チュートリアル: Microsoft Entra シングル サインオン (SSO) と SAP Fiori との統合

  • [アーティクル]

このチュートリアルでは、SAP Fiori を Microsoft Entra ID と統合する方法について学習します。 SAP Fiori を Microsoft Entra ID と統合すると、次のことができます。

  • SAP Fiori にアクセスできるユーザーを Microsoft Entra ID で制御する。
  • ユーザーが自分の Microsoft Entra アカウントを使用して SAP Fiori に自動的にサインインできるようにする。
  • 1 つの場所でアカウントを管理します。

前提条件

開始するには、次が必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションがない場合は、無料アカウントを取得できます。
  • SAP Fiori でのシングル サインオン (SSO) が有効なサブスクリプション。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra の SSO を構成してテストします。

  • SAP Fiori では、SP Initiated SSO がサポートされます

注意

SAP Fiori から開始される iFrame 認証では、サイレント認証の SAML AuthnRequest に IsPassive パラメーターを使用することをお勧めします。 IsPassive パラメーターの詳細については、Microsoft Entra SAML シングル サインオンの情報を参照してください。

Microsoft Entra ID への SAP Fiori の統合を構成するには、ギャラリーからマネージド SaaS アプリのリストに SAP Fiori を追加する必要があります。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[新しいアプリケーション] に移動します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに、「SAP Fiori」と入力します。
  4. 結果のパネルから [SAP Fiori] を選択し、アプリを追加します。 お使いのテナントにアプリが追加されるのを数秒待機します。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、SSO の構成に加えて、テナントへのアプリケーションの追加、アプリへのユーザーとグループの追加、ロールの割り当てを行うことができます。 Microsoft 365 ウィザードの詳細をご覧ください。

SAP Fiori 用の Microsoft Entra SSO を構成してテストする

B.Simon というテスト ユーザーを使用して、SAP Fiori で Microsoft Entra SSO を構成してテストします。 SSO を機能させるには、Microsoft Entra ユーザーと SAP Fiori の関連ユーザーとの間にリンク関係を確立する必要があります。

SAP Fiori で Microsoft Entra SSO を構成してテストするには、次の手順を行います。

  1. Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra のテスト ユーザーの作成 - B.Simon を使用して Microsoft Entra シングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザーを割り当てる - B.Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. SAP Fiori の SSO の構成 - アプリケーション側でシングル サインオン設定を構成します。
    1. SAP Fiori テスト ユーザーを作成する - SAP Fiori で B.Simon に対応するユーザーを作成し、Microsoft Entra の B.Simon にリンクさせます。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

次の手順に従って Microsoft Entra SSO を有効にします。

  1. 新しい Web ブラウザー ウィンドウを開き、SAP Fiori 企業サイトに管理者としてサインインします。

  2. http および https サービスがアクティブであり、トランザクション コード SMICM に適切なポートが割り当てられていることを確認します。

  3. シングル サインオンが必要な、SAP システム T01 の SAP Business Client にサインインします。 次に、HTTP セキュリティ セッション管理を有効にします。

    1. トランザクション コードの SICF_SESSIONS に移動します。 すべての関連プロファイル パラメーターとその現在の値が表示されます。 次の例のようになります。

      login/create_sso2_ticket = 2
login/accept_sso2_ticket = 1
login/ticketcache_entries_max = 1000
login/ticketcache_off = 0  login/ticket_only_by_https = 0
icf/set_HTTPonly_flag_on_cookies = 3
icf/user_recheck = 0  http/security_session_timeout = 1800
http/security_context_cache_size = 2500
rdisp/plugin_auto_logout = 1800
rdisp/autothtime = 60

      注意

      組織の要件に基づいて、パラメーターを調整します。 上のパラメーターは、単に例として挙げたものです。

    2. 必要に応じて SAP システムのインスタンス (既定) プロファイルでパラメーターを調整し、SAP システムを再起動します。

    3. 関連するクライアントをダブルクリックして、HTTP セキュリティ セッションを有効にします。

      The Current Values of Relevant Profile Parameters page in SAP

    4. 以下の SICF サービスをアクティブ化します。

      /sap/public/bc/sec/saml2
/sap/public/bc/sec/cdc_ext_service
/sap/bc/webdynpro/sap/saml2
/sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)

  4. SAP システム [T01/122] の Business Client でトランザクション コード SAML2 に移動します。 新しいブラウザー ウィンドウで構成 UI が開きます。 この例では、SAP システム 122 の Business Client を使用します。

    The SAP Fiori Business Client sign-in page

  5. ユーザー名とパスワードを入力して、 [Log on](ログオン) を選択します。

    The SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  6. [Provider Name](プロバイダー名) ボックスで、T01122http://T01122 に置き換えて、[Save](保存) を選びます。

    注意

    既定では、プロバイダー名は <sid><client> という形式です。 Microsoft Entra ID では、<プロトコル>://<名前> という形式の名前が必要です。 Microsoft Entra ID で複数の SAP Fiori ABAP エンジンを構成できるように、プロバイダー名を https://<sid><クライアント> として保持することをお勧めします。

    The updated provider name in the SAML 2.0 Configuration of ABAP System T01/122 page in SAP

  7. [Local Provider](ローカル プロバイダー) タブ>[Metadata](メタデータ) の順に選択します。

  8. [SAML 2.0 Metadata](SAML 2.0 メタデータ) ダイアログ ボックスで、生成されたメタデータ XML ファイルをダウンロードし、コンピューターに保存します。

    The Download Metadata link in the SAP SAML 2.0 Metadata dialog box

  9. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。

  10. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[SAP Fiori]>[シングル サインオン] を参照します。

  11. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。

  12. [SAML によるシングル サインオンのセットアップ] ページで、 [基本的な SAML 構成] の鉛筆アイコンをクリックして設定を編集します。

    Edit Basic SAML Configuration

  13. [基本的な SAML 構成] セクションで、サービス プロバイダー メタデータ ファイルがある場合は、次の手順に従います。

    1. [メタデータ ファイルをアップロードします] をクリックします。

      Upload metadata file

    2. フォルダー ロゴをクリックしてメタデータ ファイルを選択し、 [アップロード] をクリックします。

      choose metadata file

    3. メタデータ ファイルが正常にアップロードされると、 [基本的な SAML 構成] ウィンドウの [識別子][応答 URL] の値が自動的に入力されます。 [サインオン URL] ボックスに、https://<your company instance of SAP Fiori> 形式で URL を入力します。

      Note

      一部のお客様で、インスタンスに対して誤った応答 URL が構成されるというエラーが発生しています。 このようなエラーが発生した場合は、以下の PowerShell コマンドを使用してください。 まず、アプリケーション オブジェクト内の応答 URL を以下の応答 URL で更新した後、サービス プリンシパルを更新します。 サービス プリンシパル ID の値を取得するには、Get-MgServicePrincipal を使用します。

      $params = @{
   web = @{
      redirectUris = "<Your Correct Reply URL>"
   }
}
Update-MgApplication -ApplicationId "<Application ID>" -BodyParameter $params
Update-MgServicePrincipal -ServicePrincipalId "<Service Principal ID>" -ReplyUrls "<Your Correct Reply URL>"

  14. SAP Fiori アプリケーションは、特定の形式の SAML アサーションを受け入れます。 このアプリケーションには、次の要求を構成します。 これらの属性値を管理するには、 [SAML でシングル サインオンをセットアップします] ウィンドウで [編集] を選択します。

    The User attributes pane

  15. [ユーザー属性と要求] ウィンドウで、前の画像で示されているように、SAML トークン属性を構成します。 その後、次の手順を完了します。

    1. [編集] を選択し、 [ユーザー要求の管理] ウィンドウを開きます。

    2. [変換] の一覧で、ExtractMailPrefix() を選択します。

    3. [パラメーター 1] の一覧で、user.userprincipalname を選択します。

    4. [保存] を選択します。

      The Manage user claims pane

      The Transformation section in the Manage user claims pane

  16. [SAML によるシングル サインオンのセットアップ] ページの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードして、お使いのコンピューターに保存します。

    The Certificate download link

  17. [SAP Fiori のセットアップ] セクションで、要件に基づいて適切な URL をコピーします。

    Copy configuration URLs

Microsoft Entra テスト ユーザーを作成する

このセクションでは、B.Simon というテスト ユーザーを作成します。

  1. Microsoft Entra 管理センターユーザー管理者以上でサインインしてください。
  2. [ID]>[ユーザー]>[すべてのユーザー] の順に移動します。
  3. 画面の上部で [新しいユーザー]>[新しいユーザーの作成] を選択します。
  4. [ユーザー] プロパティで、以下の手順を実行します。
    1. "表示名" フィールドに「B.Simon」と入力します。
    2. [ユーザー プリンシパル名] フィールドに「username@companydomain.extension」と入力します。 たとえば、「 B.Simon@contoso.com 」のように入力します。
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。
    4. [Review + create](レビュー + 作成) を選択します。
  5. [作成] を選択します。

Microsoft Entra テスト ユーザーを割り当てる

このセクションでは、SAP Fiori へのアクセスを許可することで、B.Simon が シングル サインオンを使用できるようにします。

  1. クラウド アプリケーション管理者以上として Microsoft Entra 管理センターにサインインします。
  2. [ID]>[アプリケーション]>[エンタープライズ アプリケーション]>[SAP HANA] を参照します。
  3. アプリの概要ページで、[ユーザーとグループ] を選択します。
  4. [ユーザーまたはグループの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
    1. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。
    2. ユーザーにロールが割り当てられることが想定される場合は、 [ロールの選択] ドロップダウンからそれを選択できます。 このアプリに対してロールが設定されていない場合は、[既定のアクセス] ロールが選択されていることを確認します。
    3. [割り当ての追加] ダイアログで、 [割り当て] をクリックします。

SAP Fiori の SSO の構成

  1. SAP システムにサインインし、トランザクション コード SAML2 に移動します。 新しいブラウザー ウィンドウで SAML 構成ページが開かれます。

  2. 信頼されている ID プロバイダー (Microsoft Entra ID) のエンドポイントを構成するには、[信頼できるプロバイダー] タブを選択します。

    The Trusted Providers tab in SAP

  3. [Add](追加) を選択し、コンテキスト メニューの [Upload Metadata File](メタデータ ファイルのアップロード) を選択します。

    The Add and Upload Metadata File options in SAP

  4. ダウンロードしたメタデータ ファイルをアップロードします。 [次へ] を選択します。

    Select the metadata file to upload in SAP

  5. 次のページの [Alias](エイリアス) ボックスに、エイリアス名を入力します。 たとえば、「aadsts」と入力します。 [次へ] を選択します。

    The Alias box in SAP

  6. [Digest Algorithm](ダイジェスト アルゴリズム) ボックスの値が SHA-256 であることを確認してください。 [次へ] を選択します。

    Verify the Digest Algorithm value in SAP

  7. [Single Sign-On Endpoints](シングル サインオン エンドポイント)[HTTP POST] を選択し、 [Next](次へ) を選択します。

    Single Sign-On Endpoints options in SAP

  8. [Single Logout Endpoints](シングル ログアウト エンドポイント)[HTTP Redirect] を選択し、 [Next](次へ) を選択します。

    Single Logout Endpoints options in SAP

  9. [Artifact Endpoints](アーティファクト エンドポイント)[Next](次へ) を選択して続行します。

    Artifact Endpoints options in SAP

  10. [Authentication Requirements](認証要件)[Finish](完了) を選択します。

    Authentication Requirements options and the Finish option in SAP

  11. [Trusted Provider](信頼できるプロバイダー)>[Identity Federation](ID フェデレーション) (画面下部) の順に選択します。 [編集] を選択します。

    The Trusted Provider and Identity Federation tabs in SAP

  12. [追加] を選択します。

    The Add option on the Identity Federation tab

  13. [Supported NameID Formats](サポートされる名前 ID 形式) ダイアログ ボックスで [Unspecified](未指定) を選択します。 [OK] を選択します。

    The Supported NameID Formats dialog box and options in SAP

    [ユーザー ID ソース][ユーザー ID マッピング モード] の値によって、SAP ユーザーと Microsoft Entra 要求の間のリンクが決まります。

    シナリオ 1: SAP ユーザーから Microsoft Entra ユーザーへのマッピング

    1. SAP で、 [Details of NameID Format "Unspecified"](NameID 形式 "未指定" の詳細) の詳細を書き留めます。

      Screenshot that shows the 'Details of NameID Format

    2. Azure portal の [ユーザー属性と要求] で、Microsoft Entra ID からの必要な要求を書き留めます。

      Screenshot that shows the

    シナリオ 2: SU01 で構成したメール アドレスに基づいて、SAP ユーザー ID を選択します。 このケースでは、SSO を必要とする各ユーザーに対して、SU01 でメール ID を構成する必要があります。

    1. SAP で、 [Details of NameID Format "Unspecified"](NameID 形式 "未指定" の詳細) の詳細を書き留めます。

      The Details of NameID Format

    2. Azure portal の [ユーザー属性と要求] で、Microsoft Entra ID からの必要な要求を書き留めます。

      The User Attributes and Claims dialog box in the Azure portal

  14. [Save](保存) を選択し、 [Enable](有効) を選択して、ID プロバイダーを有効にします。

    The Save and Enable options in SAP

  15. メッセージが表示されたら、 [OK] を選択します。

    The OK option in SAML 2.0 Configuration dialog box in SAP

SAP Fiori のテスト ユーザーの作成

このセクションでは、SAP Fiori で Britta Simon というユーザーを作成します。 組織内の SAP 専門家チームまたは組織の SAP パートナーと協力して、SAP Fiori プラットフォームにユーザーを追加してください。

SSO のテスト

  1. SAP Fiori で ID プロバイダー Microsoft Entra ID がアクティブ化された後、次のいずれかの URL にアクセスしてみて、シングル サインオンをテストします (ユーザー名とパスワードの入力は求められないはずです)。

    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm
    • https://<sap-url>/sap/bc/bsp/sap/it00/default.htm

    Note

    <sap-url> は実際の SAP のホスト名に置き換えます。

  2. テスト URL によって、SAP の以下のテスト アプリケーション ページに移動するはずです。 ページが開いた場合は、Microsoft Entra シングル サインオンが正常に設定されています。

    The standard test application page in SAP

  3. ユーザー名とパスワードの入力が求められる場合は、トレースを有効にして、問題の診断に役立てます。 トレースには次の URL を使用します。

    https://<sap-url>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

次のステップ

SAP Fiori を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することができます。 セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Apps でセッション制御を強制する方法をご覧ください。