この記事では、SAP Business Technology Platform と Microsoft Entra ID を統合する方法について説明します。 SAP Business Technology Platform と Microsoft Entra ID を統合すると、次のことができます。
- SAP Business Technology Platform にアクセスできる Microsoft Entra ID を制御します。
- ユーザーが自分の Microsoft Entra アカウントを使用して SAP Business Technology Platform に自動的にサインインできるようにします。
- 1 つの中央の場所でアカウントを管理します。
- Microsoft Entra のユーザーを SAP Business テクノロジ プラットフォームロールに割り当てます。
前提 条件
この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。
- アクティブなサブスクリプションを持つ Microsoft Entra ユーザー アカウント。 アカウントをまだお持ちでない場合は、 無料でアカウントを作成できます。
- 次のいずれかのロール:
- SAP Business Technology Platform でのシングル サインオン (SSO) が有効なサブスクリプション。
重要
シングル サインオンをテストするには、独自のアプリケーションをデプロイするか、SAP Business Technology Platform アカウントでアプリケーションをサブスクライブする必要があります。 この記事では、アプリケーションをアカウントにデプロイします。
シナリオの説明
この記事では、テスト環境で Microsoft Entra のシングル サインオンを構成し、テストします。
- SAP Business Technology Platform では、 SP によって開始される SSO がサポートされます。
ギャラリーから SAP Business Technology Platform を追加する
Microsoft Entra ID への SAP Business Technology Platform の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に SAP Business Technology Platform を追加する必要があります。
- Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
- Entra ID>エンタープライズ アプリ>新しいアプリケーションに移動してください。
- [ギャラリーからの追加] セクションで、検索ボックスに「SAP Business Technology Platform」と入力します。
- 結果パネルから SAP Business Technology Platform を選択し、アプリを追加します。 アプリがテナントに追加されるまで数秒待ちます。
または、 エンタープライズ アプリ構成ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します。
SAP Business Technology Platform の Microsoft Entra SSO の構成とテスト
B.Simon というテスト ユーザーを使用して、SAP Business Technology Platform に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるには、Microsoft Entra ユーザーと SAP Business Technology Platform の関連ユーザーとの間にリンク関係を確立する必要があります。
SAP Business Technology Platform に対する Microsoft Entra SSO を構成してテストするには、次の手順に従います。
-
Microsoft Entra SSO を構成 する - ユーザーがこの機能を使用できるようにします。
- Microsoft Entra テスト ユーザーの作成 - Britta Simon で Microsoft Entra のシングル サインオンをテストします。
- Microsoft Entra テスト ユーザーを割り当てる - Britta Simon が Microsoft Entra シングル サインオンを使用できるようにします。
-
SAP Business Technology Platform の SSO の構成 - アプリケーション側で単一 Sign-On 設定を構成します。
- SAP Business Technology Platform のテスト ユーザーを作成する - Microsoft Entra の Britta Simon のユーザー表現にリンクされている、SAP Business Technology Platform 内の Britta Simon に対応するユーザーを作成します。
- SSO のテスト - 構成が機能するかどうかを確認します。
Microsoft Entra SSO の構成
Microsoft Entra SSO を有効にするには、次の手順に従います。
Microsoft Entra 管理センターに、少なくともクラウド アプリケーション管理者としてサインインします。
Entra ID エンタープライズ アプリ SAP Business Technology Platform シングルサインオンに移動します。 [ シングル サインオン方法の選択 ] ページで、[SAML] を選択 します。
[ SAML でのシングル サインオンの設定 ] ページで、[ 基本的な SAML 構成 ] の鉛筆アイコンを選択して設定を編集します。
[ 基本的な SAML 構成] セクションで、次のフィールドの値を入力します。
ある。 [ 識別子 ] ボックスに、次のいずれかのパターンを使用して、SAP Business Technology Platform の URL を入力します。
識別子 https://hanatrial.ondemand.com/<instancename>https://hana.ondemand.com/<instancename>https://us1.hana.ondemand.com/<instancename>https://ap1.hana.ondemand.com/<instancename>b。 [ 応答 URL ] ボックスに、次のいずれかのパターンを使用して URL を入力します。
応答 URL https://<subdomain>.hanatrial.ondemand.com/<instancename>https://<subdomain>.hana.ondemand.com/<instancename>https://<subdomain>.us1.hana.ondemand.com/<instancename>https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>https://<subdomain>.ap1.hana.ondemand.com/<instancename>https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>c. [ サインオン URL ] ボックスに、 SAP Business Technology Platform アプリケーションへのサインインにユーザーが使用する URL を入力します。 これは、SAP Business Technology Platform アプリケーションの保護されたリソースのアカウント固有の URL です。 URL は、次のパターンに基づいています:
https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>手記
これは、ユーザーに認証を要求する SAP Business Technology Platform アプリケーションの URL です。
サインオン URL https://<subdomain>.hanatrial.ondemand.com/<instancename>https://<subdomain>.hana.ondemand.com/<instancename>[ SAML を使用した単一 Sign-On のセットアップ ] ページの [SAML 署名証明書 ] セクションで、[ ダウンロード ] を選択し、要件に従って指定されたオプションから フェデレーション メタデータ XML をダウンロードし、コンピューターに保存します。
Microsoft Entra テスト ユーザーの作成と割り当て
ユーザー アカウントの作成と割り当ての クイックスタートのガイドラインに従って、B.Simon というテスト ユーザー アカウントを作成します。
SAP Business Technology Platform の SSO の構成
別の Web ブラウザー ウィンドウで、
https://account.<landscape host>.ondemand.com/cockpitの SAP Business Technology Platform Cockpit にサインオンします (例: https://account.hanatrial.ondemand.com/cockpit)。[ 信頼 ] タブを選択します。
[信頼の管理] セクションの [ローカル サービス プロバイダー で、次の手順を実行します。
![[ローカル サービス プロバイダー] タブが選択され、すべてのテキスト ボックスが強調表示されている [信頼の管理] セクションを示すスクリーンショット。](media/sap-hana-cloud-platform-tutorial/service.png "信頼管理")
ある。 [ 編集] を選択します。
b。 [構成の種類] で、[カスタム] を選択します。
c. [ローカル プロバイダー名] は既定値のままにします。 この値をコピーし、SAP Business Technology Platform の Microsoft Entra 構成の [識別子 ] フィールドに貼り付けます。
d. 署名キーと署名証明書キーのペアを生成するには、[キー ペアの生成] を選択します。
え プリンシパル伝達として、[無効]を選択します。
f. 強制認証で、無効を選択します。
ジー [保存] を選択します。
ローカル サービス プロバイダーの設定を保存した後、次の手順に従って応答 URL を取得します。
ある。 [ メタデータの取得] を選択して、SAP Business Technology Platform メタデータ ファイルをダウンロードします。
b。 ダウンロードした SAP Business Technology Platform メタデータ XML ファイルを開き、 ns3:AssertionConsumerService タグを見つけます。
c. Location 属性の値をコピーし、SAP Business Technology Platform の Microsoft Entra 構成の [応答 URL] フィールドに貼り付けます。
[ 信頼できる ID プロバイダー ] タブを選択し、[ 信頼された ID プロバイダーの追加] を選択します。
![[信頼された ID プロバイダー] タブが選択されている [信頼の管理] ページを示すスクリーンショット。](media/sap-hana-cloud-platform-tutorial/add-service.png "信頼管理")
手記
信頼できる ID プロバイダーの一覧を管理するには、[ローカル サービス プロバイダー] セクションでカスタム構成の種類を選択する必要があります。 既定の構成の種類では、SAP ID サービスに対する編集不可能で暗黙の信頼があります。 [なし] の場合、信頼設定はありません。
[ 全般 ] タブを選択し、[ 参照 ] を選択して、ダウンロードしたメタデータ ファイルをアップロードします。
手記
メタデータ ファイルをアップロードすると、 シングル サインオン URL、 シングル ログアウト URL、署名 証明書 の値が自動的に設定されます。
[属性] タブ を 選択します。
[属性] タブ で 、次の手順を実行します。
ある。 [ Assertion-Based 属性の追加] を選択し、次のアサーション ベースの属性を追加します。
アサーション属性 プリンシパル属性 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givennameファーストネーム http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname名字 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress電子メール 手記
属性の構成は、SCP 上のアプリケーションの開発方法、つまり SAML 応答で期待される属性、およびコード内でこの属性にアクセスする名前 (プリンシパル属性) によって異なります。
b。 スクリーンショットの 既定の属性 は、説明のみを目的としたものです。 シナリオを機能させる必要はありません。
c. スクリーンショットに表示される プリンシパル属性 の名前と値は、アプリケーションの開発方法によって異なります。 アプリケーションで異なるマッピングが必要な場合があります。
アサーション ベースのグループ
オプションの手順として、Microsoft Entra ID プロバイダーのアサーション ベースのグループを構成できます。
SAP Business Technology Platform でグループを使用すると、SAML 2.0 アサーション内の属性の値によって決定される、SAP Business Technology Platform アプリケーションの 1 つ以上のロールに 1 人以上のユーザーを動的に割り当てることができます。
たとえば、アサーションに属性 "contract=temporary" が含まれている場合、影響を受けるすべてのユーザーをグループ "TEMPORARY" に追加できます。 グループ "TEMPORARY" には、SAP Business Technology Platform アカウントにデプロイされた 1 つ以上のアプリケーションの 1 つ以上のロールを含めることができます。
SAP Business Technology Platform アカウント内のアプリケーションの 1 つ以上のロールに多数のユーザーを同時に割り当てる場合は、アサーション ベースのグループを使用します。 1 人または少数のユーザーのみを特定のロールに割り当てる場合は、SAP Business Technology Platform コックピットの [承認] タブで直接割り当てることをお勧めします。
SAP Business Technology Platform のテスト ユーザーの作成
Microsoft Entra ユーザーが SAP Business Technology Platform にログインできるようにするには、SAP Business Technology Platform のロールをユーザーに割り当てる必要があります。
ユーザーにロールを割り当てるには、次の手順に従います。
SAP Business Technology Platform コックピットにログインします。
次の操作を実行します。
ある。 [ 承認] を選択します。
b。 [ ユーザー ] タブを選択します。
c. [ ユーザー ] ボックスに、ユーザーのメール アドレスを入力します。
d. [ 割り当て] を選択して、ユーザーをロールに割り当てます。
え [保存] を選択します。
SSO のテスト
このセクションでは、次のオプションを使用して、Microsoft Entra のシングル サインオン構成をテストします。
[ このアプリケーションをテストする] を選択すると、このオプションはログイン フローを開始できる SAP Business Technology Platform のサインオン URL にリダイレクトされます。
SAP Business Technology Platform のサインオン URL に直接移動し、そこからログイン フローを開始します。
Microsoft マイ アプリを使用できます。 マイ アプリで [SAP Business Technology Platform] タイルを選択すると、SSO を設定した SAP Business Technology Platform に自動的にサインインします。 マイ アプリの詳細については、「マイ アプリ 概要」を参照してください。
SAP Business Technology Platform アプリケーション ロールのグループを作成し、グループを Business Technology Platform ロール コレクションに割り当てる
Microsoft Entra セキュリティ グループを作成し、それらのグループ ID をアプリケーション ロールにマップできます。 詳細については、 SAP BTP へのアクセスの管理を参照してください。
関連コンテンツ
- SAP Business Technology Platform を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は条件付きアクセスから拡張されます。 Microsoft Defender for Cloud Apps でセッション制御を適用する方法について説明します。