Über diese Seite #
Nach der Installation von Xtract Universal, wird der Xtract Universal Dienst unter dem lokalen Systemkonto (Local System) ausgeführt. In den folgenden Szenarien muss der Dienst stattdessen unter einem Windows Dienstkonto ausgeführt werden:
- Kerberos Authentifizierung für den Xtract Universal Webserver verwenden.
- Windows Authentizizierung für eine Xtract Universal Destination verwenden, die Windows-Anmeldedaten erlauben (z.B. SQL Server Destination, PostgreSQL Destination).
- SSO mit Kerberos SNC verwenden.
- SSO mit SAP Logon Tickets.
Dieser Abschnitt enthält Informationen darüber, wie man den Xtract Universal Dienst unter einem Dienstkonto ausführt.
Hinweis: Ab Xtract Universal Version 5.0 werden SAP Passwörter anhand eines Schlüssels verschlüsselt, der von dem Windows Dienstkonto abgeleitet wird, unter dem der Xtract Universal Dienst läuft. Auf die Passwörter kann man nur von diesem Dienstkonto aus zugreifen. Achten Sie darauf, wenn Sie Backups aufspielen oder Dateien auf eine andere Maschine verschieben. Wenn Sie das Dienstkonto wechseln, müssen Sie Passwörter manuell neu eingeben.
Allgemeine Einstellungen #
-
Erstellen Sie ein Windows AD Dienstkonto und weisen Sie ihm eine SPN (Service Principal Name) im folgenden Format zu:
HTTP/[FQDN of XU Server]
.
Mit demsetspn
Befehl können die SPNs eines Benutzerkontos eingesehen werden. -
Gewähren Sie Zugriffsrechte auf Xtract Universal’s Installationsordner und allen Unterordnern des Dienstkontos wie in folgendem Screenshot:
-
Falls anwendbar, stellen Sie sicher, dass das Dienstkonto Lese-Zugriff auf den privaten Schlüssel des X.509 Zertifikats hat.
-
Führen Sie den Xtract Universal Dienst unter dem Dienstkonto aus. Stellen Sie sicher, dass die korrekte Domäne verwendet wird (z.B. .Firma.local anstatt .Firma.com).
-
Im Startfenster “Connect to Xtract Universal Server” vom Xtract Universal Designer wählen Sie Windows credentials oder Custom Credentials (Kerberos authentication) als Authentication aus. Geben Sie den UPN (User Principal Name) des Dienstkontos als Target Principal wie im Knowledge Base Artikel “How to use target principal field” beschrieben ein.
Einstellungen für SSO mit Kerberos SNC #
Wenn Sie SSO mit Kerberos SNC verwenden, sind zusätzliche Schritte nötig:
- Konfigurieren Sie für das Windows Dienstkonto, unter dem der Xtract Universal Dienst ausgeführt wird, eine eingeschränkte Delegierung.
- Geben Sie den SPN, unter dem der SAP ABAP Server ausgeführt wird (SAP Service Account), z.B. SAPServiceERP/do_not_care. Weitere Informationen über die Notation des Partnernamen in SAP finden Sie im SAP Help Portal.