Microsoft Entra ID を SAP NetWeaver と統合する

  • 13 分

SAP NetWeaver と Microsoft Entra ID を統合すると、次のような利点があります。

  • SAP NetWeaver にアクセスできるユーザーを Microsoft Entra ID で制御できます。
  • ユーザーが自分の Microsoft Entra アカウントを使用して SAP NetWeaver に自動的にサインイン (シングル サインオン) できるようにすることができます。
  • 1 つの中央サイト (Azure Portal) でアカウントを管理できます。

SAP NetWeaver と Microsoft Entra の統合を構成するには、次のものが必要です。

  • Microsoft Entra サブスクリプション
  • SAP NetWeaver でのシングル サインオンが有効なサブスクリプション
  • 少なくとも SAP NetWeaver V7.20 が必要

SAP NetWeaver では、SP によって開始される SSO がサポートされます。

Microsoft Entra ID への SAP NetWeaver の統合を構成するには、最初に、ギャラリーからマネージド SaaS アプリのリストに SAP NetWeaver を追加します。

Microsoft Entra シングル サインオンの構成とテスト

SAP NetWeaver で Microsoft Entra のシングル サインオンを構成するには、次の手順を使用する必要があります。

  1. Microsoft Entra のシングル サインオンを構成して、ユーザーがこの機能を使用できるようにします。
  2. SAP NetWeaver シングル サインオンの構成 - アプリケーション側でシングル サインオン設定を構成します。
  3. Microsoft Entra ID テスト ユーザーを Microsoft Entra アプリケーションに割り当てます。
  4. Microsoft Entra ユーザー アカウントにリンクされた SAP NetWeaver ユーザーを作成します。

Microsoft Entra シングル サインオンの構成

SAP NetWeaver で Microsoft Entra シングル サインオンを構成するには、次の手順を実行します。

  1. 新しい Web ブラウザー ウィンドウを開き、会社の SAP NetWeaver サイトに管理者としてログインします。

  2. http サービスと https サービスがアクティブであり、SMICM T-Code で適切なポートが割り当てられていることを確認します。

  3. SSO が必要な SAP システム (T01) のビジネス クライアントにサインインし、HTTP セキュリティ セッション管理をアクティブにします。

  4. トランザクション コード SICF_SESSIONS に移動します。 プロファイルのすべてのパラメーターを確認します。 組織の要件に従って調整した後、SAP システムを再起動します。

  5. 関連するクライアントをダブルクリックして、HTTP セキュリティ セッションを有効にします。

  6. 以下の SICF サービスをアクティブ化します。

    • /sap/public/bc/sec/saml2
    • /sap/public/bc/sec/cdc_ext_service
    • /sap/bc/webdynpro/sap/saml2
    • /sap/bc/webdynpro/sap/sec_diag_tool (これは、トレースの有効化と無効化のみを行います)

  7. SAP システム [T01/122] のビジネス クライアントで、トランザクション コード SAML2 に移動します。 ブラウザーでユーザー インターフェイスが開きます。

  8. ユーザー名とパスワードを指定してユーザー インターフェイスに入り、[Edit](編集) を選びます。

  9. [Provider Name](プロバイダー名)T01122 から <http://T01122> に変更して、[Save](保存) を選びます。

  10. 既定では、プロバイダー名は [sid][client] という形式として書式設定されますが、Microsoft Entra ID では protocol://[sid][client] という形式の名前にする必要があります。 Microsoft Entra ID で複数の SAP NetWeaver ABAP エンジンを構成できるように、https://[sid][client] というプロバイダー名を維持することをお勧めします。

  11. サービス プロバイダー メタデータの生成: SAML 2.0 ユーザー インターフェイスでローカル プロバイダーと信頼されたプロバイダーの設定を構成したら、次のステップでは、サービス プロバイダーのメタデータ ファイルを生成します (SAP のすべての設定、認証コンテキスト、その他の構成が含まれます)。

  12. [Local Provider](ローカル プロバイダー) タブで、[Metadata](メタデータ) を選びます。

  13. 生成されたメタデータ XML ファイルをコンピューターに保存し、Azure portal の [基本的な SAML 構成] セクションでそれをアップロードして、[識別子][応答 URL] の値を自動的に設定します。

  14. Azure portal の [SAP NetWeaver application integration](SAP NetWeaver アプリケーション統合) ページで、[シングル サインオン] を選びます。

  15. [シングル サインオン方式の選択] ダイアログで、[SAML/WS-Fed] モードを選んで、シングル サインオンを有効にします。

  16. [SAML によるシングル サインオンのセットアップ] ページで、[編集] アイコンを選んで、[基本的な SAML 構成] ダイアログを開きます。

  17. [基本的な SAML 構成] セクションで、次の手順を実行します。

    1. [メタデータ ファイルをアップロードする] を選んで、前に取得したサービス プロバイダー メタデータ ファイルをアップロードします。
    2. フォルダー ロゴを選んでメタデータ ファイルを選び、[アップロード] を選びます。
    3. メタデータ ファイルが正常にアップロードされると、次に示すように、識別子応答 URL の値が、[基本的な SAML 構成] セクションのテキスト ボックスに自動的に設定されます。
    4. [サインオン URL] テキスト ボックスに、次のパターンを使って URL を入力します: https://[会社の SAP NetWeaver のインスタンス]

  18. SAP NetWeaver アプリケーションは、特定の形式で構成された SAML アサーションを受け入れます。 givennamesurnameemailaddressname一意のユーザー識別子 を含むクレーム。 これらの値は、アプリケーション統合ページの [ユーザー属性] セクションから管理できます。

  19. [SAML によるシングル サインオンのセットアップ] ページで、[編集] ボタンを選んで、[ユーザー属性] ダイアログを開きます。

  20. [ユーザー属性] ダイアログの [ユーザー要求] セクションで、SAML トークン属性を構成して、次の手順のようにします。

    1. [編集] アイコンを選び、[ユーザー クレームの管理] ダイアログを開きます。
    2. [変換] の一覧で、ExtractMailPrefix() を選択します。
    3. [パラメーター 1] の一覧で、user.userprinicipalname を選択します。
    4. [保存] を選択します。

  21. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [ダウンロード] を選択して、要件のとおりに指定したオプションからフェデレーション メタデータ XML をダウンロードして、お使いのコンピューターに保存します。

  22. [SAP NetWeaver の設定] セクションで、要件に従って適切な URL をコピーします。

    • ログイン URL
    • Microsoft Entra 識別子
    • ログアウト URL

SAP NetWeaver シングル サインオンの構成

  1. SAP システムにサインインし、トランザクション コード SAML2 に移動します。 新しいブラウザー ウィンドウが開き、SAML 構成画面が表示されます。

  2. 信頼された ID プロバイダー (Microsoft Entra ID) のエンドポイントを構成するには、[Trusted Providers](信頼されたプロバイダー) タブに移動します。

  3. [Add](追加) をクリックして、コンテキスト メニューから [Upload Metadata File](メタデータ ファイルのアップロード) を選択します。

  4. Azure portal からダウンロードしたメタデータ ファイルをアップロードします。

  5. 次の画面で、任意の [Alias](エイリアス) 名を入力します。 [Digest Algorithm](ダイジェスト アルゴリズム)[SHA-256] であることを確認します。何も変更する必要はありません。[Next](次へ) をクリックします。

  6. [Single Sign-On Endpoints](シングル サインオン エンドポイント) で、[HTTP POST] を使用し、[Next](次へ) を選んで続行します。

  7. [Single Logout Endpoints](シングル ログアウト エンドポイント) で、[HTTPRedirect](HTTP リダイレクト) を選び、[Next](次へ) を選んで続行します。

  8. [Artifact Endpoints](アーティファクト エンドポイント) では、[Next](次へ) をクリックして続行します。

  9. [Authentication Requirements](認証要件) では既定の設定をそのまま使い、[Finish](完了) を選びます。

  10. [Trusted Provider](信頼されたプロバイダー) タブに移動し、[Identity Federation](IDフェデレーション) を選びます。

  11. [編集] を選択します。

  12. [Identity Federation](IDフェデレーション) タブで [Add](追加) を選びます。

  13. ポップアップ ウィンドウで、[サポートされている NameID] の形式から [指定なし] を選択し、[OK] を選択します。 ユーザー ID ソースとユーザー ID マッピング モードの値によって、SAP ユーザーと Microsoft Entra クレームの間のリンクが決まります。

  14. 2 つのシナリオが考えられます。

    • シナリオ: SAP ユーザーから Microsoft Entra ユーザーへのマッピング。
    • シナリオ:SU01 で構成済みのメール アドレスに基づいて SAP ユーザー ID を選択する。 このケースでは、SSO を必要とする各ユーザーの su01 でメール ID を構成する必要があります。

  15. [Save](保存) を 選んでから [Enable](有効) を選び、ID プロバイダーを有効にします。

Microsoft Entra ユーザーを割り当てる

Azure portal 上で [エンタープライズ アプリケーション] を選択し、[すべてのアプリケーション] を選択してから、[SAP NetWeaver] を選択します。 アプリケーションの一覧で [SAP NetWeaver] を選択します。

SAP NetWeaver ユーザーを作成する

  1. Microsoft Entra ユーザーが SAP NetWeaver にサインインできるようにするには、SAP NetWeaver でユーザーをプロビジョニングする必要があります。 組織内の SAP エキスパート チームまたは組織の SAP パートナーと協力して、SAP NetWeaver プラットフォームにユーザーを追加します。
  2. 結果を確認するには、ID プロバイダーである Microsoft Entra ID がアクティブ化された後、<https://sapurl/sap/bc/bsp/sap/it00/default.htm> にアクセスして (sapurl を実際の SAP ホスト名に置き換えます)、SSO を確認します。 ユーザー名とパスワードの入力を求めるメッセージが表示されないはずです。