Duet Enterprise for Microsoft SharePoint and SAP Server 2.0 のセキュリティ計画
発行: 2012 年 7 月 16 日
概要: Duet Enterprise 2.0 の安全な展開を計画する方法について説明します。
_適用対象: Duet Enterprise for Microsoft SharePoint and SAP Server 2.0 _
この記事では、Duet Enterprise for Microsoft SharePoint and SAP Server 2.0のセキュリティの高い展開および運用を計画する方法について説明します。
重要
この記事では、SharePoint Server サーバー ファームのコンテキストの範囲内で、Duet Enterprise 2.0のセキュリティ計画について説明します。SAP 環境内からの Duet Enterprise のセキュリティに関連する情報については、SAP Support Marketplace の『SAP Duet Enterprise Security Guide』を参照してください。(SAP サポート ポータルの左側のウィンドウで、[SAP Business Suite アプリケーション]、[Duet Enterprise]、[Duet Enterprise 2.0] の順に展開し、適切なガイドをダウンロードしてください。)
SharePoint Server における Duet Enterprise のセキュリティは、SharePoint Server 2013のセキュリティ機能に基づいています。この記事と併せて、全般的な SharePoint Server のセキュリティを計画および実装する方法に関するコンテンツを参照することをお勧めします。詳細については、「SharePoint 2013 の計画」のセキュリティおよび認証の計画の記事を参照してください。
この記事の内容
Duet Enterprise 2.0 における認証のしくみ
SharePoint オブジェクトにアクセスするための SAP ロールの使用
Duet Enterprise 2.0では、SAP システムに保存されているビジネス プロセスとデータが、SharePoint Server 2013の Web サイトや、Outlook 2013に表示されます。ただし、SAP 内の情報に直接アクセスするには、SharePoint Server 2013や Outlook へのアクセスに使用するユーザー アカウントは使用できません。Duet Enterprise 2.0のセキュリティ アーキテクチャでは、ユーザーに単一のサインオン環境を提供することによって、この問題を解決します。このような実装を行う目的は、SharePoint Server 2013におけるユーザー ID を SAP システムにおけるユーザー アカウントにマップして、SharePoint Server 2013の Web サイトにログオンするユーザーが、SAP システムに再度ログオンする必要なく、SAP システムに保存されている外部データにアクセスできるようにすることです。
認証プロセス全体を確認する前に、次の情報を知っておくと理解に役立ちます。
ユーザーは、自分の SharePoint ユーザー ID を使用して SharePoint にログオンします。この ID としては、フォーム ベース認証、または、Active Directory ドメイン サービス (AD DS) に保存された資格情報のどちらでも使用できますが、通常は AD DS に保存されたユーザー アカウントに関連付けられた ID を使用します。
SAP 環境では、ユーザーの SharePoint ID を認証できません。そのため、SharePoint Server 2013 ファームにインストールされた Duet Enterprise コンポーネントが、ユーザーの Windows 資格情報を、SAP NetWeaver がユーザーの認証に使用できるユーザー証明書に変えます。これを行うには、Duet Enterprise 2.0をインストールしたときに、SAP 管理者が DuetRoot 証明書 (X.509 証明書の 1 つ) との信頼関係を作成しておく必要があります。この証明書は、SharePoint Secure Store Service に保存されます。
SAP 環境内の情報については、Windows 資格情報、または SharePoint 資格情報 (この場合、ユーザーの SharePoint ID) を使用してセキュリテイを確保することはできません。SAP では、SAP ユーザー アカウントを使用して情報のセキュリティを確保します。Duet Enterprise 2.0を展開するときに、SAP 管理者は、各ユーザーの Windows アカウントを、特定のユーザーを識別する SAP ユーザー アカウントにマップするユーザー マッピング テーブルを SAP 環境に作成します。
次の図は、Duet Enterprise 2.0の環境において、ユーザーに単一のサインオン環境を提供する認証のしくみの概要を示しています。この図では、SharePoint ユーザーが SharePoint Server内の Duet Enterprise 2.0 サイトから SAP 情報にアクセスする場合のステップを示しています。
図: Duet Enterprise 2.0 の認証
.jpg "SAP ロールを使用した SharePoint のオブジェクトのセキュリティ保護")
以下では、上図に示したステップを説明します。この図では、SharePoint ユーザーが SharePoint Serverに提示されている SAP 情報へのアクセスを試みる場合を想定しています。
A. ユーザーは、自分の SharePoint ユーザー ID を使用して Duet Enterprise 2.0対応の SharePoint Web サイトにログオンします。Web サイトには、SAP データを提示する外部リストまたは Web パーツがあるので、SharePoint ファーム内の Business Connectivity Services ランタイムに要求が送信されます。
B. Business Connectivity Services Runtime によって、Duet Enterprise 2.0の OData Extension プロバイダーが起動されます。
C. Duet Enterprise 2.0の OData Extension プロバイダーが Secure Store から DuetRoot 証明書を取得します。
D. Duet Enterprise 2.0の OData Extension プロバイダーが、DuetRoot 証明書を使用して、X.500 ユーザー証明書を作成し、その証明書を Business Connectivity Services ランタイムに送信します。
E. Business Connectivity Services ランタイムは、要求をユーザー証明書と共に、要求パケットで SAP NetWeaver の SAP NetWeaver Gateway コンポーネントに送信します。
ヒント
SAP NetWeaver Gateway コンポーネントをインストールした SAP NetWeaver は、SAP NetWeaver Gateway とも呼ばれます。
F. SAP NetWeaver ではユーザー証明書の作成に使用した DuetRoot 証明書を信頼するので、SAP NetWeaver はユーザーを認証し、証明書によって識別される SharePoint ユーザーにマップされている SAP ユーザー アカウントを参照できます。
G. SharePoint ユーザーにマップされている SAP ユーザー アカウントが SAP NetWeaver に返されます。
H. SAP NetWeaver は、この SAP ユーザー アカウントを使用して SAP システム内の要求されている情報へのアクセスを要求し、ユーザーがその情報へのアクセスを許可されると、要求されている情報が SAP NetWeaver Gateway に送信されます。
I. SAP NetWeaver Gateway は、社内の SharePoint ファーム上の Business Connectivity Services ランタイムに応答パケットとして返信を送信します。
J. Business Connectivity Services ランタイムは情報を SharePoint ユーザーに渡します。この場合、ユーザーがアクセスした Web サイトに情報が渡されます。
注意
SharePoint Server ファームと SAP NetWeaver の間の双方向接続は、2 つの Secure Sockets Layer (SSL) 証明書を使用してセキュリティが確保されます。証明書の 1 つは、SharePoint Web アプリケーションにバインドされ、SAP 管理者によって信頼されます。もう 1 つの証明書は、SAP NetWeaver にバインドされ、SharePoint 管理者によって信頼されます。
企業では、ユーザーが通常実行するタスクはユーザーのロールに関連付けられています。したがって、多くの場合、オブジェクトに対するユーザーのアクセス許可レベルはそのユーザーのロールによって決まります。そのため、リスト項目、Web サイト、ドキュメントなどのオブジェクトへのアクセス許可を割り当てるには、ロールを使用すると便利です。
SAP NetWeaver では、営業担当者、プロジェクト マネージャー、役員、人事担当者など、1 つ以上のロールがユーザーに割り当てられます。SAP ロールには、全営業マネージャーのように広範なものも、東部営業マネージャーのように限定的なものもあります。Duet Enterprise 2.0では、このような SAP ロールを使用して SharePoint Serverのオブジェクトにアクセスできます。SharePoint Serverでアクセス許可を割り当てることのできるオブジェクトには、SAP ロールを使用してアクセス許可を割り当てることができます。レポート、外部リスト、外部コンテンツ タイプのアクションなど、Duet Enterprise 2.0に直接関連するオブジェクトや、Web サイト、ドキュメント ライブラリなど、全般的でセキュリティ保護可能な SharePoint Serverのオブジェクトが対象になります。オブジェクトへのアクセス許可がロールに付与されると、そのロールが割り当てられているユーザーは、対象オブジェクトへのアクセス許可を持つことになります。
ユーザーには SAP NetWeaver におけるロールのみ割り当てることができます。Duet Enterprise 2.0では、SAP システムのユーザー ロール割り当てを SharePoint ユーザー プロファイル ストアに反映するのに Duet Enterprise のプロファイル同期タイマー ジョブ機能が使用されます。また、Duet Enterprise 2.0では、SharePoint Server のセキュリティ保護可能なオブジェクトに対するロール ベースのアクセス許可を管理するのに Duet Enterprise の要求プロバイダーが使用されます。
注意
ロールの同期は、言わば一方通行の道です。SAP システムに定義したユーザーのロールは、SharePoint ユーザー プロファイル ストアに反映されますが、SharePoint ユーザー プロファイルのプロパティが SharePoint から SAP に送り返されることはありません。
ロールの同期時には、Business Connectivity Services を使用して SAP ユーザー一式が SharePoint ユーザー プロファイル ストア にインポートされます。関連するユーザー プロファイルが SharePoint にある SAP ユーザーごとに、そのユーザーに割り当てられているすべての SAP ロールがユーザー プロファイル ストアにリストされます。ロールの同期では、SharePoint Server から "SAPUsersService" という SAP 側の外部システムに接続します。この外部システムは、ユーザーとロールのマッピングを SharePoint ユーザー プロファイル ストアに送信します。一般に、ロールの同期は、展開後のステップとして、Duet Enterprise のプロファイル同期タイマー ジョブを使用して、設定された間隔で実行されます。ロールを同期する頻度、および同時にインポートするユーザーの数を指定できます。
ロールが SharePoint ユーザー プロファイル ストアと同期されると、ユーザーおよび管理者は、SAP ロールに基づいて SharePoint のセキュリティ保護可能なオブジェクトへのアクセスが許可されます。ただし、この機能を利用するには、あらかじめ、SharePoint ファームの管理者がファーム レベルで Duet Enterprise の SAP ロール要求プロバイダーの機能をアクティブ化し、要求プロバイダーを利用できるようにする必要があります。
注意
SAP システム内でユーザーのロールが変更されたとき、その変更が SharePoint システムに伝わるまでには少し時間がかかります (最大 10 時間)。そのために新しいロールに基づくユーザーの承認が一時的に行われないことがあります。
Duet Enterprise for Microsoft SharePoint and SAP Server 2.0 の計画
| 日付 | 説明 |
|---|---|
2012 年 7 月 16 日 |
初期発行 |