Account amministrativi e di servizio e certificati richiesti per la distribuzione (Duet Enterprise)

Articolo
12/04/2016

Si applica a: Duet Enterprise for Microsoft SharePoint and SAP Server 2.0

Ultima modifica dell'argomento: 2015-03-09

Si consiglia di creare gli account utente e di servizio che saranno necessari prima di installare Duet Enterprise. Ad esempio, sarà necessario un account di servizio per l'applicazione Web utilizzata per i siti Duet Enterprise e uno o più account di servizio utilizzati per le comunicazioni tra la farm di SharePoint e il sistema SAP. Sarà inoltre necessario un certificato SSL per configurare comunicazioni sicure tra l'applicazione Web per i siti Duet Enterprise e il sistema SAP. Un amministratore di SAP renderà inoltre disponibile un certificato SSL per il quale è necessario creare una relazione di trust sull'ambiente SharePoint.

Contenuto dell'articolo:

Account necessari per distribuire Duet Enterprise
Certificati necessari per la protezione di Duet Enterprise
Creare un account gestito

Account necessari per distribuire Duet Enterprise

Nelle sezioni seguenti vengono descritti gli account utilizzati per distribuire Duet Enterprise. Nelle tabelle sono descritti gli account che è necessario rendere disponibili durante il processo di distribuzione.

Nota

Se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), sarà possibile registrare gli account nel foglio di lavoro.

Installare Duet Enterprise

Nella tabella seguente vengono riportati i requisiti per l'account utilizzato per installare Duet Enterprise.

Account	Scopo	Requisiti
Utente per l'installazione	L'account utente utilizzato per le operazioni seguenti: Eseguire setup.exe Eseguire DuetConfig.exe A questo account verrà concessa l'autorizzazione di esecuzione sull'archivio dei metadati servizio di integrazione applicativa dei dati. Passaggio del foglio di lavoro: se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), registrare questo account nella riga "Setup user account" della tabella 3.	Membro del gruppo Administrators di Windows nel computer che esegue SharePoint Server 2010. Membro del gruppo Amministratori Farm nella farm SharePoint Server in cui si sta installando Duet Enterprise. Per configurare la sincronizzazione dei profili tramite il comando DuetConfig.exe /configureprofilesync, sono necessarie autorizzazioni di controllo completo per l'applicazione del servizio profili utente. Si noti che all'account utilizzato per installare Microsoft SharePoint Server 2010 tale autorizzazione viene concessa automaticamente. L'autorizzazione non viene tuttavia concessa automaticamente a tutti gli amministratori della farm.

Utente per l'installazione

L'account utente utilizzato per le operazioni seguenti:

Eseguire setup.exe
Eseguire DuetConfig.exe

A questo account verrà concessa l'autorizzazione di esecuzione sull'archivio dei metadati servizio di integrazione applicativa dei dati.

Passaggio del foglio di lavoro: se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), registrare questo account nella riga "Setup user account" della tabella 3.

Membro del gruppo Administrators di Windows nel computer che esegue SharePoint Server 2010.
Membro del gruppo Amministratori Farm nella farm SharePoint Server in cui si sta installando Duet Enterprise.
Per configurare la sincronizzazione dei profili tramite il comando DuetConfig.exe /configureprofilesync, sono necessarie autorizzazioni di controllo completo per l'applicazione del servizio profili utente. Si noti che all'account utilizzato per installare Microsoft SharePoint Server 2010 tale autorizzazione viene concessa automaticamente. L'autorizzazione non viene tuttavia concessa automaticamente a tutti gli amministratori della farm.

Configurare comunicazioni tra la farm di SharePoint e il sistema SAP

Gli account nella tabella seguente sono richiesti quando si creano le applicazioni Web per i siti Duet Enterprise.

Account	Scopo	Requisiti
Account di servizio	Utilizzato per l'applicazione Web dei siti Duet Enterprise. Passaggio del foglio di lavoro: se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), registrare questo account nella riga "Service account for the Duet Enterprise sites Web application" della tabella 3.	L'account deve essere configurato come account gestito in SharePoint Server. Importante Non utilizzare l'account utente per questo scopo. Tale operazione potrebbe causare lo stato non coerente delle attività di flusso di lavoro SAP. Viceversa, è consigliabile utilizzare un account di dominio Windows univoco, non utilizzato per alcun altro scopo.

Account di servizio

Utilizzato per l'applicazione Web dei siti Duet Enterprise.

L'account deve essere configurato come account gestito in SharePoint Server.

Importante

Non utilizzare l'account utente per questo scopo. Tale operazione potrebbe causare lo stato non coerente delle attività di flusso di lavoro SAP. Viceversa, è consigliabile utilizzare un account di dominio Windows univoco, non utilizzato per alcun altro scopo.

Importare modelli BDC

Gli account della tabella seguente sono richiesti per l'importazione di modelli BDC. I modelli BDC offerti con Duet Enterprise vengono aggiornati da un amministratore di SAP in modo che corrispondano alle impostazioni del sistema SAP, quindi resi disponibili a un amministratore di SharePoint che deve importarli in SharePoint Server.

Account	Scopo	Requisiti
Utenti finali che possono accedere al contenuto SAP	Utilizzato per specificare l'utente o il gruppo Servizi di dominio Active Directory a cui verranno concesse autorizzazioni di esecuzione sui modelli BDC. Nota È consigliabile specificare il gruppo di Windows nt authority\authenticated users durante la distribuzione. In questo modo si consente a tutti gli utenti autenticati di accedere al contenuto SAP. Dopo la distribuzione, se è necessario aumentare la sicurezza, è possibile sostituire questo gruppo di Windows con account utente individuali o con un gruppo di Windows diverso. Passaggio del foglio di lavoro: se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), registrare gli account utente o i gruppi che si desidera utilizzare nella riga "Users who can access SAP content" della tabella 3 del foglio di lavoro.	Utente o gruppo di Windows. Nota Deve essere un account di domino o un gruppo valido. I gruppi di SharePoint non sono supportati.
Account di accesso WSDL	Utilizzato per accedere e scaricare WSDL SAP. A questo account verranno concesse autorizzazioni complete sui modelli BDC. Passaggio del foglio di lavoro: se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), l'amministratore di SAP renderà disponibile questo account nelle righe "User name for WSDL access" e "Password for WSDL access" della tabella 2 del foglio di lavoro.	Utente o gruppo di Windows. L'account di accesso WSDL viene creato dall'amministratore di SAP. È necessario fornire nome utente o di gruppo e password associata.

Utenti finali che possono accedere al contenuto SAP

Utilizzato per specificare l'utente o il gruppo Servizi di dominio Active Directory a cui verranno concesse autorizzazioni di esecuzione sui modelli BDC.

Nota

È consigliabile specificare il gruppo di Windows nt authority\authenticated users durante la distribuzione. In questo modo si consente a tutti gli utenti autenticati di accedere al contenuto SAP. Dopo la distribuzione, se è necessario aumentare la sicurezza, è possibile sostituire questo gruppo di Windows con account utente individuali o con un gruppo di Windows diverso.

Passaggio del foglio di lavoro: se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), registrare gli account utente o i gruppi che si desidera utilizzare nella riga "Users who can access SAP content" della tabella 3 del foglio di lavoro.

Utente o gruppo di Windows.

Nota

Deve essere un account di domino o un gruppo valido. I gruppi di SharePoint non sono supportati.

Account di accesso WSDL

Utilizzato per accedere e scaricare WSDL SAP. A questo account verranno concesse autorizzazioni complete sui modelli BDC.

Passaggio del foglio di lavoro: se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), l'amministratore di SAP renderà disponibile questo account nelle righe "User name for WSDL access" e "Password for WSDL access" della tabella 2 del foglio di lavoro.

Utente o gruppo di Windows. L'account di accesso WSDL viene creato dall'amministratore di SAP. È necessario fornire nome utente o di gruppo e password associata.

Sincronizzare profili e ruoli

L'account presente nella tabella seguente è richiesto se si prevede di configurare la sincronizzazione dei ruoli per Duet Enterprise.

Account	Scopo	Requisiti
Account Servizi di dominio Active Directory	Utilizzato da un amministratore di SharePoint per sincronizzare gli account utente in Servizi di dominio Active Directory con l'archivio profili utente nella farm SharePoint Server. Un amministratore di SAP utilizza inoltre questo account per effettuare il pull degli account utente da Servizi di dominio Active Directory all'archivio profili SAP. Suggerimento L'amministratore di Servizi di dominio Active Directory può rendere disponibile questo nome account. Passaggio del foglio di lavoro: se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), registrare nome account e password nella riga "AD DS account and password" della tabella 3.	Membro del gruppo Amministratori farm di SharePoint o un amministratore del servizio profili utente. Almeno autorizzazioni DirSync su Servizi di dominio Active Directory.

Account Servizi di dominio Active Directory

Utilizzato da un amministratore di SharePoint per sincronizzare gli account utente in Servizi di dominio Active Directory con l'archivio profili utente nella farm SharePoint Server. Un amministratore di SAP utilizza inoltre questo account per effettuare il pull degli account utente da Servizi di dominio Active Directory all'archivio profili SAP.

Suggerimento

L'amministratore di Servizi di dominio Active Directory può rendere disponibile questo nome account.

Passaggio del foglio di lavoro: se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), registrare nome account e password nella riga "AD DS account and password" della tabella 3.

Membro del gruppo Amministratori farm di SharePoint o un amministratore del servizio profili utente.
Almeno autorizzazioni DirSync su Servizi di dominio Active Directory.

Configurare i report

Gli account presenti nella tabella seguente sono richiesti se si prevede di configurare la soluzione di report per Duet Enterprise.

Account	Scopo	Requisiti
Account autore di report	Utilizzato per autorizzare l'invio di report dal sistema SAP a SharePoint Server. All'account verrà concessa l'autorizzazione Controllo completo sull'URL di pubblicazione report. Passaggio del foglio di lavoro: se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), registrare nome account e password nella riga "Report publisher account" della tabella 3.	Questo account utente e questa password verranno resi disponibili all'amministratore di SAP per l'utilizzo come account autore di report sul sistema SAP. È pertanto consigliabile creare un account appositamente per questo scopo anziché utilizzare l'account utente di una persona.

Account autore di report

Utilizzato per autorizzare l'invio di report dal sistema SAP a SharePoint Server. All'account verrà concessa l'autorizzazione Controllo completo sull'URL di pubblicazione report.

Questo account utente e questa password verranno resi disponibili all'amministratore di SAP per l'utilizzo come account autore di report sul sistema SAP. È pertanto consigliabile creare un account appositamente per questo scopo anziché utilizzare l'account utente di una persona.

Configurare i flussi di lavoro SAP

L'account presente nella tabella seguente è richiesto se si prevede di configurare siti del flusso di lavoro di Duet Enterprise in SharePoint Server.

Account	Scopo	Requisiti
Account di servizio	Utilizzato per tutte le transazioni di flusso di lavoro tra SharePoint Server e l'ambiente SAP. SharePoint Server accetta esclusivamente richieste dall'account di servizio del flusso di lavoro. Tale account è inoltre l'unico in grado di inviare protocolli al sistema SAP. Passaggio del foglio di lavoro: se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), registrare questo account nella riga "Workflow publisher account" della tabella 3.	Membro del gruppo Proprietari di SharePoint di tutti i siti del flusso di lavoro. Importante Non utilizzare lo stesso account utilizzato come account del pool di applicazioni per qualsiasi applicazione Web. In particolare, questo account non può essere lo stesso immesso nella riga “Service account for the Duet Enterprise sites Web application" della tabella 3 del foglio di lavoro di distribuzione. L'utilizzo dello stesso account può causare lo stato non coerente delle attività di flusso di lavoro SAP. È pertanto consigliabile utilizzare un account di dominio di Windows univoco, non utilizzato per alcun altro scopo.

Account di servizio

Utilizzato per tutte le transazioni di flusso di lavoro tra SharePoint Server e l'ambiente SAP. SharePoint Server accetta esclusivamente richieste dall'account di servizio del flusso di lavoro. Tale account è inoltre l'unico in grado di inviare protocolli al sistema SAP.

Membro del gruppo Proprietari di SharePoint di tutti i siti del flusso di lavoro.

Importante

Non utilizzare lo stesso account utilizzato come account del pool di applicazioni per qualsiasi applicazione Web. In particolare, questo account non può essere lo stesso immesso nella riga “Service account for the Duet Enterprise sites Web application" della tabella 3 del foglio di lavoro di distribuzione. L'utilizzo dello stesso account può causare lo stato non coerente delle attività di flusso di lavoro SAP. È pertanto consigliabile utilizzare un account di dominio di Windows univoco, non utilizzato per alcun altro scopo.

Certificati necessari per la protezione di Duet Enterprise

Tutte le chiamate di rete tra l'applicazione Web configurata per i siti Duet Enterprise e il sistema SAP vengono effettuata su SSL (Secure Sockets Layer), ovvero tramite HTTPS. Inoltre, un amministratore di SharePoint può esportare il certificato servizio token di sicurezza e fornirlo a un amministratore SAP per configurare una relazione di trust sul sistema SAP. Questo processo consente di verificare i token inviati dal servizio token di sicurezza di SharePoint in arrivo al sistema SAP. L'amministratore di SharePoint deve inoltre configurare una relazione di trust con un certificato SSL che l'amministratore di SAP ha utilizzato per proteggere il servizio Web utilizzato da Duet Enterprise. Per supportare questa operazione, sono richiesti i certificati seguenti.

I certificati seguenti sono richiesti per la protezione di Duet Enterprise:

Un amministratore di SharePoint deve ottenere o creare un certificato SSL per l'applicazione Web che verrà configurata per Duet Enterprise. Notare che un'applicazione Web su cui sono abilitate soluzioni Duet Enterprise deve essere estesa per abilitare un'area configurata all'utilizzo del protocollo HTTPS (SSL) e dell'autenticazione di base. Quest'area configurata SSL, indicata in questo articolo come area rivolta a SAP, viene utilizzata per tutte le comunicazioni con il sistema SAP. È necessario che un amministratore del server che esegue SharePoint Server 2010 associ questo certificato SSL all'area rivolta a SAP dell'applicazione Web e fornisca il certificato a un amministratore del sistema SAP affinché possa essere considerato attendibile sul server che esegue SAP NetWeaver.
È necessario che l'amministratore di SharePoint esporti il certificato servizio token di sicurezza e lo fornisca all'amministratore del sistema SAP. L'amministratore del sistema SAP utilizzerà il certificato servizio token di sicurezza per stabilire una relazione di trust unidirezionale con il servizio token di sicurezza.
È necessario che un amministratore del sistema SAP fornisca il certificato SSL utilizzato per proteggere il servizio Web utilizzato da Duet Enterprise all'amministratore di SharePoint il quale configurerà una relazione di trust per tale certificato. In questo modo si consente ai siti Duet Enterprise di accettare informazioni dall'ambiente SAP.

Nota

Per istruzioni dettagliate su come ottenere e utilizzare questi certificati, vedere Configurare comunicazioni sicure tra gli ambienti SharePoint e SAP (https://go.microsoft.com/fwlink/?linkid=205812&clcid=0x410).

Creare un account gestito

Se l'applicazione Web che si utilizzerà per i siti Duet Enterprise non esiste ancora, sarà necessario un account gestito per l'assegnazione al pool di applicazioni che verrà utilizzato dall'applicazione Web che verrà creata.

Una account gestito è un account utente di Servizi di dominio Active Directory le cui credenziali sono gestite e archiviate in SharePoint Server. Per creare un account gestito, registrare un account di Servizi di dominio Active Directory con SharePoint Server.

Per determinare l'account utente di Servizi di dominio Active Directory

Prima di creare un account gestito, è necessario determinare l'account utente di Servizi di dominio Active Directory che si desidera utilizzare. È consigliabile richiedere all'amministratore di Servizi di dominio Active Directory di eseguire le operazioni seguenti.
1. Creare un account appositamente per questo scopo, anziché utilizzare l'account di un utente.
2. Configurare l'account in modo che la password non scada.
Se si utilizza il foglio di lavoro di distribuzione (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x410), registrare questo account nella riga "Service account for the Duet Enterprise sites Web application" della tabella 3 del foglio di lavoro.

Per registrare un account gestito

Verificare di disporre delle credenziali amministrative seguenti:
- È necessario essere un amministratore della farm per completare questa procedura.
Nella sezione Sicurezza del sito Web Amministrazione centrale fare clic su Configura account gestiti.
Nella pagina Account gestiti fare clic su Registra account gestito.
Nella sezione Registrazione account della pagina Registra account gestito immettere le credenziali dell'account di servizio.

Nota

È consigliabile non abilitare la funzione di modifica automatica della password per gli account di servizio.
Fare clic su OK.

Account amministrativi e di servizio e certificati richiesti per la distribuzione (Duet Enterprise)

Account necessari per distribuire Duet Enterprise

Installare Duet Enterprise

Configurare comunicazioni tra la farm di SharePoint e il sistema SAP

Importare modelli BDC

Sincronizzare profili e ruoli

Configurare i report

Configurare i flussi di lavoro SAP

Certificati necessari per la protezione di Duet Enterprise

Creare un account gestito

Risorse aggiuntive