweise vorübergehend verhindert, dass die Benutzer anhand ihrer neuen Rollen autorisiert werden. Das Weitergeben von Rollenänderungen kann beschleunigt werden, indem der Befehl iisreset auf jedem Front-End-Server in der SharePoint-Serverfarm ausgeführt wird. Dadurch werden Rolleninformationen im Cache gelöscht und durch aktualisierte Rollenzuweisungen ersetzt.
Empfohlene SharePoint Server-Sicherheitsmethoden in Duet Enterprise
Duet Enterprise wird in SharePoint Server-Farmen und SAP NetWeaver-Systemen bereitgestellt. Dieser Abschnitt enthält allgemeine Richtlinien zum Konfigurieren der gemeinsamen Dienste, Webanwendungen, Rich Clients, Kommunikationskanäle und anderen Elemente einer SharePoint-Farm zur Verbesserung der Sicherheit in Duet Enterprise .
Sicherheitstokendienst
Mit dem Sicherheitstokendienst werden SharePoint-Benutzer authentifiziert und ihre Token geändert, um die Benutzer gegenüber dem SAP-System zu identifizieren (siehe Sicherheitsarchitektur von Duet Enterprise). Außerdem werden die Rollen der Benutzer den Token hinzugefügt, um rollenbasierte Autorisierung zu unterstützen (siehe Verwenden von SAP-Rollen zum Erteilen von Berechtigungen für den Zugriff auf SharePoint-Objekte für Benutzer).
Aus Leistungsgründen werden Token des Sicherheitstokendiensts zwischengespeichert, und der Cache wird alle 24 Stunden geleert. Wenn ein Token aus dem Cache gelöscht wird, wird dieses vom Sicherheitstokendienst erneut erstellt, wenn das Token wieder benötigt wird. Der Cache des Sicherheitstokendiensts wird nur einmal täglich gelöscht, um zu verhindern, dass durch eine zu häufige Erstellung von Token die Systemleistung beeinträchtigt wird.
Die Zwischenspeicherung von Token wirkt sich auf die Häufigkeit der Aktualisierung der Rolleninformationen in den Token aus, da die Rolleninformationen nur hinzugefügt werden, wenn das Token erstellt oder erneut erstellt wird. Daher kann nach der Änderung der SAP-Rollen eines Benutzers im SAP-System eine Verzögerung von bis zu 24 Stunden entstehen, bis diese Informationen in dem Token widergespiegelt werden, das den Benutzer in SharePoint Server darstellt. Während dieser Verzögerung erhält der Benutzer möglicherweise keinen Zugriff auf einige Daten, Dokumente oder Websites, für die der Benutzer basierend auf seiner Rolle über Berechtigungen verfügen sollte.
Duet Enterprise-Administratoren und Lösungsarchitekten müssen den besten Kompromiss zwischen der Aufrechterhaltung einer guten Duet Enterprise-Leistung und der Bereitstellung des notwendigen Zugriffs auf Objekte bestimmen, indem sie die Zuordnung von Benutzern zu Rollen auf dem aktuellen Stand halten. Im Allgemeinen wird empfohlen, den Standardzeitraum von 24 Stunden für die Zwischenspeicherung nicht zu ändern; weisen Sie die Endbenutzer darauf hin, dass die Verbreitung von Änderungen an Rollen im SharePoint-System zwei Tage dauern kann. Wenn es jedoch für die Lösung sehr wichtig ist, dass die Rolleninformationen auf dem aktuellen Stand gehalten werden, können Sie das Intervall für die Rollenzwischenspeicherung mithilfe von Windows PowerShell konfigurieren.
Secure Store Service
Mit Secure Store Service werden Zuordnungen von SharePoint-Anmeldeinformationen zu für externe Systeme erforderlichen Anmeldeinformationen sicher gespeichert. In Duet Enterprise wird Secure Store Service nur bei der Bereitstellung verwendet, wenn Microsoft Business Connectivity Services-Modelle, die SAP-Objekte darstellen, mit dem Hilfsprogramm DuetConfig.exe in SharePoint Server importiert werden.
Vor dem Importieren der BDC-Modelle muss ein Administrator für Secure Store Service den Dienst durch Generieren eines Verschlüsselungsschlüssels initialisieren. Details zum Generieren des Verschlüsselungsschlüssels finden Sie im Abschnitt "Generieren eines neuen Verschlüsselungsschlüssels" unter Konfigurieren von Secure Store Service (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205440&clcid=0x407).
Business Data Connectivity-Dienst
In Duet Enterprise stellt Microsoft Business Connectivity Services die Brücke für die Kommunikation zwischen Microsoft SharePoint Server und der SAP-Umgebung bereit. Auf diese Weise können Benutzer Verbindungen mit SAP-Objekten wie beispielsweise Vertriebskontakten, Aufgaben und Kunden herstellen und mit diesen interagieren. Objekte werden im Metadatenspeicher von Microsoft Business Connectivity Services modelliert, und mithilfe von Berechtigungen in Microsoft Business Connectivity Services werden einzelne Konten, Gruppenkonten oder Ansprüche einer oder mehreren Berechtigungsstufen für ein Objekt im Metadatenspeicher zugeordnet. Weitere Informationen zum Festlegen von Berechtigungen für Modelle, externe Systeme, externe Inhaltstypen, Methoden und Methodeninstanzen im Metadatenspeicher finden Sie unter Business Connectivity Services-Sicherheit (Übersicht) (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205679&clcid=0x407).
Wie unter Verwenden von SAP-Rollen zum Erteilen von Berechtigungen für den Zugriff auf SharePoint-Objekte für Benutzer beschrieben enthält Duet Enterprise zusätzliche Funktionen für Berechtigungen. SAP-Rollen können verwendet werden, um Berechtigungen für den Zugriff auf Objekte in SharePoint Server zu erteilen, und jedes Objekt, auf das in SharePoint Server Berechtigungen angewendet werden können, kann mithilfe von SAP-Rollen gesichert werden.
Sie können SAP-Rollen verwenden, um die Sicherheit für die SAP-Objekte zu implementieren, die in Microsoft Business Connectivity Services modelliert werden. Dadurch können Sie sicherstellen, dass Benutzer, die nicht über die erforderlichen Rollen verfügen, nicht auf Objekte zugreifen können, die für ihre Aufgaben nicht relevant sind. Beispielsweise können alle externen Inhaltstypen, mit denen Kunden definiert werden, so konfiguriert werden, dass der Zugriff und die Verwendung nur über die Rolle SAP_SALES_REP möglich ist.
Warnung
Für einige der in Duet Enterprise enthaltenen Modelle gelten bestimmte Berechtigungsanforderungen, und die Modelle können nicht mit Rollen gesichert werden. Beispielsweise muss im bei der Duet Enterprise-Rollensynchronisierung verwendeten Modell SAPRoles der speziellen Gruppe Alle authentifizierten Benutzer die Berechtigung Ausführen für die Methodeninstanzen der externen Inhaltstypen im Modell SAPRoles erteilt werden.
Benutzerprofildienst
Duet Enterprise-Benutzer und deren Rollen werden mit dem SAP-System synchronisiert und im Profilspeicher des SharePoint Server-Benutzerprofildiensts gespeichert. Der Synchronisierungsprozess für die Zuordnungen von Benutzern zu Rollen zwischen Duet Enterprise und dem SAP-System wird im Hilfsprogramm DuetConfig initialisiert. Bevor diese Aufgabe durch Ausführen von DuetConfig gestartet wird, muss dem Farmadministrator, der DuetConfig ausführt, Vollzugriff auf den Benutzerprofildienst gewährt werden.
Bei manchen Duet Enterprise-Bereitstellungen wird mit einem zentralen Benutzerprofildienst in einer SharePoint-Farm die Rollensynchronisierung für mehrere andere SharePoint-Farmen bereitgestellt, in denen Duet Enterprise-Lösungen gehostet werden. In diesen "Verbundkonfigurationen" befindet sich in jeder Farm ein Sicherheitstokendienst, von dem der zentrale Benutzerprofildienst verwendet wird. Damit die Rollensynchronisierung in einer Farm möglich ist, in der ein zentraler Benutzerprofildienst verwendet wird, müssen dem Anwendungspoolkonto des Sicherheitstokendiensts dieser Farm Leseberechtigungen für den zentralen Benutzerprofildienst erteilt werden.
Office-Clientanwendungen
Die Duet Enterprise-Authentifizierung über Office-Clientanwendungen erfordert Interaktionen mit dem in SharePoint Server ausgeführten Sicherheitstokendienst. Die Kommunikation zwischen Office-Clientanwendungen und SharePoint Server ist daher auch dann notwendig, wenn Verbindungen mit dem externen SAP-System aus Office-Clientanwendungen hergestellt werden. Da in Duet Enterprise die Windows-Authentifizierung verwendet wird, kann die Kommunikation zwischen Office-Clientanwendungen und SharePoint Server sicher mithilfe von http://-Adressen implementiert werden. https://-Adressen sind nicht erforderlich.
Für die Unterstützung der Offlinefeatures von SharePoint Server ist ebenfalls Kommunikation zwischen Office-Clientanwendungen und dem SAP-System erforderlich. (Diese Verbindungen werden in den Modellen definiert, mit denen der Zugriff auf die im SAP-System verfügbaren externen Daten bereitgestellt wird.) Zur Gewährleistung der Sicherheit im Hinblick auf den Zugriff auf das SAP-System sollte die Kommunikation zwischen Office-Clients und dem SAP-System mithilfe von Secure Sockets Layer und https://-Adressen implementiert werden.
Berichtweiterleitung
Beim Duet Enterprise-Berichterstellungsfeature werden Funktionen für die Generierung von SAP-Berichten mit SharePoint Server-Dokumentverwaltungsfunktionen kombiniert. Endbenutzer können SAP-Berichte von einer SharePoint Server-Website aus anfordern. Diese Berichte werden im SAP-System generiert und richtig weitergeleitet und in SharePoint Server-Dokumentbibliotheken gespeichert, sodass autorisierte Benutzer die Berichte anzeigen können. Mit einer auf Duet Enterprise basierenden Lösung kann die Berichterstellung in beliebig viele Websites integriert werden. Alle Berichte für die Website in einer bestimmten Webanwendung werden vom OBAFileReceiver-Webdienst an die richtigen Bibliotheken in der jeweiligen Webanwendung weitergeleitet. Der Webdienst wird mit der Webanwendung verbunden, wenn die Webanwendung für die Berichterstellung konfiguriert wird.
Wie unter Konfigurieren der Berichterstellung (https://go.microsoft.com/fwlink/?linkid=205681&clcid=0x407) beschrieben sollten Sie alle Webanwendungen, in denen Berichte gehostet werden, konfigurieren, indem Sie die Webanwendung auf eine zusätzliche Zone erweitern, in der der Dienst sicher ausgeführt werden kann. Diese Zone muss die folgenden Merkmale aufweisen:
SSL (Secure Sockets Layer) muss verwendet werden.
Die Anspruchsauthentifizierung muss verwendet werden.
Die Windows-Authentifizierung und die Standardauthentifizierung müssen verwendet werden.
Die Zone muss an ein Zertifikat gebunden sein, das für das SAP-System vertrauenswürdig ist.
Rollenbasierte Berechtigungen
Wie unter Verwenden von SAP-Rollen für den Zugriff auf SharePoint-Objekte beschrieben wird in Duet Enterprise der Duet Enterprise-Anspruchsanbieter verwendet, um rollenbasierte Berechtigungen für sicherungsfähige Objekte in SharePoint Server zu verwalten. Wenn in einer Lösung ein Anspruchsanbieter verwendet wird, wird für die Ausführung bestimmter Vorgänge mehr Zeit benötigt. Die effizienteste Leistung des Duet Enterprise-Anspruchsanbieters können Sie erzielen, wenn Sie die folgenden Schritte ausführen:
Konfigurieren Sie den Duet Enterprise-Anspruchsanbieter so, dass dieser nicht standardmäßig verwendet wird. Dann wird von Webanwendungen, die nicht zu Duet Enterprise gehören, der Duet Enterprise-Anspruchsanbieter nicht abgefragt. Verwenden Sie das folgende Windows PowerShell-Skript, um den Anspruchsanbieter so zu konfigurieren, dass dieser nicht standardmäßig verwendet wird:
$myClaimPrMgr = Get-SPClaimProviderManager $TCP = $myClaimPrMgr.GetClaimProvider("DuetEnterpriseClaimsProvider") $TCP.IsUsedByDefault = False $myClaimPrMgr.Update()Ordnen Sie den Duet Enterprise-Anspruchsanbieter jeder Webanwendung zu, die Teil der Duet Enterprise-Lösung ist. Verwenden Sie dazu für jede Webanwendung, die Teil der Lösung ist, das folgende Windows PowerShell-Skript:
$web = Get-SPWebApplication "http://WebApplication" $iis = $web.GetIisSettingsWithFallback([Microsoft.SharePoint.Administration.SPUrlZone]::Default) $iis.ClaimsProviders.Add("DuetEnterpriseClaimsProvider") $web.Update()Ersetzen Sie im oben gezeigten Beispielskript http://WebApplication durch die URL der Webanwendung.
Verwenden Sie das folgende Skript, um die Zuordnung einer Webanwendung zum Duet Enterprise-Anspruchsanbieter zu entfernen:
$web = Get-SPWebApplication "http://Webapplication" $iis = $web.GetIisSettingsWithFallback([Microsoft.SharePoint.Administration.SPUrlZone]::Default) $iis.ClaimsProviders.Remove("DuetEnterpriseClaimsProvider") $web.Update()Ersetzen Sie im oben gezeigten Beispielskript http://Webapplication durch die URL der Webanwendung.
Wichtig
In SAP NetWeaver sollte das Domänenkonto für den SharePoint-Zeitgeberauftrag einem SAP-Benutzer zugeordnet sein, der über Berechtigungen zum Abfragen von Benutzerrollenzuweisungen verfügt.