同步處理設定檔與角色 (Duet Enterprise)
適用版本: Duet Enterprise for Microsoft SharePoint and SAP
上次修改主題的時間: 2015-03-09
本文說明如何啟用 Duet Enterprise for Microsoft SharePoint 及 SAP 的角色同步處理。本文的假設如下:
SAP 管理員已建立 SAP 系統中的 SAP 使用者與 SAP 角色的對應。
SharePoint 管理員已啟動 User Profile Synchronization Service,並且已建立與 Active Directory 網域服務 (AD DS) 的設定檔同步處理連線,而 AD DS 服務包含 SharePoint Server 伺服器陣列所使用的使用者帳戶。如需如何完成這些程序的相關資訊,請參閱設定設定檔同步處理 (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=202966&clcid=0x404)。
SharePoint 管理員已同步處理 AD DS 服務與「SharePoint 使用者設定檔儲存」。請遵循執行非週期性設定檔同步處理 (SharePoint Server 2010) (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=201163&clcid=0x404)(可能為英文網頁) 中的指示,同步處理 AD DS 與 SharePoint Server 2010 之間的使用者設定檔資訊。
本文內容:
啟動 Duet Enterprise 宣告提供者功能
授與中繼資料儲存區的權限
確定伺服器陣列管理員具有完全控制權限
提供 SharePoint 2010 計時器服務帳戶
設定 DuetConfig.exe.config 檔案
設定設定檔同步處理
同步處理 SAP 設定檔與 SharePoint 使用者設定檔儲存
授與網站的 SAP 角色權限
啟動 Duet Enterprise 宣告提供者功能
注意
您必須是伺服器陣列管理員群組的成員,才可完成此程序。
啟用 Duet Enterprise 宣告提供者功能
在管理中心網站的 [快速啟動] 上,按一下 [管理中心]。
按一下 [系統設定] 區段中的 [管理伺服器陣列功能]。
在 [Duet Enterprise SAP 角色宣告提供者] 列中,按一下 [啟動]。
狀態欄變更為 [作用中]。啟動時,同步處理 SharePoint Server 2010 使用者設定檔儲存與 SAP 設定檔儲存之後,SAP 角色會出現在 [人員選擇] 中。
授與中繼資料儲存區的權限
注意
您必須是伺服器陣列管理員群組的成員,才可完成此程序。
授與中繼資料儲存區的權限
在管理中心的 [快速啟動] 上,按一下 [應用程式管理]。
按一下 [服務應用程式] 區段中的 [管理服務應用程式]。
在 [名稱] 欄中,按一下 [Business Data Connectivity Service 應用程式] 的連結。
在功能區的 [權限] 群組中,按一下 [設定中繼資料儲存區權限]。
在 [設定中繼資料儲存區權限] 對話方塊的頂端方塊中,輸入部署 Duet Enterprise 之管理員的使用者帳戶。
.gif "BatonHandoffIcon")
如果您是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404),則此名稱會列在工作表之表格 3 的「設定使用者帳戶」列中。
按一下 [新增]。
在 [所有經過認證之使用者的權限] 區段 (底端區段) 中,確定已選取 [執行] 核取方塊。
按一下 [確定]。
注意
如果未將中繼資料儲存區的「設定權限」權限授與至少一位使用者,您可能會收到下列錯誤訊息「在存取控制清單中必須至少有一個使用者/群組擁有「設定權限」權限,以避免建立無法管理的物件」。若要解決此問題,請將中繼資料儲存區的「設定權限」權限授與至少一位使用者。
確定伺服器陣列管理員具有完全控制權限,並確認 User Profile Service 應用程式的名稱
使用此程序,確定伺服器陣列管理員群組成員具有 SharePoint 伺服器陣列中預設 User Profile Service 及 Business Data Connectivity Service 應用程式的完全控制權限。您必須將此權限,授與本文稍後會設定設定檔同步處理的伺服器陣列管理員。
提示
SharePoint Server 2010 支援多個 User Profile Service 應用程式。但是,Duet Enterprise 角色同步處理只能與預設 User Profile Service 應用程式搭配運作。
注意
您必須是伺服器陣列管理員群組的成員或 User Profile Service 應用程式的管理員,才可完成此程序。
確定伺服器陣列管理員具有完全控制權限
在管理中心的 [快速啟動] 上,按一下 [管理中心]。
在 [應用程式管理] 區段中,按一下 [管理服務應用程式]。
在 [類型] 欄中,按一下包含預設 [User Profile Service 應用程式] 的列,以選取該列。
User Profile Service 應用程式的名稱會列在 [名稱] 欄中。由於您在後面的程序中將需要此服務應用程式的名稱,因此請記下此名稱。
如果您是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404),請在工作表之表格 1 的「User Profile Service 應用程式名稱」列中輸入此名稱。
在功能區的 [共用] 群組中,按一下 [權限]。
在 [連線權限] 對話方塊中,確定已將「完全控制」權限授與伺服器陣列管理員。
按一下 [確定]。
在 [類型] 欄中,按一下用於角色同步處理之服務的 [Business Data Connectivity Service 應用程式]。
在功能區的 [共用] 群組中,按一下 [權限]。
在 [連線權限] 對話方塊中,確定已將「完全控制」權限授與伺服器陣列管理員。
提供 SharePoint 2010 計時器服務帳戶
您必須提供 SAP 管理員指定給 SharePoint 2010 計時器服務 (又稱為 SPTimerV4 服務) 的使用者帳戶。SAP 管理員必須確定此帳戶已對應至 SAP 使用者,而 SAP 使用者具有 SAP 系統的足夠權限,以查詢 UserRoles 工作分派查詢。
注意
您必須是 Windows 管理員群組的成員,才可完成此程序。
取得 SharePoint 2010 計時器服務的使用者帳戶
以管理員群組的成員身分登入 SharePoint Server 2010 伺服器陣列中的前端網頁伺服器。
按一下 [開始],然後指向 [系統管理工具],再按一下 [服務]。
在 [名稱] 欄中,於 [SharePoint 2010 計時器] 上按一下滑鼠右鍵,然後按一下 [內容]。
在 [SharePoint 2010 計時器屬性] 對話方塊的 [登入] 索引標籤上,記下列在 [這個帳戶] 文字方塊中的帳戶名稱。
將此帳戶名稱提供給 SAP 管理員。
如果您是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404),請在工作表之表格 1 的「SharePoint 2010 計時器服務帳戶」列中輸入此帳戶名稱 (格式為「網域\帳戶」)。
按一下 [取消] 關閉 [SharePoint 2010 計時器屬性] 對話方塊。
設定 DuetConfig.exe.config 檔案
執行下列步驟,設定 DuetConfig.exe.config.xml 檔案的 ProfileSynchronization 節點中角色同步處理所使用的設定。這些設定是 SharePoint 計時器工作所使用,用以同步處理「SharePoint 使用者設定檔儲存」與 SAP 設定檔儲存的。
注意
您必須是 Windows 管理員群組的成員,才可完成此程序。
設定 DuetConfig.exe.config 檔案
開啟命令提示字元視窗,並移至 <磁碟機>:\Program Files\Duet Enterprise\1.0 資料夾。
其中:
<磁碟機> 是儲存 Duet Enterprise 檔案的磁碟機。
在提示處,輸入 notepad DuetConfig.exe.config,然後按 Enter。
在 DuetConfig.exe.config 檔案中,新增 ProfileSychronizations 節點中下列機碼的值:UserProfileServiceApplicationName、LOBSystemInstanceName、EntityName、EntityNamespace、MethodInstanceName、Batchsize 及 MembershipProvider。
下列各節提供如何提供這些機碼之值的詳細指示。
UserProfileServiceApplicationName 機碼
UserProfileServiceApplicationName 的值必須設定為想要用於與 SAP 環境之設定檔同步處理的 User Profile Service 應用程式名稱。請注意,此服務應用程式的預設名稱是 User Profile Service 應用程式。管理員可變更此名稱,或者您也可能擁有多個 User Profile Service 應用程式。
|
如果您是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404),則此名稱會列在工作表之表格 1 的「User Profile Service 應用程式名稱」列中。 |
指定 UserProfileServiceApplicationName 機碼的值
- 如果您要用於 Duet Enterprise 的 User Profile Service 應用程式名稱不是 DuetConfig.exe.config 檔案中所顯示的預設值 (User Profile Service 應用程式),請將 "UserProfileServiceApplicationName" 機碼值變更為您 User Profile Service 應用程式的名稱。
LOBSystemInstanceName、EntityName、EntityNamespace 及 MethodInstanceName 機碼
在大部分情況下,DuetConfig.exe.config 檔案中 LOBSystemInstanceName、EntityName、EntityNamespace 及 MethodInstanceName 機碼的預設值已適用,因為它們符合在 Duet Enterprise 所提供之 UserRoles.xml BDC 模型中看到的值。如果 SAP 管理員變更 UserRoles.xml 檔案中這些機碼的值,則您必須在 DuetConfig.exe.config 檔案中設定這些值,讓它們相同。
檢視 UserRoles.xml 檔案
以管理員身分開啟命令提示字元視窗,並移至含有已解壓縮模型檔案的資料夾。
如果您是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404),則已解壓縮模型檔案的位置會列在工作表之表格 1 的「已解壓縮模型檔案位置」列中。
在命令提示字元視窗中,輸入 notepad UserRoles.xml,並按 Enter。
驗證並更新機碼值
在 UserRoles.xml 檔案中,搜尋 LOBSystemInstance 機碼。
如果 Name 屬性的值是 "SAPUsersService",請進入步驟 4。否則,請進入步驟 3。
變更 DuetConfig.exe.config 檔案中的 LOBSystemInstanceName 機碼值,使其符合 UserRoles.xml 檔案中 LOBSystemInstance 機碼的 Name 屬性值。
在 UserRoles.xml 檔案中,搜尋 Entity 機碼。如果 Name 屬性的值是 SAPUsers,請進入步驟 6。否則,請進入步驟 5。
變更 DuetConfig.exe.config 檔案中的 EntityName 機碼值,使其符合 UserRoles.xml 檔案中 Entity 節點的 Name 屬性值。
在 UserRoles.xml 檔案中,針對 Entity 機碼,如果 Entity 機碼的 Namespace 屬性值是 "SAP.Office.DuetEnterprise.Roles",請進入步驟 8。否則,請進入步驟 7。
變更 DuetConfig.exe.config 中的 EntityName 機碼值使其相符。
在 UserRoles.xml 檔案中,搜尋 MethodInstanceName。如果 MethodInstanceName 的值是 "employeeGetAll",請進入步驟 9。否則,請變更 DuetConfig.exe.config 檔案中的 MethodInstanceName 機碼值,使其符合 UserRoles.xml 中 MethodInstanceName 屬性的值。
關閉 UserRoles.xml 檔案。
Batchsize 機碼
您可以使用 Batchsize 參數指定可在單一網路呼叫中同步處理的最大使用者帳戶數目。預設值為 100。將此值變更為較大的數目,可能會改善角色同步處理效能。但是,您將需要進行實驗,以決定您部署最適合的值。
MembershipProvider 機碼
不使用此機碼。它是供未來支援之用。建議您接受此機碼的預設值 (即 "membership")。
設定設定檔同步處理
此程序會在 SharePoint 與 SAP 系統之間建立 Business Connectivity Services 連線,並會更新設定檔同步處理工作定義的設定,您在稍後的程序中將會使用這些工作定義,同步處理 SharePoint 與 SAP 設定檔儲存。
注意
您必須是 SharePoint 伺服器陣列管理員群組的成員,才可完成此程序。
設定設定檔同步處理
開啟命令提示字元視窗,並移至 "<磁碟機>:\Program Files\Duet Enterprise\1.0" 資料夾。
其中 <磁碟機> 是儲存 Duet Enterprise 檔案的磁碟機。
在提示處,輸入 DuetConfig.exe /configureprofileSync,然後按 Enter。
已設定設定檔同步處理時,會出現「已成功地更新所指定設定檔同步處理工作的設定」訊息。
同步處理 SAP 設定檔與 SharePoint 使用者設定檔儲存
注意
您必須是伺服器陣列管理員群組的成員,才可完成此程序。
開始啟動此程序之前,請執行下列動作:
確定 SAP 管理員已設定 SAML 以建立端點。
如果您是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404),工作表之表格 2 的「是否設定 SAML (是/否)」列值會是 [是] (如果已設定)。
確定「將角色同步處理至取用者」工作在 SAP 系統上已完成執行。
SAP 管理員必須定期執行「將角色同步處理至取用者」工作,以將 SAP 系統上的使用者角色同步處理至執行 SAP NetWeaver 之伺服器上的設定檔儲存。建議您等到 SAP 管理員完成同步處理工作之後,再同步處理 SAP 使用者設定檔儲存與「SharePoint 使用者設定檔儲存」。否則,SAP 設定檔儲存與「SharePoint 使用者設定檔儲存」之間的同步處理工作,可能需要更長的時間才能完成。請注意,若要同步處理 100,000 位使用者,「將角色同步處理至取用者」工作需要約 80 分鐘,但是將 SAP NetWeaver 中的設定檔儲存同步處理至「SharePoint 使用者設定檔儲存」則需要約 100 分鐘。如果您想排程這些同步處理工作,建議您先手動執行,以確定每個工作在系統上執行所需的平均時間。
同步處理設定檔
在管理中心的 [快速啟動] 上,按一下 [監視]。
在 [監視] 頁面上,按一下 [計時器工作] 區段中的 [檢閱工作定義]。
在 [工作定義] 頁面的 [標題] 欄中,按一下 [<User Profile Service 應用程式名稱> 的 Duet Enterprise 設定檔同步處理] 連結。
其中 <User Profile Service 應用程式名稱> 是您用於角色同步處理的 User Profile Service 應用程式名稱。
提示
此連結的名稱預設為「User Profile Service 應用程式的 Duet Enterprise 設定檔同步處理」。
如果您是使用部署工作表 (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x404),此名稱會列在表格 1 的「BDC 服務名稱」列中。
在 [編輯計時器工作] 頁面上,按一下 [立刻執行]。
注意
此計時器工作已排程每天執行一次,但是,如果因此而導致效能問題,您可以加以設定以減少其執行頻率。
如需 SharePoint 計時器工作的詳細資訊,請參閱檢視計時器工作狀態 (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=204641&clcid=0x404)。
授與網站的 SAP 角色權限
同步處理 SAP 使用者設定檔儲存與「SharePoint 使用者設定檔儲存」之後,您可以執行此程序,根據使用者的 SAP 角色授與網站的權限。請注意,只支援位於使用宣告式驗證之 Web 應用程式中的網站。
提示
此程序需要已同步處理至「SharePoint 使用者設定檔儲存」的 SAP 角色。
注意
您必須是網站擁有人,才可執行此程序。
授與網站的 SAP 角色權限
在瀏覽器中,進入您要啟用 SAP 角色的網站。
在 [網站動作] 功能表上,按一下 [網站權限]。
在功能區的 [授與] 群組中,按一下 [授與權限]。
在 [授與權限] 對話方塊中,按一下 [選取使用者] 區段中的 [瀏覽]。
提示
瀏覽是以與書本類似的圖示代表。
在 [尋找] 方塊中,輸入您要尋找之 SAP 角色的部分名稱,然後按一下 [搜尋]。
選取 SAP 角色名稱,然後按一下 [新增],再按一下 [確定]。
在 [授與權限] 對話方塊的 [授與權限] 區段中,選取您要新增使用者的群組,然後按一下 [確定]。