Über diese Seite #
Nach der Installation von Board Connector, wird der Board Connector Service unter dem lokalen System-Account (Local System) ausgeführt. In den folgenden Szenarien muss der Service stattdessen unter einem Windows Service-Account ausgeführt werden:
- Kerberos Authentifizierung für den Board Connector Webserver verwenden.
- Windows Authentizizierung für eine Board Connector Destination verwenden, die Windows-Anmeldedaten erlauben (z.B. SQL Server Destination, PostgreSQL Destination).
- SSO mit Kerberos SNC verwenden.
- SSO mit SAP Logon Tickets.
Dieser Abschnitt enthält Informationen darüber, wie man den Xtract Universal Service unter einem Service-Account ausführt.
Hinweis: Ab Board Connector Version 5.0 werden SAP Passwörter anhand eines Schlüssels verschlüsselt, der von dem Windows Service-Account abgeleitet wird, unter dem der Board Connector Service läuft. Auf die Passwörter kann man nur von diesem Service-Account aus zugreifen. Achten Sie darauf, wenn Sie Backups aufspielen oder Dateien auf eine andere Maschine verschieben. Wenn Sie das Service-Account wechseln, müssen Sie Passwörter manuell neu eingeben.
Allgemeine Einstellungen #
-
Erstellen Sie ein Windows AD Service-Account und weisen Sie ihm eine SPN (Service Principal Name) im folgenden Format zu:
HTTP/[FQDN of BC Server]
.
Mit demsetspn
Befehl können die SPNs eines Service-Accounts eingesehen werden. -
Gewähren Sie Zugriffsrechte auf Board Connector’s Installationsordner und allen Unterordnern des Service-Accounts wie in folgendem Screenshot:
-
Falls anwendbar, stellen Sie sicher, dass das Service-Account Lese-Zugriff auf den privaten Schlüssel des X.509 Zertifikats hat.
-
Führen Sie den Board Connector Service unter dem Service-Account aus. Stellen Sie sicher, dass die korrekte Domäne verwendet wird (z.B. .Firma.local anstatt .Firma.com).
-
Im Startfenster “Connect to Board Connector Server” vom Board Connector Designer wählen Sie Windows credentials oder Custom Credentials (Kerberos authentication) als Authentication aus. Geben Sie den UPN (User Principal Name) des Service-Accounts als Target Principal wie im Knowledge Base Artikel “How to use target principal field” beschrieben ein.
Einstellungen für SSO mit Kerberos SNC #
Wenn Sie SSO mit Kerberos SNC verwenden, sind zusätzliche Schritte nötig:
- Konfigurieren Sie für den Windows Service-Account, unter dem der Board Connector Service ausgeführt wird, eine eingeschränkte Delegierung.
- Geben Sie den SPN, unter dem der SAP ABAP Server ausgeführt wird (SAP Service Account), z.B. SAPServiceERP/do_not_care. Weitere Informationen über die Notation des Partnernamen in SAP finden Sie im SAP Help Portal.