Настройка безопасных соединений для нового веб-приложения (Duet Enterprise)
Применимо к: Duet Enterprise for Microsoft SharePoint and SAP
Последнее изменение раздела: 2016-11-29
В процессе развертывания администраторы должны настроить безопасные соединения для следующих компонентов: одно веб-приложение в ферме Microsoft SharePoint Server 2010, один сервер, на котором запущен SAP NetWeaver, и Дополнительный компонент Duet Enterprise SAP.
Можно установить безопасное соединение Microsoft Business Connectivity Services между дополнительным веб-приложением и тем же серверомSAP NetWeaver, для которого уже настроено безопасное хранилище в ферме SharePoint Server. Кроме того, можно установить безопасные соединения между дополнительным веб-приложением и другим сервером, на котором запущен SAP NetWeaver.
В этой статье описаны пошаговые процедуры настройки безопасных соединений между веб-приложением в ферме SharePoint Server и сервером, на котором запущен SAP NetWeaver, где настроены безопасные соединения.
Для настройки безопасных соединений между веб-приложением и сервером, на котором запущен SAP NetWeaver выполните следующие процедуры строго в указанной последовательности:
Создание и получение SSL-сертификата
Расширение веб-приложения для использования протокола SSL
Создание привязки SSL для расширенного веб-приложения
Экспорт SSL-сертификата
Предоставление общего доступа к SSL-сертификату для администратора SAP
Предоставление доверия для SSL-сертификата
Создание и получение SSL-сертификата
Чтобы использовать протокол SSL для защиты веб-приложения, необходимо иметь SSL-сертификат. В рамках рабочей среды рекомендуется получить подписанный сертификат стороннего центра сертификации (ЦС) или ЦС в домене интрасети. Тем не менее в тестовой среде для этих целей можно создать самозаверяющий сертификат. Дополнительные сведения о выборе типа используемого сертификата и способах создания самозаверяющего сертификата см. в руководстве по настройке SSL для IIS 7.0 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=193447&clcid=0x419) (Возможно, на английском языке).
Подготовка веб-приложения
Для всех веб-приложений, в которых будут настроены решения Duet Enterprise, требуется проверка подлинности Windows на основе утверждений. Проверка подлинности на основе форм не поддерживается, поскольку отчеты нельзя направлять на сайты, использующие проверку подлинности на основе форм. Как правило, конечным пользователям требуется обеспечить возможность использования протокола HTTP для доступа к контенту сайтов SharePoint.
Поскольку транзакции рабочего процесса между веб-приложением и системой SAP требуют обычной проверки подлинности, при которой отправка всех данных выполняется открытым текстом, рекомендуется расширить веб-приложение для создания новой зоны и настроить эту зону для использования протокола SSL и обычной проверки подлинности.
При подготовке веб-приложения доступны несколько вариантов действий. Например, можно развернуть сайты Duet Enterprise в существующем веб-приложении или создать новое.
Выполните одну из следующих процедур.
Если веб-приложение, в котором планируется включить функции Duet Enterprise, существует, для него необходимо настроить проверку подлинности Windows на основе утверждений. О том, как проверить, поддерживает ли существующее веб-приложение Duet Enterprise, см. в разделе Проверка настройки проверки подлинности Windows на основе утверждений в веб-приложении.
Если веб-приложение, для которого необходимо включить функцию Duet Enterprise не существует, перейдите к разделу Создание веб-приложения для сайтов Duet Enterprise.
Проверка настройки проверки подлинности Windows на основе утверждений в веб-приложении
При наличии веб-приложения, которое нужно использовать для сайтов Duet Enterprise, для него необходимо настроить проверку подлинности Windows на основе утверждений. Сведения о создании нового веб-приложения для сайтов Duet Enterprise см. в разделе Создание веб-приложения для сайтов Duet Enterprise.
Если веб-приложение, которое планируется использовать для сайтов Duet Enterprise, не настроено для использования проверки подлинности Windows на основе утверждений, следует преобразовать его соответствующим образом для использования проверки подлинности Windows на основе утверждений или создать новое веб-приложение для сайтов Duet Enterprise. Сведения о преобразовании веб-приложения для использования проверки подлинности Windows на основе утверждений см. в статье, посвященной переходу от проверки подлинности на основе форм на проверку подлинности на основе утверждений (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205651&clcid=0x419), и в статье, посвященной переходу с классического режима проверки подлинности на проверку подлинности на основе утверждений (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=205652&clcid=0x419).
Примечание
Для выполнения этой процедуры необходимо быть членом группы "Администраторы фермы SharePoint".
Чтобы проверить, настроено ли веб-приложение для использования проверки подлинности Windows на основе утверждений, выполните следующие действия:
Проверьте наличие следующих административных учетных данных.
- Необходимо принадлежать к группам "Администраторы фермы SharePoint" и "Администраторы Windows" на сервере, на котором запущен центр администрирования.
На панели быстрого запуска веб-сайта центра администрирования щелкните Управление приложением.
В разделе Веб-приложения щелкните Управление веб-приложениями.
В столбце Имя выберите веб-приложение, для которого нужно проверить поставщик проверки подлинности.
В группе Безопасность на ленте щелкните Поставщики проверки подлинности.
В диалоговом окне "Поставщики проверки подлинности" в разделе "Имя поставщика контроля членства" проверьте, что в зоне, для которой выполняется развертывание сайтов Duet Enterprise указана "Проверка подлинности на основе утверждений". В противном случае приложение не настроено для использования проверки подлинности на основе утверждений, и требуется либо преобразовать веб-приложение для использования проверки подлинности Windows на основе утверждений, либо создать новое веб-приложение для сайтов Duet Enterprise.
Создание веб-приложения для сайтов Duet Enterprise
Веб-приложение для сайтов Duet Enterprise должно быть настроено для использования проверки подлинности Windows на основе утверждений. Если веб-приложения, в котором нужно включить сайты Duet Enterprise, еще нет, воспользуйтесь данной процедурой, чтобы его создать. В противном случае перейдите к разделу Расширение веб-приложения для использования протокола SSL.
Примечание
Для выполнения этой процедуры необходимо быть членом группы "Администраторы фермы SharePoint".
Создание веб-приложения с проверкой подлинности Windows на основе утверждений
Проверьте наличие следующих административных учетных данных.
- Для создания веб-приложения необходимо принадлежать к группам "Администраторы фермы SharePoint" и "Администраторы Windows" на сервере, где установлен центр администрирования.
В разделе Управление приложениями на домашней странице веб-сайта центра администрирования щелкните Управление веб-приложениями.
В группе Участие на ленте щелкните элемент Создать.
На странице "Создание веб-приложения" в разделе Проверка подлинности щелкните Проверка подлинности на основе утверждений.
В разделе Веб-сайт IIS в поле Порт вводится номер порта, который будет использоваться для доступа к этому веб-приложению.
По умолчанию в это поле вносится произвольный номер порта.
Примечание
Номер стандартного порта для доступа по протоколу HTTP — 80. Чтобы пользователи могли получать доступ к приложению без ввода номера порта, используйте номер порта по умолчанию.
Необязательно. В разделе Веб-сайт IIS введите в поле Заголовок узла имя узла (например, www.contoso.com), которое будет использоваться для доступа к веб-приложению.
Примечание
Обычно это значение устанавливается только при необходимости настройки двух и более сайтов IIS, использующих один номер порта на одном сервере, если DNS настроен так, что запросы передаются на один сервер.
В разделе Веб-сайт IIS введите в поле Веб-сайт IIS путь к корневому каталогу веб-сайта IIS на сервере.
Предложенный путь используется для заполнения этого поля.
В разделе Типы проверки подлинности на основе утверждений установите флажок Включить проверку подлинности Windows и в раскрывающемся меню выберите Согласование (Kerberos) или NTLM. Дополнительные сведения см. в разделе Планирование реализации проверки подлинности Kerberos (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0x419).
В разделе Общедоступный URL-адрес измените URL-адрес для полного имени домена. Например, https://corp.contoso.com:80.
Примечание
Значение "Зона" автоматически принимает значение По умолчанию для нового веб-приложения.
В разделе Пул приложений выберите Создать новый пул приложений и введите выбранное имя для нового пула приложений или сохраните имя по умолчанию.
В разделе Выбор учетной записи безопасности для этого пула приложений выберите Настраиваемый и выберите управляемую учетную запись, которая будет использоваться для этого пула приложений.
В разделе Имя базы данных и режим проверки подлинности выберите сервер базы данных и имя базы данных для нового веб-приложения, как описано в следующей таблице, или подтвердите значения по умолчанию.
Элемент Действие Сервер базы данных
Введите имя сервера базы данных и экземпляра Microsoft SQL Server, которые нужно использовать, в формате ИМЯ_СЕРВЕРА\экземпляр. Также можно использовать запись по умолчанию.
Имя базы данных
Введите имя базы данных или воспользуйтесь записью по умолчанию.
В разделе Имя базы данных и режим проверки подлинности установите флажок Проверка подлинности Windows (рекомендуется).
Если используется зеркальное отображение базы данных, в разделе Сервер для отработки отказа в поле Сервер базы данных для отработки отказа введите имя определенного сервера базы данных для отработки отказа, который требуется сопоставить с базой данных контента.
В разделе Подключения к приложениям-службам выберите подключения к приложениям-службам, которые будут доступны веб-приложению. В раскрывающемся меню выберите пункт по умолчанию или настройка. Параметр настройка позволяет выбрать подключения к приложениям-службам, которые требуется использовать совместно с веб-приложением.
Совет
Для Duet Enterprise требуется связать с этим веб-приложением следующие приложения-службы: Служба подключения к бизнес-данным, служба Secure Store и приложение-служба профилей пользователей.
В разделе Программа улучшения качества программного обеспечения щелкните Да, чтобы принять участие в программе улучшения качества программного обеспечения, или Нет, чтобы отказаться.
Нажмите кнопку ОК, чтобы создать веб-приложение.
Нажмите кнопку ОК в отобразившемся диалоговом окне. Созданное веб-приложение отобразится на странице управления веб-приложением в центре администрирования. Не закрывайте эту страницу, поскольку она потребуется при выполнении следующей процедуры.
Расширение веб-приложения для использования протокола SSL
Эта процедура используется для расширения веб-приложения в целях создания зоны, используемой для всех транзакций между веб-приложением и системой SAP.
Расширение веб-приложения
Проверьте наличие следующих административных учетных данных.
- Для создания веб-приложения необходимо принадлежать к группам "Администраторы фермы SharePoint" и "Администраторы Windows" на сервере, где установлен центр администрирования.
В разделе Управление приложениями на домашней странице веб-сайта центра администрирования щелкните Управление веб-приложениями.
На странице "Управление веб-приложениями" выберите веб-приложение, созданное в предыдущей процедуре.
В группе Участие на ленте щелкните Расширение.
На странице "Расширение веб-приложения в другой веб-сайт IIS" в разделе Веб-сайт IIS установите флажок Создать новый сайт IIS и введите имя веб-сайта в поле "Имя" (необязательно).
В разделе Веб-сайт IIS в поле Порт вводится номер порта, который будет использоваться для доступа к этому веб-приложению. По умолчанию это поле заполняется произвольным номером порта.
Необязательно. В разделе Веб-сайт IIS введите в поле Заголовок узла имя узла (например, www.contoso.com), которое будет использоваться для доступа к веб-приложению.
Примечание
Обычно это поле заполняется только при необходимости настройки двух и более сайтов IIS, использующих один номер порта на одном сервере, если DNS настроен так, что запросы передаются на один сервер.
Необязательно. В разделе Веб-сайт IIS введите в поле Веб-сайт IIS путь к корневому каталогу веб-сайта IIS на сервере. По умолчанию это поле заполняется предложенным путем.
В разделе Конфигурация безопасности в подразделе Использовать протокол SSL щелкните Да.
В разделе Типы проверки подлинности на основе утверждений установите флажок Включить проверку подлинности Windows и в раскрывающемся меню выберите Согласование (Kerberos) или NTLM. Дополнительные сведения см. в статье Планирование реализации проверки подлинности Kerberos (SharePoint Server 2010) (https://go.microsoft.com/fwlink/?linkid=192622&clcid=0x419).
Установите флажок Простая проверка подлинности (учетные данные отправляются без шифрования).
В разделе Общедоступный URL-адрес измените URL-адрес для полного имени домена. Например, https://corp.contoso.com:443.
В списке Зона выберите зону, которая будет использоваться для этого порта. Можно выбрать любую из доступных зон, однако рекомендуется выбрать зону Пользовательская, поскольку это имя оптимально соответствует ее назначению.
Чтобы расширить веб-приложение, нажмите кнопку ОК.
Дополнительные сведения о настройке SSL см. в руководстве по настройке SSL для IIS 7.0 (Возможно, на английском языке) (https://go.microsoft.com/fwlink/?linkid=187887&clcid=0x419) (Возможно, на английском языке).
Создание альтернативного сопоставления доступа для веб-приложений с включенным SSL
Доступ к веб-приложению, созданному в предыдущей процедуре, должно осуществляться с использованием URL-адреса, указанного в SSL-сертификате, для которого будет выполнена привязка к этому веб-приложению (в ходе последующей процедуры). Если используются различные URL-адреса, например в том случае, если веб-приложение создано с использованием полного доменного имени, но сертификат использует короткий URL-адрес, необходимо создать альтернативное сопоставление доступа для настройки URL-адреса, указанного в сертификате.
Примечание
Примером полного доменного имени является http://contoso.corp.com. В этом примере коротким URL-адресом будет адрес http://contoso.
Если URL-адрес, указанный в SSL-сертификате, совпадает с URL-адресом, используемым для создания веб-приложения, выполнять эту процедуру не требуется.
Создание альтернативного сопоставления доступа
На панели быстрого запуска в центре администрирования щелкните Параметры системы.
В разделе Управление фермой выберите пункт Настройка сопоставлений альтернативного доступа.
Щелкните Добавить внутренние URL-адреса.
В разделе Набор сопоставлений альтернативного доступа выберите веб-приложение, которое будет использоваться для сайтов Duet Enterprise.
В разделе "Добавление внутреннего URL-адреса" выполните следующие действия:
В поле Протокол, узел и порт URL-адреса введите URL-адрес, указанный в SSL-сертификате.
В списке Зона выберите зону, которая будет использоваться для этого URL-адреса.
Примечание
Это имя зоны, выбранной при расширении веб-приложения в предыдущей процедуре.
Нажмите кнопку Сохранить.
Созданное альтернативное сопоставление доступа отобразится на странице "Альтернативные сопоставления доступа".
Создание привязки SSL для зоны с включенным SSL
Выполните эту процедуру для привязки SSL-сертификата к зоне веб-приложения с включенным SSL.
Примечание
Для выполнения этой процедуры необходимо быть членом группы администраторов на компьютере, где работает SharePoint Server 2010.
Создание привязки SSL к расширенному веб-приложению
Выполните вход на интерфейсный веб-сервер, используя учетные данные участника группы "Администраторы Windows".
Нажмите кнопку Пуск, последовательно выберите пункты Программы, Администрирование и Диспетчер служб IIS.
В области Подключения разверните элемент Сайты и выберите сайт, связанный с веб-приложением, для которого включен протокол SSL, созданным в предыдущей процедуре.
Совет
Этот сайт можно определить по номеру порта и имени, назначенному для него при расширении веб-приложения.
В области Действия в разделе Редактирование сайта щелкните Привязки.
В диалоговом окне "Привязки сайта" выберите Добавить.
В диалоговом окне "Добавление привязки сайта" выберите https в раскрывающемся списке Тип.
В списке "SSL-сертификат" выберите SSL-сертификат, созданный или полученный в разделе Создание и получение SSL-сертификата, после чего нажмите кнопку OK.
Нажмите кнопку Закрыть, чтобы закрыть диалоговое окно "Привязки сайта".
Повторите шаги с 1 по 8 для каждого дополнительного интерфейсного веб-сервера в системе балансировки нагрузки серверной фермы SharePoint Server 2010
Экспорт SSL-сертификата
Если SSL-сертификат был получен из центра сертификации (ЦС), выполнять эту процедуру необязательно, поскольку в файловой системе уже есть сертификат. Тем не менее при использовании служб IIS для создания тестового самозаверяющего сертификата на интерфейсном веб-сервере SharePoint, необходимо экспортировать сертификат, чтобы предоставить доступ к его копии для администратора SAP.
Примечание
Для выполнения этой процедуры необходимо принадлежать к группе "Администраторы Windows" интерфейсного веб-сервера SharePoint".
Экспорт SSL-сертификата
Выполните вход на интерфейсный веб-сервер SharePoint, для которого выполнена привязка сертификата.
Если он еще не открыт, нажмите кнопку Пуск, укажите пункт Администрирование и выберите Диспетчер служб IIS.
В древовидном меню выберите узел сервера.
В центральной области в разделе IIS дважды щелкните Сертификаты сервера.
В центральной области дважды щелкните мышью сертификат, для которого выполнена привязка к расширенному веб-приложению.
В диалоговом окне "Сертификат" на вкладке Подробности щелкните Копировать в файл.
На странице Мастер экспорта сертификатов нажмите кнопку Далее.
На странице "Экспорт закрытого ключа" установите флажок Нет, не экспортировать закрытый ключ, а затем нажмите кнопку Далее.
На странице "Формат экспортируемого файла" нажмите кнопку Далее.
На странице "Имя файла экспорта" в поле Имя файла введите путь и имя файла, в который следует экспортировать сертификат, после чего нажмите кнопку Далее.
Совет
Вводить расширение файла не нужно.
Нажмите Готово.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Экспорт выполнен успешно.
Нажмите кнопку ОК, чтобы закрыть диалоговое окно "Сертификат".
Предоставление общего доступа к SSL-сертификату для администратора SAP
Копию SSL-сертификата необходимо предоставить администратору SAP. Администратор SAP использует SSL-сертификат для установления соединения между сервером SAP NetWeaver в системе SAP с веб-приложением.
Установите отношение доверия с SSL-сертификатом из среды SAP.
Чтобы веб-приложение с включенным протоколом SSL могло принимать данные из среды SAP, необходимо установить отношение доверия с SSL-сертификатом, предоставленным администратором SAP.
Примечание
Для выполнения этой процедуры необходимо быть членом группы "Администраторы фермы SharePoint".
Установление отношения доверия с SSL-сертификатом из среды SAP
На панели быстрого запуска в центре администрирования щелкните Безопасность.
В разделе Общая безопасность выберите пункт Управление доверительными отношениями.
В группе Управление на ленте щелкните элемент Создать.
В диалоговом окне "Установить отношение доверия" в поле Имя введите имя, которое следует использовать для этого отношения доверия.
Рядом с полем Сертификат корневого центра сертификации нажмите кнопку Обзор.
В диалоговом окне "Выбор файла для выгрузки" в поле Имя файла введите путь и имя файла сертификата, для которого требуется установить отношение доверия, после чего щелкните Открыть.
Нажмите кнопку OK, чтобы закрыть диалоговое окно "Установить отношение доверия".
Имя, указанное в шаге 4, отображается в столбце "Имя" на странице "Отношение доверия".