部署所需的管理帳戶與服務帳戶及憑證 (Duet Enterprise)

發行項
03/07/2017

適用版本： Duet Enterprise for Microsoft SharePoint and SAP Server 2.0

上次修改主題的時間： 2015-03-09

建議您在安裝 Duet Enterprise 之前，先建立所需的服務與使用者帳戶。例如，您必須具備 Duet Enterprise 網站所要使用之 Web 應用程式的服務帳戶，以及在 SharePoint 伺服器陣列及 SAP 系統之間進行通訊時所需使用的一或多個服務帳戶。此外還必須具備 SSL 憑證，以設定 Duet Enterprise 網站之 Web 應用程式與 SAP 系統之間的安全通訊。SAP 管理員亦須提供 SSL 憑證，讓您在 SharePoint 環境中為此憑證建立信任關係。

本文內容：

部署 Duet Enterprise 所需的帳戶
維護 Duet Enterprise 安全所需要的憑證
建立受管理帳戶

部署 Duet Enterprise 所需的帳戶

下列各節說明部署 Duet Enterprise 時所使用的帳戶。表格中將會說明當您完成部署程序時所需提供的帳戶。

注意

您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，即可將帳戶記錄在工作表中。

安裝 Duet Enterprise

下表說明用於安裝 Duet Enterprise 之帳戶的需求。

帳戶	用途	需求
設定使用者帳戶	使用者帳戶可用於執行下列工作：執行 setup.exe 執行 DuetConfig.exe 此帳戶將獲授與 Business Data Connectivity Service 中繼資料儲存區的「執行」權限。工作表步驟：您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將此帳戶記錄在表格 3 的「安裝使用者帳戶」列中。	執行 SharePoint Server 2010 之電腦的 Windows 管理員群組中的一員。安裝 Duet Enterprise 之 SharePoint Server 伺服器陣列的伺服器陣列管理員群組中的一員。您必須具有 User Profile Service 應用程式的「完全控制」權限，才可以使用 DuetConfig.exe /configureprofilesynccommand 設定設定檔同步處理。請注意，系統會將此權限自動授與安裝 Microsoft SharePoint Server 2010 所使用的帳戶，但是不會將此權限自動授與所有伺服器陣列管理員。

設定使用者帳戶

使用者帳戶可用於執行下列工作：

執行 setup.exe
執行 DuetConfig.exe

此帳戶將獲授與 Business Data Connectivity Service 中繼資料儲存區的「執行」權限。

工作表步驟：您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將此帳戶記錄在表格 3 的「安裝使用者帳戶」列中。

執行 SharePoint Server 2010 之電腦的 Windows 管理員群組中的一員。
安裝 Duet Enterprise 之 SharePoint Server 伺服器陣列的伺服器陣列管理員群組中的一員。
您必須具有 User Profile Service 應用程式的「完全控制」權限，才可以使用 DuetConfig.exe /configureprofilesynccommand 設定設定檔同步處理。請注意，系統會將此權限自動授與安裝 Microsoft SharePoint Server 2010 所使用的帳戶，但是不會將此權限自動授與所有伺服器陣列管理員。

設定 Sharepoint 伺服器陣列和 SAP 系統之間的安全通訊

當您建立 Duet Enterprise 網站的 Web 應用程式時，需要下表中的帳戶。

帳戶	用途	需求
服務帳戶	用於 Duet Enterprise 網站 Web 應用程式。工作表步驟：您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將此帳戶記錄在表格 3 的「Duet Enterprise 網站 Web 應用程式的服務帳戶」列中。	此帳戶在 SharePoint Server 中必須設定為受管理帳戶。重要請勿就此用途而使用使用者帳戶。否則可能會導致 SAP 工作流程工作處於不一致的狀態。建議您使用從未用於其他用途的專用 Windows 網域帳戶。

服務帳戶

用於 Duet Enterprise 網站 Web 應用程式。

工作表步驟：您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將此帳戶記錄在表格 3 的「Duet Enterprise 網站 Web 應用程式的服務帳戶」列中。

此帳戶在 SharePoint Server 中必須設定為受管理帳戶。

重要

請勿就此用途而使用使用者帳戶。否則可能會導致 SAP 工作流程工作處於不一致的狀態。建議您使用從未用於其他用途的專用 Windows 網域帳戶。

匯入 BDC 模型

當您匯入 BDC 模型時，必須使用下列表格中的帳戶。SAP 管理員將會更新 Duet Enterprise 所提供的 BDC 模型，使之符合 SAP 系統中的設定，然後再提供給必須將其提供給必須匯入 SharePoint Server 的 SharePoint 管理員使用。

帳戶	用途	需求
可以存取 SAP 內容的使用者	可用於指定將獲授與 BDC 模型之「執行」權限的使用者或 Active Directory 網域服務 (AD DS) 群組帳戶。注意建議您在部署時指定 nt authority\authenticated users Windows 群組。如此一來，所有經過驗證的使用者即可存取 SAP 內容。若希望在部署之後強化安全性，可以將 Windows 群組以其他不同的使用者帳戶或 Windows 群組取代。工作表步驟：您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將您所要使用的使用者帳戶或群組，記錄在工作表表格 3 的「可以存取 SAP 內容的使用者」列中。	Windows 使用者或群組。注意這必須是有效的網域帳戶或群組。不支援 SharePoint 群組。
WSDL 存取帳戶	可用於存取及下載 SAP WSDL。此帳戶將獲授所有 BDC 模型的完整權限。工作表步驟：您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，SAP 管理員將會在工作表表格 2 的「WSDL 存取」與「WSDL 存取密碼」列中提供此帳戶。	Windows 使用者或群組。WSDL 存取帳戶由 SAP 管理員建立。您必須提供使用者或群組名稱及其相關聯的密碼。

可以存取 SAP 內容的使用者

可用於指定將獲授與 BDC 模型之「執行」權限的使用者或 Active Directory 網域服務 (AD DS) 群組帳戶。

注意

建議您在部署時指定 nt authority\authenticated users Windows 群組。如此一來，所有經過驗證的使用者即可存取 SAP 內容。若希望在部署之後強化安全性，可以將 Windows 群組以其他不同的使用者帳戶或 Windows 群組取代。

工作表步驟： 您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將您所要使用的使用者帳戶或群組，記錄在工作表表格 3 的「可以存取 SAP 內容的使用者」列中。

Windows 使用者或群組。

注意

這必須是有效的網域帳戶或群組。不支援 SharePoint 群組。

WSDL 存取帳戶

可用於存取及下載 SAP WSDL。此帳戶將獲授所有 BDC 模型的完整權限。

工作表步驟： 您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，SAP 管理員將會在工作表表格 2 的「WSDL 存取」與「WSDL 存取密碼」列中提供此帳戶。

Windows 使用者或群組。WSDL 存取帳戶由 SAP 管理員建立。您必須提供使用者或群組名稱及其相關聯的密碼。

同步處理設定檔與角色

您若要設定 Duet Enterprise 的角色同步處理，必須具備下列表格中所列的帳戶。

帳戶	用途	需求
AD DS 帳戶	SharePoint 管理員會使用此帳戶將 AD DS 中的使用者帳戶與儲存在 SharePoint Server 伺服器陣列中的使用者設定檔儲存進行同步處理。此外還會使用此帳戶從 AD DS 提取使用者帳戶，然後存放至 SAP 設定檔儲存中。提示 AD DS 管理員可提供此帳戶名稱。工作表步驟：您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將此帳戶名稱及密碼記錄在表格 1 的「AD DS 帳戶及密碼」列。	SharePoint 伺服器陣列管理員群組中的成員，或使用者設定檔服務管理員。 AD DS 的基本 DirSync 權限。

AD DS 帳戶

SharePoint 管理員會使用此帳戶將 AD DS 中的使用者帳戶與儲存在 SharePoint Server 伺服器陣列中的使用者設定檔儲存進行同步處理。此外還會使用此帳戶從 AD DS 提取使用者帳戶，然後存放至 SAP 設定檔儲存中。

提示

AD DS 管理員可提供此帳戶名稱。

工作表步驟：您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將此帳戶名稱及密碼記錄在表格 1 的「AD DS 帳戶及密碼」列。

SharePoint 伺服器陣列管理員群組中的成員，或使用者設定檔服務管理員。
AD DS 的基本 DirSync 權限。

設定報表

您若要設定 Duet Enterprise 的報表解決方案，必須具備下列表格中所列的帳戶。

帳戶	用途	需求
報表發行者帳戶	可用於授權將報表從 SAP 系統傳送至 SharePoint Server。此帳戶將獲授與報表發行者 URL 的完整控制權限。工作表步驟：您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將此帳戶名稱及密碼記錄在表格 3 的「報表發行者帳戶」列中。	此使用者帳戶及密碼將提供給 SAP 管理員，在 SAP 系統上將其用為報表發行者帳戶。建議您就此用途建立專用帳戶，而不要使用個人的使用者帳戶。

報表發行者帳戶

可用於授權將報表從 SAP 系統傳送至 SharePoint Server。此帳戶將獲授與報表發行者 URL 的完整控制權限。

工作表步驟： 您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將此帳戶名稱及密碼記錄在表格 3 的「報表發行者帳戶」列中。

此使用者帳戶及密碼將提供給 SAP 管理員，在 SAP 系統上將其用為報表發行者帳戶。建議您就此用途建立專用帳戶，而不要使用個人的使用者帳戶。

設定 SAP 工作流程

您若要在 SharePoint Server 中設定 Duet Enterprise 工作流程網站，必須具備下列表格中所列的帳戶。

帳戶	用途	需求
服務帳戶	可用於 SharePoint Server 與 SAP 環境之間的所有工作流程交易。SharePoint Server 僅接受來自工作流程服務帳戶的要求。其也是唯一能夠傳送通訊協定至 SAP 系統的帳戶。工作表步驟：您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將此帳戶記錄在表格 3 的「工作流程發行者帳戶」列中。	SharePoint 擁有者群組或所有工作流程網站的成員。重要請勿使用任何 Web 應用程式所使用的應用程式集區帳戶帳戶。明確而言，此帳戶不可以是您在部署工作表表格 3 之「Duet Enterprise 網站 Web 應用程式的服務帳戶」列中所輸入的帳戶。使用相同的帳戶可能會導致 SAP 工作流流程處於不一致的狀態。因此建議您使用從未用於其他用途的專用 Windows 網域帳戶。

服務帳戶

可用於 SharePoint Server 與 SAP 環境之間的所有工作流程交易。SharePoint Server 僅接受來自工作流程服務帳戶的要求。其也是唯一能夠傳送通訊協定至 SAP 系統的帳戶。

工作表步驟：您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將此帳戶記錄在表格 3 的「工作流程發行者帳戶」列中。

SharePoint 擁有者群組或所有工作流程網站的成員。

重要

請勿使用任何 Web 應用程式所使用的應用程式集區帳戶帳戶。明確而言，此帳戶不可以是您在部署工作表表格 3 之「Duet Enterprise 網站 Web 應用程式的服務帳戶」列中所輸入的帳戶。使用相同的帳戶可能會導致 SAP 工作流流程處於不一致的狀態。因此建議您使用從未用於其他用途的專用 Windows 網域帳戶。

維護 Duet Enterprise 安全所需要的憑證

所有針對 Duet Enterprise 網站所設定之 Web 應用程式與 SAP 系統之間的網路呼叫，皆是在安全通訊端層 (HTTPS) 上執行。此外，SharePoint 管理員必須匯出 Security Token Service (STS) 憑證，並將其提供給 SAP 管理員，以在 SAP 系統上設定信任關係。此程序可以讓 SharePoint Security Token Service 所傳送的 Token，在抵達 SAP 系統後獲得驗證。SharePoint 管理員亦須使用 SAP 管理員用於維護 Duet Enterprise 所用之 Web 服務安全的 SSL 憑證設定信任關係。需要下列憑證來支援此作業。

下列憑證會用於維護 Duet Enterprise 的安全：

SharePoint 管理員必須取得或建立針對 Duet Enterprise 所設定之 Web 應用程式的 SSL 憑證。請注意，啟用 Duet Enterprise 解決方案的 Web 應用程式必須加以延伸，才可讓設定的區域使用 HTTPS 通訊協定 (SSL) 及基本驗證。設有 SSL 功能的區域 (本文稱之為 SAP 使用區域) 會用與 SAP 系統進行所有通訊。執行 SharePoint Server 2010 之伺服器的管理員必須將此 SSL 憑證連結至 Web 應用程式的 SAP 使用區域，並提供 SAP 系統管理員此憑證，由其在執行 SAP NetWeaver 的伺服器上建立信任關係。
SharePoint 管理員必須匯出 Security Token Service (STS) 憑證，並將其提供給 SAP 系統管理員。SAP 系統管理員會使用 STS 憑證與 Security Token Service 建立單向的信任關係。
SAP 系統管理員必須將用以維護 Duet Enterprise 安全所用之 Web 服務的 SSL 憑證提供給 SharePoint 管理員，以便其設定該憑證的信任關係。如此一來，Duet Enterprise 網站即可接受來自 SAP 環境的資訊。

注意

如需如何取得及使用這些憑證的逐步說明，請參閱在 SharePoint 和 SAP 環境中設定安全通訊 (https://go.microsoft.com/fwlink/?linkid=205812&clcid=0x404)。

建立受管理帳戶

若 Duet Enterprise 網站所要使用的 Web 應用程式不存在，必須將受管理帳戶指派給您稍後所要建立之應用程式使用的應用程式集區。

受管理帳戶為 AD DS 使用者帳戶，其認證會儲存在 SharePoint Server 中進行管理。若要建立受管理帳戶，必須以 SharePoint Server 註冊 AD DS 帳戶。

決定 AD DS 使用者帳戶

建立受管理帳戶之前，必須先決定所要使用的 AD DS 使用者帳戶。建議您要求 AD DS 管理員執行下列工作：
1. 就此用途建立專用帳戶，而不要使用使用者的帳戶。
2. 為此帳戶設定永不過期的密碼。
您若是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404)，請將此帳戶記錄在工作表表格 3 的「 Duet Enterprise 網站 Web 應用程式的服務帳戶」列中。

註冊受管理帳戶

確認您具備下列管理認證：
- 您必須是伺服器陣列管理員，才可執行此程序。
在管理中心網站上，按一下 [安全性] 區段中的 [設定受管理帳戶]。
在 [受管理帳戶] 頁面上，按一下 [註冊受管理帳戶]。
在 [註冊受管理帳戶] 頁面的 [帳戶註冊] 區段中，輸入服務帳戶憑證。

注意

建議您不要啟用服務帳戶的自動密碼變更功能。
按一下 [確定]。