Comptes et certificats d’administration et de service requis pour le déploiement (Duet Enterprise)
S’applique à : Duet Enterprise for Microsoft SharePoint and SAP Server 2.0
Dernière rubrique modifiée : 2015-03-09
Avant de démarrer l’installation de Duet Enterprise, il est recommandé de créer les comptes de service et d’utilisateur dont vous aurez besoin. Par exemple, vous aurez besoin d’un compte de service pour l’application Web utilisée pour les sites Duet Enterprise et d’un ou de plusieurs comptes de service utilisés pour les communications entre la batterie de serveurs SharePoint et le système SAP. Vous aurez également besoin d’un certificat SSL pour configurer les communications sécurisées entre l’application Web pour les sites Duet Enterprise et le système SAP. En outre, un administrateur SAP fournira un certificat SSL pour lequel vous devez créer une relation d’approbation sur l’environnement SharePoint.
Dans cet article :
Comptes nécessaires pour déployer Duet Enterprise
Certificats nécessaires pour sécuriser Duet Enterprise
Créer un compte géré
Comptes nécessaires pour déployer Duet Enterprise
Les sections suivantes décrivent les comptes qui permettent de déployer Duet Enterprise. Les tableaux décrivent les comptes que vous devrez fournir lors du processus de déploiement.
Notes
Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), vous pouvez y enregistrer les comptes.
Installer Duet Enterprise
Le tableau suivant décrit les conditions requises pour le compte utilisé pour l’installation de Duet Enterprise.
| Compte | Finalité | Conditions requises |
|---|---|---|
Compte d’utilisateur du programme d’installation |
Compte d’utilisateur utilisé pour effectuer les opérations suivantes :
Ce compte bénéficiera de l’autorisation d’exécution sur le magasin de métadonnées du Service Business Data Connectivity. Étape de la feuille : si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), enregistrez ce compte dans la ligne « Setup user account » (compte d’utilisateur du programme d’installation) du tableau 3. |
|
Configurer les communications sécurisées entre la batterie de serveurs SharePoint et le système SAP
Les comptes indiqués dans le tableau suivant sont nécessaires lorsque vous créez les applications Web pour les sites Duet Enterprise.
| Compte | Finalité | Conditions requises |
|---|---|---|
Compte de service |
Utilisé pour l’application Web des sites Duet Enterprise. Étape de la feuille : si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), enregistrez ce compte dans la ligne « Service account for the Duet Enterprise sites Web application » (compte de service pour l’application Web des sites Duet Enterprise) du tableau 3. |
Le compte doit être configuré en tant que compte géré dans SharePoint Server. Important N’utilisez pas de compte d’utilisateur à cette fin, car cela pourrait porter préjudice à la cohérence des tâches de flux de travail SAP. À la place, il est recommandé d’utiliser un compte de domaine Windows unique qui n’est utilisé à aucune autre fin. |
Importer des modèles BDC
Les comptes indiqués dans le tableau suivant sont nécessaires lorsque vous importez des modèles BDC. Les modèles BDC fournis avec Duet Enterprise sont mis à jour par un administrateur SAP afin qu’ils correspondent aux paramètres dans le système SAP, puis sont fournis à un administrateur SharePoint qui doit les importer dans SharePoint Server.
| Compte | Finalité | Conditions requises |
|---|---|---|
Utilisateurs finaux pouvant accéder au contenu SAP |
Permet de spécifier les comptes de groupes de services de domaine Active Directory (AD DS) ou d’utilisateurs auxquels seront accordées des autorisations d’exécution sur les modèles BDC. Notes Il est recommandé de spécifier le groupe Windows nt authority\utilisateurs authentifiés pendant le déploiement. Cela permet à tous les utilisateurs authentifiés d’accéder au contenu SAP. Après le déploiement, si vous souhaitez renforcer la sécurité, vous pouvez remplacer ce groupe Windows par des comptes d’utilisateur spécifiques ou par un autre groupe Windows. Étape de la feuille : si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), enregistrez les groupes ou comptes d’utilisateur que vous souhaitez utiliser dans la ligne « Users who can access SAP content » (utilisateurs pouvant accéder au contenu SAP) du tableau 3 de la feuille. |
Utilisateur ou groupe Windows. Notes Il doit s’agir d’un groupe ou compte de domaine valide. Les groupes SharePoint ne sont pas pris en charge. |
Compte d’accès WSDL |
Permet d’accéder aux fichiers WSDL SAP et de les télécharger. Ce compte bénéficiera d’autorisations complètes sur tous les modèles BDC. Étape de la feuille : si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), l’administrateur SAP fournira ce compte dans les lignes « User name for WSDL access » (nom d’utilisateur pour l’accès WSDL) et « Password for WSDL access » (mot de passe pour l’accès WSDL) du tableau 2 de la feuille. |
Utilisateur ou groupe Windows. Le compte d’accès WSDL est créé par l’administrateur SAP. Vous devez fournir le nom d’utilisateur ou de groupe et le mot de passe associé. |
Synchroniser les profils et les rôles
Le compte indiqué dans le tableau suivant est nécessaire si vous envisagez de configurer la synchronisation des rôles pour Duet Enterprise.
| Compte | Finalité | Conditions requises |
|---|---|---|
Compte AD DS |
Permet à un administrateur SharePoint de synchroniser les comptes d’utilisateur dans AD DS avec le magasin de profils utilisateur dans la batterie de serveurs SharePoint Server. Un administrateur SAP utilise également ce compte pour extraire des comptes d’utilisateur d’AD DS dans le magasin de profils SAP. Conseil L’administrateur AD DS peut fournir ce nom de compte. Étape de la feuille : si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), enregistrez le nom et le mot de passe de ce compte dans la ligne « AD DS account and password » (compte et mot de passe AD DS) du tableau 1. |
|
Configurer les rapports
Les comptes indiqués dans le tableau suivant sont nécessaires si vous envisagez de configurer la solution de rapport pour Duet Enterprise.
| Compte | Finalité | Conditions requises |
|---|---|---|
Compte d’éditeur de rapport |
Permet d’autoriser l’envoi des rapports depuis le système SAP vers SharePoint Server. Le compte bénéficiera de l’autorisation Contrôle total sur l’URL de l’éditeur de rapport. Étape de la feuille : si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), enregistrez le nom et le mot de passe de ce compte dans la ligne « Report publisher account » (compte d’éditeur de rapport) du tableau 3. |
Ces compte d’utilisateur et mot de passe sont fournis à l’administrateur SAP afin qu’il les utilise en guise de compte d’éditeur de rapport sur le système SAP. Par conséquent, il est recommandé de créer un compte spécifiquement à cette fin au lieu d’utiliser le compte d’utilisateur d’une personne. |
Configurer des flux de travail SAP
Le compte indiqué dans le tableau suivant est nécessaire si vous envisagez de configurer des sites de flux de travail Duet Enterprise dans SharePoint Server.
| Compte | Finalité | Conditions requises |
|---|---|---|
Compte de service |
Utilisé pour toutes les transactions de flux de travail entre SharePoint Server et l’environnement SAP. SharePoint Server accepte uniquement les demandes émanant du compte de service de flux de travail. En outre, il s’agit du seul compte pouvant envoyer des protocoles au système SAP. Étape de la feuille : si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), enregistrez ce compte dans la ligne « Workflow publisher account » (compte d’éditeur de flux de travail) du tableau 3. |
Membre du groupe Propriétaires SharePoint de tous les sites de flux de travail. Important Ne recourez pas au même compte que celui utilisé comme compte du pool d’applications pour des applications Web. En particulier, il ne peut pas s’agir du compte que vous avez entré dans la ligne « Service account for the Duet Enterprise sites Web application » (Compte de service pour l’application Web des sites Duet Enterprise) du tableau 3 de la feuille relative au déploiement. L’utilisation du même compte peut porter préjudice à la cohérence des tâches de flux de travail. Par conséquent, il est recommandé d’utiliser un compte de domaine Windows unique qui n’est utilisé à aucune autre fin. |
Certificats nécessaires pour sécuriser Duet Enterprise
Tous les appels réseau entre l’application Web configurée pour les sites Duet Enterprise et le système SAP sont réalisés via SSL (HTTPS). En outre, un administrateur SharePoint doit exporter le certificat du service d’émission de jeton de sécurité (STS) et le fournir à un administrateur SAP afin qu’il configure une relation d’approbation sur le système SAP. Ce processus permet aux jetons en provenance du service d’émission de jeton de sécurité SharePoint d’être vérifiés une fois arrivés sur le système SAP. En outre, l’administrateur SharePoint doit configurer une relation d’approbation avec un certificat SSL dont s’est servi l’administrateur SAP pour sécuriser le service Web utilisé par Duet Enterprise. À cette fin, les certificats suivants sont nécessaires.
Les certificats suivants sont utilisés pour la sécurisation de Duet Enterprise :
Un administrateur SharePoint doit obtenir ou créer un certificat SSL pour l’application Web qui sera configurée pour Duet Enterprise. Notez qu’une application Web sur laquelle des solutions Duet Enterprise sont activées doit être étendue pour permettre à une zone configurée d’utiliser le protocole HTTPS (SSL) et l’authentification de base. Cette zone configurée pour SSL, appelée zone tournée vers SAP dans cet article, est utilisée pour toutes les communications avec le système SAP. Un administrateur du serveur qui exécute SharePoint Server 2010 doit lier ce certificat SSL à la zone tournée vers SAP de l’application Web et fournir le certificat à un administrateur du système SAP afin qu’il puisse être approuvé sur le serveur exécutant SAP NetWeaver.
L’administrateur SharePoint doit exporter le certificat du service d’émission de jeton de sécurité (STS) et le fournir à l’administrateur du système SAP. Celui-ci utilisera le certificat STS pour établir une relation d’approbation à sens unique avec le service d’émission de jeton de sécurité.
Un administrateur du système SAP doit fournir le certificat SSL permettant de sécuriser le service Web utilisé par Duet Enterprise à l’administrateur SharePoint, qui configurera une relation d’approbation pour ce certificat. Cela permet aux sites Duet Enterprise d’accepter des informations en provenance de l’environnement SAP.
Notes
Pour des instructions pas à pas sur l’obtention et l’utilisation de ces certificats, voir Configurer les communications sécurisées entre les environnements SharePoint et SAP (https://go.microsoft.com/fwlink/?linkid=205812&clcid=0x40C).
Créer un compte géré
Si l’application Web que vous utiliserez pour les sites Duet Enterprise n’existe pas déjà, vous devrez affecter un compte géré au pool d’applications qui sera utilisé par l’application Web que vous créerez ultérieurement.
Un compte géré est un compte d’utilisateur AD DS dont les informations d’identification sont gérées et stockées dans SharePoint Server. Pour créer un compte géré, vous enregistrez un compte AD DS auprès de SharePoint Server.
Pour déterminer le compte d’utilisateur AD DS
Avant de créer un compte géré, vous devez déterminer le compte d’utilisateur AD DS à utiliser. Il est recommandé de demander à l’administrateur AD DS d’effectuer les opérations suivantes.
Créer un compte spécifiquement à cette fin, au lieu d’utiliser le compte d’un utilisateur.
Configurer le compte afin qu’il possède un mot de passe qui n’expire pas.
Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), enregistrez ce compte dans la ligne « Service account for the Duet Enterprise sites Web application » (compte de service pour l’application Web des sites Duet Enterprise) du tableau 3 de la feuille.
Pour enregistrer un compte géré
Vérifiez que vous disposez des informations d’identification administratives suivantes :
- Vous devez être administrateur de batterie pour effectuer cette procédure.
Sur le site Web Administration centrale, dans la section Sécurité, cliquez sur Configurer les comptes gérés.
Dans la page Comptes gérés, cliquez sur Enregistrer le compte géré.
Dans la section Enregistrement de compte de la page Enregistrer le compte géré, entrez les informations d’identification du compte de service.
Notes
Il est recommandé de ne pas activer la modification automatique du mot de passe pour les comptes de service.
Cliquez sur OK.