Über diese Seite #

Nach der Installation von Xtract Universal, wird der Xtract Universal Service unter dem lokalen System-Account (Local System) ausgeführt. In den folgenden Szenarien muss der Service stattdessen unter einem Windows Service-Account ausgeführt werden:

Dieser Abschnitt enthält Informationen darüber, wie man den Xtract Universal Service unter einem Service-Account ausführt.

Hinweis: Ab Xtract Universal Version 5.0 werden SAP Passwörter anhand eines Schlüssels verschlüsselt, der von dem Windows Service-Account abgeleitet wird, unter dem der Xtract Universal Service läuft. Auf die Passwörter kann man nur von diesem Service-Account aus zugreifen. Achten Sie darauf, wenn Sie Backups aufspielen oder Dateien auf eine andere Maschine verschieben. Wenn Sie das Service-Account wechseln, müssen Sie Passwörter manuell neu eingeben.

Allgemeine Einstellungen #

  1. Erstellen Sie ein Windows AD Service-Account und weisen Sie ihm eine SPN (Service Principal Name) im folgenden Format zu: HTTP/[FQDN of XU Server].
    Mit dem setspn Befehl können die SPNs eines Service-Accounts eingesehen werden. xu service account

  2. Gewähren Sie Zugriffsrechte auf Xtract Universal’s Installationsordner und allen Unterordnern des Service-Accounts wie in folgendem Screenshot: xu service account permissions

  3. Falls anwendbar, stellen Sie sicher, dass das Service-Account Lese-Zugriff auf den privaten Schlüssel des X.509 Zertifikats hat. xu service account private key 1 xu service account private key 2

  4. Führen Sie den Xtract Universal Service unter dem Service-Account aus. Stellen Sie sicher, dass die korrekte Domäne verwendet wird (z.B. .Firma.local anstatt .Firma.com). xu service account services

  5. Im Startfenster “Connect to Xtract Universal Server” vom Xtract Universal Designer wählen Sie Windows credentials oder Custom Credentials (Kerberos authentication) als Authentication aus. Geben Sie den UPN (User Principal Name) des Service-Accounts als Target Principal wie im Knowledge Base Artikel “How to use target principal field” beschrieben ein.
    xu service account login

Einstellungen für SSO mit Kerberos SNC #

Wenn Sie SSO mit Kerberos SNC verwenden, sind zusätzliche Schritte nötig:

  1. Konfigurieren Sie für den Windows Service-Account, unter dem der Xtract Universal Service ausgeführt wird, eine eingeschränkte Delegierung. xu_service_account_constr_deleg
  2. Geben Sie den SPN, unter dem der SAP ABAP Server ausgeführt wird (SAP Service Account), z.B. SAPServiceERP/do_not_care. Weitere Informationen über die Notation des Partnernamen in SAP finden Sie im SAP Help Portal.