Synchroniser les profils et les rôles (Duet Enterprise)

 

S’applique à : Duet Enterprise for Microsoft SharePoint and SAP

Dernière rubrique modifiée : 2015-03-09

Cet article explique comment activer la synchronisation des rôles pour Duet Enterprise for Microsoft SharePoint and SAP. Il suppose que les opérations suivantes ont été préalablement réalisées :

• Un administrateur SAP a créé le mappage utilisateur SAP/rôle SAP dans le système SAP.

• Un administrateur SharePoint a démarré le service de synchronisation de profil utilisateur et a créé une connexion de synchronisation des profils au service Services de domaine Active Directory (AD DS) qui contient les comptes d’utilisateur utilisés par la batterie de serveurs SharePoint Server. Pour plus d’informations sur la réalisation de ces procédures, voir Configurer la synchronisation de profil (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=202966&clcid=0x40C).

• L’administrateur SharePoint a synchronisé le service AD DS avec le magasin de profils utilisateur SharePoint. Suivez les instructions indiquées dans Planifier une synchronisation de profil non récurrente (SharePoint Server 2010) (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=201163&clcid=0x40C) pour synchroniser les informations de profil utilisateur entre AD DS et SharePoint Server 2010.

Dans cet article :

• Activer la fonctionnalité de fournisseur de revendications pour Duet Enterprise

• Accorder des autorisations sur le magasin de métadonnées

• Vérifier que l’administrateur de batterie dispose d’autorisations Contrôle total

• Fournir le compte du service SharePoint 2010 Timer

• Configurer le fichier DuetConfig.exe.config

• Configurer la synchronisation des profils

• Synchroniser les profils SAP avec le magasin de profils utilisateur SharePoint

• Accorder à un rôle SAP des autorisations sur un site

Activer la fonctionnalité de fournisseur de revendications pour Duet Enterprise

Notes

Vous devez être membre du groupe Administrateurs de batterie pour effectuer cette procédure.

Pour activer la fonctionnalité de fournisseur de revendications pour Duet Enterprise

1. Sur le site Web Administration centrale, dans la barre de lancement rapide, cliquez sur Administration centrale.

2. Dans la section Paramètres système, cliquez sur Gérer les fonctionnalités des batteries de serveurs.

3. Dans la ligne Fournisseur de revendications relatives aux rôles SAP Duet Enterprise, cliquez sur Activer.

   La colonne d’état indique Actif. Lorsque les rôles SAP sont actifs, ils sont disponibles dans le sélecteur de personnes une fois que le magasin de profils utilisateur SharePoint Server 2010 a été synchronisé avec le magasin de profils SAP.

Accorder des autorisations sur le magasin de métadonnées

Notes

Vous devez être membre du groupe Administrateurs de batterie pour effectuer cette procédure.

Pour accorder des autorisations sur le magasin de métadonnées

1. Dans l’Administration centrale, dans le menu de lancement rapide, cliquez sur Gestion des applications.

2. Dans la section Applications de service, cliquez sur Gérer les applications de service.

3. Dans la colonne Nom, cliquez sur le lien Application du service BDC.

4. Dans le groupe Autorisations du Ruban, cliquez sur Définir les autorisations du magasin de métadonnées.

5. Dans la boîte de dialogue Définir les autorisations du magasin de métadonnées, dans la zone du haut, entrez le compte d’utilisateur de l’administrateur qui déploie Duet Enterprise.

   Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), ce nom est répertorié dans la ligne « Setup user account » (compte d’utilisateur du programme d’installation) du tableau 3 de la feuille.

6. Cliquez sur Ajouter.

7. Dans la section Autorisations pour Tous les utilisateurs authentifiés (section du bas), vérifiez que la case à cocher Exécuter est activée.

8. Cliquez sur OK.

   Notes

   Si au moins un utilisateur ne bénéficie toujours pas de l’autorisation Définir les autorisations sur le magasin de métadonnées, vous risquez d’obtenir le message d’erreur suivant : « Au moins un utilisateur/groupe de cette liste doit disposer du droit SetPermissions pour éviter de créer un objet non gérable ». Pour résoudre ce problème, accordez à au moins un utilisateur l’autorisation Définir les autorisations sur le magasin de métadonnées.

Vérifier que l’administrateur de batterie dispose d’autorisations Contrôle total et vérifier le nom de l’application de service de profil utilisateur

Appliquez cette procédure pour vérifier que les membres du groupe Administrateurs de batterie disposent d’autorisations Contrôle total sur le service de profil utilisateur par défaut et sur l’application de Service Business Data Connectivity dans la batterie de serveurs SharePoint.

Conseil

SharePoint Server 2010 prend en charge plusieurs applications de service de profil utilisateur. Toutefois, la synchronisation des rôles Duet Enterprise ne fonctionne qu’avec l’application de service de profil utilisateur par défaut.

Notes

Vous devez être membre du groupe Administrateurs de batterie ou administrateur de l’application de service de profil utilisateur pour effectuer cette procédure.

Pour vérifier que l’administrateur de batterie dispose d’autorisations Contrôle total

1. Dans l’Administration centrale, dans la barre de lancement rapide, cliquez sur Administration centrale.

2. Dans la section Gestion des applications, cliquez sur Gérer les applications de service.

3. Dans la colonne Type, cliquez sur la ligne qui contient l’application de service de profil utilisateur par défaut pour sélectionner la ligne.

4. Le nom de l’application de service de profil utilisateur est répertorié dans la colonne Nom. Notez le nom de cette application de service, car vous en aurez besoin dans une procédure ultérieure.

   Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), tapez ce nom dans la ligne « User Profile Service Application name » (nom de l’application de service de profil utilisateur) du tableau 1 de la feuille.

5. Dans le groupe Partage du Ruban, cliquez sur Autorisations.

6. Dans la boîte de dialogue Autorisations de connexion, vérifiez que l’administrateur de batterie bénéficie d’autorisations Contrôle total.

7. Cliquez sur OK.

8. Dans la colonne Type, cliquez sur l’application du service BDC associée au service que vous utilisez pour la synchronisation des rôles.

9. Dans le groupe Partage du Ruban, cliquez sur Autorisations.

10. Dans la boîte de dialogue Autorisations de connexion, vérifiez que l’administrateur de batterie bénéficie de l’autorisation Contrôle total.

Fournir le compte du service SharePoint 2010 Timer

Vous devez fournir à l’administrateur SAP le compte d’utilisateur affecté au service SharePoint 2010 Timer, également appelé service SPTimerV4. L’administrateur SAP doit vérifier que ce compte est mappé sur un utilisateur SAP qui bénéficie d’autorisations suffisantes sur le système SAP pour exécuter la requête d’affectation des rôles d’utilisateur.

Notes

Vous devez être membre du groupe Administrateurs Windows pour effectuer cette procédure.

Pour obtenir le compte d’utilisateur pour le service SharePoint 2010 Timer

1. Connectez-vous à un serveur Web frontal dans la batterie de serveurs SharePoint Server 2010 en tant que membre du groupe Administrateurs.

2. Cliquez sur Démarrer, pointez sur Outils d’administration , puis cliquez sur Services.

3. Dans la colonne Nom, cliquez avec le bouton droit sur SharePoint 2010 Timer, puis cliquez sur Propriétés.

4. Dans la boîte de dialogue Propriétés pour SharePoint 2010 Timer, sous l’onglet Connexion, notez le nom de compte répertorié dans la zone de texte Ce compte.

5. Fournissez ce nom de compte à l’administrateur SAP.

   Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), tapez ce nom de compte, au format domaine\compte, dans la ligne « SharePoint 2010 Timer service account » (compte du service SharePoint 2010 Timer) du tableau 1 de la feuille.

6. Cliquez sur Annuler pour fermer la boîte de dialogue Propriétés pour SharePoint 2010 Timer.

Configurer le fichier DuetConfig.exe.config

Effectuez les étapes suivantes pour configurer les paramètres du nœud de synchronisation de profils du fichier DuetConfig.exe.config.xml qui sont utilisés par la synchronisation des rôles. Ces paramètres permettent au travail du minuteur SharePoint de synchroniser le magasin de profils utilisateur SharePoint avec le magasin de profils SAP.

Notes

Vous devez être membre du groupe Administrateurs Windows pour effectuer cette procédure.

Pour configurer le fichier DuetConfig.exe.config

1. Ouvrez une fenêtre d’invite de commandes et accédez au dossier <lecteur>:\Program Files\Duet Enterprise\1.0.

   Où :

   <lecteur> représente le lecteur sur lequel les fichiers Duet Enterprise sont stockés.

2. Depuis l’invite, tapez notepad DuetConfig.exe.config et appuyez sur Entrée.

3. Dans le fichier DuetConfig.exe.config, ajoutez des valeurs aux clés suivantes dans le nœud ProfileSychronizations : UserProfileServiceApplicationName, LOBSystemInstanceName, EntityName, EntityNamespace, MethodInstanceName, Batchsize et MembershipProvider.

   Les sections suivantes fournissent des instructions détaillées sur les valeurs à fournir pour ces clés.

Clé UserProfileServiceApplicationName

La valeur de la clé UserProfileServiceApplicationName doit être définie sur le nom de l’application de service de profil utilisateur que vous souhaitez utiliser pour la synchronisation des profils avec l’environnement SAP. Notez que le nom par défaut de cette application de service est Application de service de profil utilisateur. Un administrateur peut modifier ce nom ou vous pouvez disposer de plusieurs applications de service de profil utilisateur.

Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), ce nom est répertorié dans la ligne « User Profile Service Application name » (nom de l’application de service de profil utilisateur) du tableau 1 de la feuille.

Pour spécifier la valeur de la clé UserProfileServiceApplicationName

• Si le nom de l’application de service de profil utilisateur que vous souhaitez utiliser pour Duet Enterprise n’est pas la valeur par défaut telle qu’indiquée dans le fichier DuetConfig.exe.config (Application de service de profil utilisateur), attribuez à la clé UserProfileServiceApplicationName le nom de votre application de service de profil utilisateur.

Clés LOBSystemInstanceName, EntityName, EntityNamespace et MethodInstanceName

Dans la plupart des cas, les valeurs par défaut des clés LOBSystemInstanceName, EntityName, EntityNamespace et MethodInstanceName dans le fichier DuetConfig.exe.config sont appropriées, car elles correspondent aux valeurs indiquées dans les modèles BDC UserRoles.xml fournis avec Duet Enterprise. Si l’administrateur SAP modifie les valeurs de ces clés dans le fichier UserRoles.xml, vous devez configurer les valeurs dans le fichier DuetConfig.exe.config afin qu’elles soient identiques.

Pour afficher le fichier UserRoles.xml

1. Ouvrez une fenêtre d’invite de commandes en tant qu’administrateur et accédez au dossier qui contient les fichiers de modèles décompressés.

   Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), l’emplacement des fichiers de modèles décompressés est répertorié dans la ligne « Unzipped model file location » (emplacement des fichiers de modèles décompressés) du tableau 1 de la feuille.

2. Dans la fenêtre d’invite de commandes, tapez notepad UserRoles.xml, puis appuyez sur Entrée.

Vérifier et mettre à jour les valeurs des clés

1. Dans le fichier UserRoles.xml, recherchez la clé LOBSystemInstance.

2. Si la valeur de la propriété Name est « SAPUsersService », passez à l’étape 4. Dans le cas contraire, passez à l’étape 3.

3. Modifiez la valeur de la clé LOBSystemInstanceName dans le fichier DuetConfig.exe.config afin qu’elle corresponde à la valeur de la propriété Name de la clé LOBSystemInstance dans le fichier UserRoles.xml.

4. Dans le fichier UserRoles.xml, recherchez la clé Entity. Si la valeur de la propriété Name est SAPUsers, passez à l’étape 6. Dans le cas contraire, passez à l’étape 5.

5. Modifiez la valeur de la clé EntityName dans le fichier DuetConfig.exe.config afin qu’elle corresponde à la valeur de la propriété Name du nœud Entity dans le fichier UserRoles.xml.

6. Dans le fichier UserRoles.xml, pour la clé Entity, si la valeur de la propriété Namespace est « SAP.Office.DuetEnterprise.Roles », passez à l’étape 8. Dans le cas contraire, passez à l’étape 7.

7. Modifiez la valeur de la clé EntityName dans le fichier DuetConfig.exe.config afin qu’elle corresponde.

8. Dans le fichier UserRoles.xml, recherchez MethodInstanceName. Si la valeur de la clé MethodInstanceName est « employeeGetAll », passez à l’étape 9. Sinon, modifiez la valeur de la clé MethodInstanceName dans le fichier DuetConfig.exe.config afin qu’elle corresponde à la valeur de la propriété MethodInstanceName dans le fichier UserRoles.xml.

9. Fermez le fichier UserRoles.xml.

Clé Batchsize

Vous pouvez utiliser le paramètre Batchsize pour spécifier le nombre maximal de comptes d’utilisateur pouvant être synchronisés dans un même appel réseau. La valeur par défaut est 100. La définition de cette valeur sur un nombre plus élevé peut améliorer les performances de la synchronisation des rôles. Toutefois, vous devez faire des tests pour déterminer la valeur qui fonctionne le mieux pour votre déploiement.

Clé MembershipProvider

Cette clé n’est pas utilisée. Elle est fournie pour une prise en charge future. Il est recommandé d’accepter la valeur par défaut de cette clé, qui est « membership ».

Configurer la synchronisation des profils

Cette procédure indique comment créer la connexion Business Connectivity Services entre les systèmes SharePoint et SAP et mettre à jour les paramètres de la définition de travail de synchronisation des profils qui vous permettra de synchroniser les magasins de profils SharePoint et SAP dans une procédure ultérieure.

Notes

Vous devez être membre du groupe Administrateurs de batterie SharePoint pour effectuer cette procédure.

Pour configurer la synchronisation des profils

1. Ouvrez une fenêtre d’invite de commandes et accédez au dossier « <lecteur>:\Program Files\Duet Enterprise\1.0 ».

   Où <lecteur> représente le lecteur sur lequel les fichiers Duet Enterprise sont stockés.

2. Depuis l’invite, tapez DuetConfig.exe /configureprofileSync, puis appuyez sur Entrée.

   Lorsque la synchronisation des profils est configurée, le message « Les paramètres du travail de synchronisation des profils spécifié ont été correctement mis à jour » apparaît.

Synchroniser les profils SAP avec le magasin de profils utilisateur SharePoint

Notes

Vous devez être membre du groupe Administrateurs de batterie pour effectuer cette procédure.

Avant de commencer cette procédure, effectuez les opérations suivantes :

• assurez-vous que l’administrateur SAP a configuré SAML de façon à créer un point de terminaison ;

  Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), la valeur de la ligne « SAML is configured (Yes/No) » (SAML est configuré (Oui/Non)) du tableau 2 de la feuille est Oui si SAML est configuré.

• assurez-vous que le travail « Synchroniser les rôles avec les clients » a fini de s’exécuter sur le système SAP.

  L’administrateur SAP doit exécuter le travail « Synchroniser les rôles avec les clients » régulièrement afin de synchroniser les rôles utilisateur sur le système SAP avec le magasin de profils sur le serveur qui exécute SAP NetWeaver. Nous vous recommandons de ne pas synchroniser le magasin de profils utilisateur SAP avec le magasin de profils utilisateur SharePoint avant que l’administrateur SAP ait terminé le travail de synchronisation, car cela risquerait d’allonger la durée du travail de synchronisation entre le magasin de profil SAP et le magasin de profils utilisateur SharePoint. Notez que le travail « Synchroniser les rôles avec les clients » nécessite environ 80 minutes pour synchroniser 100 000 utilisateurs, alors que la synchronisation du magasin de profils dans SAP NetWeaver avec le magasin de profils utilisateur SharePoint nécessite environ 100 minutes pour synchroniser 100 000 utilisateurs. Si vous prévoyez de planifier ces travaux de synchronisation, nous vous recommandons de les exécuter d’abord manuellement afin de déterminer la durée moyenne d’exécution de chaque travail sur vos systèmes.

Pour synchroniser les profils

1. Dans l’Administration centrale, dans la barre de lancement rapide, cliquez sur Analyse.

2. Dans la page Analyse, dans la section Travaux du minuteur, cliquez sur Examiner les définitions de travail.

3. Dans la page Définitions des travaux, dans la colonne Titre, cliquez sur le lien Synchronisation des profils Duet Enterprise pour <nom de l’application de service de profil utilisateur>.

   où <nom de l’application de service de profil utilisateur> est le nom de l’application de service de profil utilisateur que vous utilisez pour la synchronisation des rôles.

   Conseil

   Par défaut, le nom de ce lien est Synchronisation des profils Duet Enterprise pour Application de service de profil utilisateur.

   Si vous utilisez la feuille relative au déploiement (https://go.microsoft.com/fwlink/?linkid=205392&clcid=0x40C), ce nom est répertorié dans la ligne « BDC service name » (nom du service BDC) du tableau 1.

4. Dans la page Modifier le travail du minuteur, cliquez sur Exécuter maintenant.

   Notes

   Ce travail du minuteur est programmé pour s’exécuter une fois par jour, mais vous pouvez le configurer pour qu’il s’exécute moins souvent s’il engendre un problème de performances.

   Pour plus d’informations sur les travaux du minuteur SharePoint, voir Afficher l’état du travail du minuteur (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=204641&clcid=0x40C).

Accorder à un rôle SAP des autorisations sur un site

Une fois le magasin de profils utilisateur SAP synchronisé avec le magasin de profils utilisateur SharePoint, vous pouvez effectuer cette procédure pour accorder aux utilisateurs des autorisations sur un site en fonction de leurs rôles SAP. Notez que seuls les sites se trouvant dans une application Web qui utilise l’authentification basée sur les revendications sont pris en charge.

Conseil

Cette procédure suppose que les rôles SAP ont déjà été synchronisés avec le magasin de profils utilisateur SharePoint.

Notes

Vous devez être propriétaire de site pour effectuer cette procédure.

Pour accorder à un rôle SAP des autorisations sur un site

1. Dans un navigateur, accédez au site pour lequel vous souhaitez activer des rôles SAP.

2. Dans le menu Actions du site, cliquez sur Autorisations de site.

3. Dans le groupe Accorder du Ruban, cliquez sur Accorder des autorisations.

4. Dans la boîte de dialogue Accorder des autorisations, dans la section Sélectionnez les utilisateurs, cliquez sur Parcourir.

   Conseil

   Cette option est représentée par une icône symbolisant un livre.

5. Dans la zone Rechercher, tapez une partie du nom de rôle SAP à rechercher, puis cliquez sur Rechercher.

6. Sélectionnez le nom de rôle SAP, cliquez sur Ajouter, puis cliquez sur OK.

7. Dans la boîte de dialogue Accorder des autorisations, dans la section Accorder des autorisations, sélectionnez le groupe auquel vous souhaitez ajouter l’utilisateur, puis cliquez sur OK.