前へ

次へ

Microsoft Entra ID と SAP Fiori の統合

完了

SAP Fiori と Microsoft Entra ID の統合には、次の利点があります。

• Microsoft Entra ID を使用して、SAP Fiori にアクセスできるユーザーを制御できます。
• ユーザーは、Microsoft Entra アカウントを使用して、SAP Fiori に自動的にサインインできます (シングル サインオン)。
• 1 つの中央サイト (Azure Portal) でアカウントを管理できます。

SAP Fiori と Microsoft Entra の統合を構成するには、次のものが必要です。

• Microsoft Entra サブスクリプション。
• シングル サインオンが有効な SAP Fiori のサブスクリプション。
• SAP Fiori 7.20 以降が必要です。

ギャラリーからの SAP Fiori を追加する

SAP Fiori と Microsoft Entra ID を統合するには、まず、SaaS アプリケーション ギャラリーからマネージド SaaS アプリのリストに、SAP Fiori を追加する必要があります。

SAP Fiori で Microsoft Entra シングル サインオンを構成する

シングル サインオンを機能させるには、Microsoft Entra ユーザーと SAP Fiori の関連するユーザーの間にリンクされた関係を確立する必要があります。 次のタスクを実行してください。

1. Microsoft Entra シングル サインオンを構成して、ユーザーがこの機能を使用できるようにします。
2. SAP Fiori のシングル サインオンを構成します。
3. Microsoft Entra のユーザーを SAP Fiori アプリケーションに割り当てます。
4. Microsoft Entra ユーザー アカウントにリンクされた SAP Fiori ユーザーを作成します。

Microsoft Entra シングル サインオンの構成

1. 新しい Web ブラウザー ウィンドウを開き、SAP Fiori 企業サイトに管理者としてサインインします。 http および https サービスがアクティブであり、トランザクション コード SMICM に適切なポートが割り当てられていることを確認します。

2. シングル サインオンが必要な、SAP システム T01 の SAP Business Client にサインインします。 次に、HTTP セキュリティ セッション管理を有効にします。 トランザクション コード SICF_SESSIONS に移動し、プロファイルのパラメーターを確認します。 組織の要件に基づいてパラメーターを調整し、SAP システムを再起動します。

3. 以下の SICF サービスをアクティブ化します。

   • /sap/public/bc/sec/saml2
   • /sap/public/bc/sec/cdc_ext_service
   • /sap/bc/webdynpro/sap/saml2
   • /sap/bc/webdynpro/sap/sec_diag_tool (これは、トレースの有効化と無効化のみを行います)

4. SAP システム [T01/122] の Business Client でトランザクション コード SAML2 に移動します。 新しいブラウザー ウィンドウで構成 UI が開きます。 ユーザー名とパスワードを入力して、 [Log on](ログオン) を選択します。

5. [Provider Name](プロバイダー名) ボックスで、T01122 を <http://T01122> に置き換えて、[Save](保存) を選びます。

   注意

   既定では、プロバイダー名は _sid-client_ という形式です。 Microsoft Entra ID では、protocol://name 形式の名前が必要です。 Microsoft Entra ID で複数の SAP Fiori ABAP エンジンを構成できるように、https:// _sid-client_ というプロバイダー名を維持することをお勧めします。

6. [Local Provider](ローカル プロバイダー) タブの [Metadata](メタデータ) を選びます。 [SAML 2.0 Metadata](SAML 2.0 メタデータ) ダイアログ ボックスで、生成されたメタデータ XML ファイルをダウンロードし、コンピューターに保存します。

7. Azure portal の [SAP Fiori application integration](SAP Fiori アプリケーション統合) ペインで、[シングル サインオン] を選びます。

8. [シングル サインオン方式の選択] ウィンドウで、 [SAML] または [SAML/WS-Fed] モードを選択して、シングル サインオンを有効にします。

9. [SAML でシングル サインオンをセットアップします] ウィンドウで、 [編集] (鉛筆アイコン) を選択して [基本的な SAML 構成] ウィンドウを開きます。

10. [基本的な SAML 構成] セクションで、[メタデータ ファイルをアップロードする] を選び、[メタデータ ファイルをアップロードする] オプションを使って、前にダウンロードしたメタデータ ファイルをアップロードします。

11. メタデータ ファイルが正常にアップロードされると、 [基本的な SAML 構成] ウィンドウの [識別子] と [応答 URL] の値が自動的に入力されます。 [サインオン URL] ボックスに、次のパターンの URL を入力します: https://[会社の SAP Fiori のインスタンス]。

12. SAP Fiori アプリケーションは、特定の形式の SAML アサーションを受け入れます。 givenname、surname、emailaddress、name、一意のユーザー識別子 を含むクレーム。 それらの値を管理するには、[SAML によるシングル サインオンのセットアップ] ペインで、[編集] を選びます。

13. [ユーザー属性とクレーム] ペインで、SAML トークンの属性を構成します。 その後、次の手順を完了します。

    • [編集] を選択し、 [ユーザー要求の管理] ウィンドウを開きます。
    • [変換] の一覧で、ExtractMailPrefix() を選択します。
    • [パラメーター 1] の一覧で、user.userprinicipalname を選択します。

14. [SAML でシングル サインオンをセットアップします] ウィンドウの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] の横の [ダウンロード] を選択します。

15. 要件に基づいてダウンロード オプションを選択します。 お使いのコンピューターに証明書ファイルを保存します。

16. [SAP Fiori のセットアップ] セクションで、要件に基づいて次の URL をコピーします。

    • ログイン URL
    • Microsoft Entra 識別子
    • ログアウト URL

SAP Fiori シングル サインオンの構成

1. SAP システムにサインインし、トランザクション コード SAML2 に移動します。 新しいブラウザー ウィンドウで SAML 構成ページが開かれます。

2. 信頼されている ID プロバイダー (Microsoft Entra ID) のエンドポイントを構成するには、[信頼できるプロバイダー] タブを選択します。

3. [Add](追加) を選択し、コンテキスト メニューの [Upload Metadata File](メタデータ ファイルのアップロード) を選択します。

4. Azure portal でダウンロードしたメタデータ ファイルをアップロードします。

5. 次のページで、[Alias](エイリアス) ボックスに任意のエイリアス名を入力します。

6. [Digest Algorithm](ダイジェスト アルゴリズム) ボックスの値が SHA-256 であることを確認してください。

7. [Single Sign-On Endpoints](シングル サインオン エンドポイント) で、[HTTP POST] を選びます。

8. [Single Logout Endpoints](シングル ログアウト エンドポイント) で、[HTTP Redirect](HTTP リダイレクト) を選びます。

9. [Artifact Endpoints]\(アーティファクト エンドポイント\) と [Authentication Requirements]\(認証要件\) は既定の設定をそのまま使います。

10. [Trusted Provider]\(信頼されたプロバイダー\) / [Identity Federation and Unspecified Supported NameID Formats]\(ID フェデレーションと未指定のサポートされている NameID 形式\) を選びます。

11. [ユーザー ID ソース] と [ユーザー ID マッピング モード] の値によって、SAP ユーザーと Microsoft Entra 要求の間のリンクが決まります。 サポートされているシナリオは 2 つあります。

    • シナリオ 1: SAP ユーザーから Microsoft Entra ユーザーへのマッピング
    • シナリオ 2: SU01 で構成したメール アドレスに基づいて、SAP ユーザー ID を選択します。 このケースでは、SSO を必要とする各ユーザーに対して、SU01 でメール ID を構成する必要があります。

Microsoft Entra ユーザーを割り当てる

1. Azure portal 上で [エンタープライズ アプリケーション] を選択し、[すべてのアプリケーション] を選択してから、[SAP Fiori] を選択します。

2. アプリケーションの一覧で [SAP Fiori] を選択します。

3. 結果を確認するには、ID プロバイダー Microsoft Entra ID が SAP Fiori でアクティブ化された後、次のいずれかの URL にアクセスし、割り当て済みユーザーとしてシングル サインオンをテストしてみます (ユーザー名とパスワードの入力は求められないはずです)。

   • https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-US/49/4594d63a293b5be10000000a42189b/content.htm
   • https://help.sap.com/doc/saphelp_nw73ehp1/7.31.19/en-US/49/4594d63a293b5be10000000a42189b/content.htm

続行