Upload
vukhanh
View
224
Download
0
Embed Size (px)
Citation preview
ActiveDirectory(AD)とSAP R/3によるシングルサインオン(SSO)環境の構築
マイクロソフト株式会社 コンサルティング本部シニアコンサルタント的場 大祐
富士通株式会社 富士通SAP-コンピテンスセンター
主任福島 信之
Agenda1. 富士通、Microsoftグローバル提携
2. MicrosoftのSAPソリューション概要
3. SAP R/3とADによるSSOへのニーズ
4. AD+SAP R/3 SSOソリューションの実態
5. AD+SAP R/3 SSOの実装
6. AD+SAP R/3 集中ユーザ管理ソリューション
7. Tips
Agenda1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
富士通、Microsoftグローバル提携(1)2002.62002.6に発表した「高信頼性システム」構築への取り組みに発表した「高信頼性システム」構築への取り組み
IA Platform Solution BlueprintIA Platform Solution Blueprint
第一弾:SAP分野で国内初のソリューションブック【富士通のmySAP.com向けプラットフォームの説明カタログ】 (PRIMERGY+MSCS+SQL+Systemwalker+ETERNUS による高信頼システムの実現)
第二弾:AD連携によるシングルサインオンソリューション
富士通、Microsoftグローバル提携(2)SAP R/3SAP R/3拡拡販モデルへの取り組み販モデルへの取り組み
オールインワンモデル「オールインワンモデル「STARPAQSTARPAQ」」
・SAP R/3導入に当たり、必要な環境をインストール済みの状態でご提供
■本番システムの構成(例) * 開発機もご用意します。
SAP R/3SAP R/3サーバサーバ
PRIMERGY
ETERNUS
H450
NR1000F 220LTO装置
ARCserve2000によるバックアップ/リストア
システム構成
ソフトウェア構成SAP R/3 4.6Cユーザー数:FI/CO 30ユーザーMicrosoft SQL Server 2000Microsoft Windows 2000 Severハードウェア構成CPU XeonMP 1.9GHz × 2メモリ 2.5GBバックアップ用LTOライブラリ装置
システム構成システム構成
ソフトウェア構成SAP R/3 4.6Cユーザー数:FI/CO 30ユーザーMicrosoft SQL Server 2000Microsoft Windows 2000 Severハードウェア構成CPU XeonMP 1.9GHz × 2メモリ 2.5GBバックアップ用LTOライブラリ装置
◆◆ 実績あるテンプレートを実装し、本構成で検証を事前に実施済みですので、実績あるテンプレートを実装し、本構成で検証を事前に実施済みですので、短納期かつ確実に導入いただけます短納期かつ確実に導入いただけます
Agenda1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
MicrosoftのSAPソリューション概要
Webフロントソリューション
Microsoft社内で利用
IE、EXCELで実装
専用アプリケーション配布不要
作業効率の向上、トレーニングコストの削減
SAP R/3サーバソリューション
SAP R/3を中核とする、データ連携をサポート
開発効率の向上
Webフロントソリューションシームレスなビジネス連携を実現するために、WebサブシステムをSAP R/3にボルトオン
業務経費清算システム業務経費清算システムMS ExpenseMS Expense
社内購買システム社内購買システムMS MarketMS Market
人事管理システム人事管理システムHeadTraxHeadTrax
販売情報データウエアハウス販売情報データウエアハウスMS SalesMS Sales
基幹業務システム基幹業務システムSAP R/3SAP R/3
各種標準レポート各種標準レポートExcelExcel
社内イントラネットサイト社内イントラネットサイト
業務用業務用 Web Web アプリケーションアプリケーション
受注管理システム受注管理システムMOETMOET
SAP R/3サーバソリューション
SAP/MicrosoftSAP/Microsoftソリューションソリューション
SQL Server2000SQL Server2000
Windows Server2003Windows Server2003
..NET ConnectorNET Connector
BizTalk ServerBizTalk Server(Adapter for SAP)(Adapter for SAP)
Active DirectoryActive Directory
APOAPOEBPEBPSEMSEM
EPEP
BWBW
SAP R/3SAP R/3CRMCRM
MSDEMSDEMobile WindowsMobile Windows
ClientClientAPOAPOEBPEBP
SEMSEM
EPEP
BWBW
SAP R/3SAP R/3CRMCRM
MSDEMSDEMobile WindowsMobile Windows
ClientClient
SQL ServerSQL ServerAnalysis ServicesAnalysis Services
SharePointSharePointPortal ServerPortal Server
外部システム外部システム
SAP R/3サーバソリューション
EAI(システム連携) OLAP分析アプリケーション開発 ディレクトリ
Windows Server 2003 Active Directory
SQL Server 2000 Analysis Services
SAP R/3 アプリケーション
IDOC インターフェース
LDAP コネクタ& SSO ツール
右のInterface,Connector,Bridgeは全て無償で入手可能。(ただし利用するにはユーザーライセンスが必要)
LDAP Connector, MOLAP Bridgeは最新のSAPのカーネル(Web AS 6.20)にのみ同梱。
.NETConnector
MOLAPBridge
Microsoft テクノロジ
SAPテクノロジ
Agenda1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
企業内システムの拡大とその課題
企業内ネットワーク及びシステムの拡大による恩恵
システム拡大にともなう課題
■いかなる場所でも必要とする情報への安全なアクセスの提供■ネットワーク連携の強化による共同作業の強化■安全なネットワーク連携および共同作業を通じて顧客および パートナーとのより身近な関係を構築
■セキュリティ保護
認可されたユーザのみが重要な企業情報にアクセスすることを企業 が保証することが重要です。
■ユーザ権限管理の複雑化 企業内の様々なシステムに対するユーザ・アクセス制限は、システム の増加とユーザ数の増加によってますます複雑になります。■管理コストの肥大化
システム毎の個々のユーザ・アクセス管理は管理コストを肥大化します
ユーザ権限の一元的な管理運営が必要となります
SAPシステムへのログオン形態の多様化
SAP GUI for WindowsSAP GUI for HTMLSAP GUI for Java
・ITSやEnterprisePortalなどWebベースのSAPシステム導入
の増加に伴い、シングルサインオン要件も増加の傾向・SAPシステムと他MSアプリケーションシステムとの連携要件
も検討課題として浮上
Agenda1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
AD+SAP R/3 SSOソリューションの実態
Active DirectoryによるSSO*環境
SAPシステムのある企業
SAPシステム+ Active Directoryのメリット
ITSの導入メリット
ITS+PASの導入メリット
EnterprisePortalによるSSO(今後)
SSO*:Single Sign-Onの略
ADによるSSO環境
①”winuser”として ログオン→TGT取得
②”winuser”としての
セッションチケット発行
③”winuser”としてアクセス
NT4NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD
MicrosoftMicrosoftプロダクトプロダクト
Microsoftテクノロジーのアプリケーションサーバー製品だけであればActive Directory で容易にシングルサインオンが実現可能
・Windowsファイル共有、プリンタ
・IIS Webサイト
・Exchange Server・SQL Server・SharePoint ポータルサイト
・対応アプリケーション
④アクセス許可
SAPシステムのある企業
①”winuser”として ログオン→TGT取得
②”winuser”としての
セッションチケット発行
③”winuser”としてアクセス
①”r3user”として
ログオン×N回
②チケット発行×N回
③”r3user”としてアクセス×N回
NT4NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD
MicrosoftMicrosoftプロダクトプロダクト
SAP GUI forSAP GUI for WindowsWindows SAP R/3SAP R/3
SAPアプリケーション(R/3, BW, APO ・・・)が入った途端に
ユーザーは何度もログオンを強いられる(2回以上)・SAP R/3 ・SAP BW・SAP APO 他
④アクセス
許可×N
④アクセス許可
SAPシステム+Active Directoryのメリット
Windows2000(NT4.0)をサポートしているSAPシステムならばGUI for Windowsに対するシングルサインオンが実現
①”w2kuser”として ログオン→TGT取得
②”w2kuser”としての
セッションチケット発行
③”w2kuser”としてアクセス
③”w2kuser”としてアクセス
“Web AS”: “Web Application Server”
NT4NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD
MicrosoftMicrosoftプロダクトプロダクト
SAP GUI forSAP GUI for WindowsWindows SAP R/3SAP R/3Basis3.1Basis3.1~~
④マッピングテーブルでユーザーマッピング
⑤アクセス許可
w2kuser→r3user・・・・・
④アクセス許可
ITSの導入メリット
SAPアプリケーション全体に対するログオンが1回で済むようになる(ただしMSプロダクトとのSSOは依然×)
①”winuser”として ログオン→TGT取得
②”winuser”としての
セッションチケット発行
③”winuser”としてアクセス
②Cookie発行×1
③”r3user”として
アクセス×1
ITS: “Internet Transaction Server”
NT4NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD
MicrosoftMicrosoftプロダクトプロダクト
SAP R/3SAP R/3SAP GUI forSAP GUI for HTMLHTML
ITS+WorkplaceITS+Workplace
①”r3user”として
ログオン×1④アクセス
許可×1
④アクセス許可
ITS+”PAS”の導入メリット
システム全体に対してログオンが1回で済むようになる
①”winuser”として ログオン→TGT取得
②”winuser”としての
セッションチケット発行
③”winuser”としてアクセス
③”winuser”としてアクセス
ITS: “Internet Transaction Server”
SAP GUI forSAP GUI for HTMLHTML
NT4NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD
MicrosoftMicrosoftプロダクトプロダクト
SAP R/3SAP R/3
ITS4.6DITS4.6D~~+Workplace+Workplace+PAS+PAS
“PAS”: “Pluggable Authentication Service”winuser→r3user
・・・・・④マッピングテーブルでユーザーマッピング
⑥アクセス許可
⑤”r3user”としてアクセス
④アクセス許可
SAP Enterprise PortalによるSSO(今後)
システム全体に対してログオンが1回で済むようになる
BSP・JSPアプリケーションを利用
①”winuser”として ログオン→TGT取得
②”winuser”としての
セッションチケット発行
③”winuser”としてアクセス
SAP GUI forSAP GUI for WindowsWindows
NT4NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD
MicrosoftMicrosoftプロダクトプロダクト
SAP R/3SAP R/3
Enterprise portalEnterprise portal
winuser→r3user・・・・・
④マッピングテーブルでユーザーマッピング
⑥アクセス許可
③”winuser”としてアクセス
⑤”r3user”としてアクセス
④アクセス許可
Agenda1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
AD+SAP R/3 SSOの実装(ITS6.1環境をベースにして)
シングルサインオン方式の決定
環境設定項目ActiveDirectory環境の設定
ITSの導入と環境設定
SNCの導入と環境設定
Logon Ticketの設定
SSLの設定
PAS~NTLM認証の設定
PAS~ID/パスワード認証の設定
ログオンフローPAS~NTLM認証を利用したログオンフロー
PAS~ID/パスワード認証を利用したログオンフロー
PAS*:Pluggable Authentication Service
NTLM認証
Kerberos 認証
Logon Ticket認証
X.509認証
Windows NT 4.0 オペレーティングシステムではNTLMプロトコルがネットワーク認証のデフフォルト。Windows2000では、Windows NTクライアントおよびサーバとの互換性維持として使われる。NTLMはWindows2000でスタンドアローンコンピュータにログオンする為の認証に使用される。
Windows2000では、Kerberosセキュリティプロトコルを使用したシングルサインオンの実装が可能である。Kerberosは暗号によるクライアント/サーバの認証方式のひとつであり、通信経路上の安全が保証されないインターネットなどのネットワークにおいて、サーバとクライアントの間で身元の確認を行うのに利用している。Windows2000ではKerberosバージョン5をユーザ認証とアクセス制御のために実装している。
Ticket発行システムでの認証を他のシステムでのシングルサインオンへ利用できるようにユーザに対してLogon Ticketと呼ばれる認証トークンのようなものをCookieに発行し、Ticket発行システムにログオンしたユーザが他のシステムへログオンする際にユーザIDとパスワードの入力を行う代わりに認証トークンであるLogon Ticketを使用することができる。
Certification Authority(CA)局から発行された証明書をクライアント側に持たせることによって、クライアントの認証を行う。
認証方法の種類
シングルサインオン方式の決定SSOを実現する方式には認証方法やセキュリティレベルによって様々な方式があります。
以下はユーザインタフェースによって方式を選択した場合の決定フローになります。
START
GUI for Windows ? GUI for HTML ?ユーザインタフェースは?
ドメイン情報にSAPユーザ
情報を混在させる?WindowsNT4.0環境が
混在している? YESYES NONO
ログオン情報の入力はOSブート時の1回のみにしたい
ログオン情報の入力はOSブート時及びSAPシステムへの初回ログオン時の2回以上でよい
ログオン情報の入力はOSブート時の1回のみにしたい。且つSAPログオン時には証明書を利用したい。
ログオン情報の入力はOSブート時及びSAPシステムへの初回ログオン時の2回以上でよい
GUI for WindowsSSO
(NTLM認証)
GUI for WindowsSSO
(Kerberos認証)
ITS+PASSSO
(NTLM認証)
ITS+PASSSO
ID/パスワード認証
ITS+PASSSO
Logon Ticket認証
ITSSSO
X.509認証
GUI for Win (NTLM・Kerberos)による認証
③ユーザ情報とSAPユーザを照合
マッピングテーブル(USRACL)
ドメインユーザ <-> SAPユーザ
SAP
②ユーザを認証
ドメインコントローラ
User
①Web ASにアクセス
SAPプロトコル(SNC)
Logon Ticket によるクライアント認証
ITSUser
Ticket
①ITSにアクセス
②ユーザを認証
③ユーザ情報送信
④ユーザ情報とSAPユーザを照合
Ticket
マッピングテーブル(USREXTID)
ドメインユーザ <-> SAPユーザ
⑤LogonTicket発行
Ticket
Ticket ⑥他システムへログオン
SAPHTTPS SAPプロトコル
PAS~NTLM認証によるクライアント認証
ITS+PAS
User
Ticket
①PASにアクセス ③ユーザ情報送信
④ユーザ情報とSAPユーザを照合
Ticket
マッピングテーブル(USREXTID)
ドメインユーザ <-> SAPユーザ
⑤LogonTicket発行
Ticket
Ticket ⑥他システムへログオン
SAP
②ユーザを認証
ドメインコントローラ
HTTPS SAPプロトコル
PAS~ID/パスワード認証によるクライアント認証
ITS+PAS
User
Ticket
①PASにアクセス
②ユーザを認証
③ユーザ情報送信
④ユーザ情報とSAPユーザを照合
Ticket
マッピングテーブル(USREXTID)
ドメインユーザ <-> SAPユーザ
⑤LogonTicket発行
Ticket
Ticket ⑥他システムへログオン
ドメインコントローラ
SAPHTTPS SAPプロトコル
X.509認証を利用したシングルサインオン
X.509認証を利用して外部からの端末認証も実現
SAPITSUser証明書
②証明書提示
③ユーザを認証
④ユーザ情報送信
⑤ユーザ情報とSAPユーザを照合
証明書
マッピングテーブル(USREXTID)
証明書 <-> SAPユーザ
⑥トランザクション開始
①証明書発行
証明書
認証局
信頼
HTTPS SAPプロトコル
シングルサインオン方式別導入作業内容GUI for Win
SSOKerbero
ITS+PASSSONTLM
ITS+PASSSO
ID/Password
ITSSSOX.509
ITS+PASSSO
Logon Ticket
GUI for WinSSONTLM
Active Directory環境の設定
ITSシステムの導入
ITSシステムへのPASの導入と環境設定
SNCの導入と環境設定
Logon Ticketの設定
SSLの設定
PAS(NTLM認証)の設定
PAS(ID/Password認証)の設定
○
○
○
○
○
△
○
○
○
○
○
○
○
○
○
○
○
△
○
○
○
○
○
△
○
GUI for Win SSO(NTLM認証)の設定
GUI for Win SSO(Kerberos認証)の設定 ○
○
○ ○
△:セキュリティ強化に必要
環境設定項目
ActiveDirectory環境の設定
ITSの導入と環境設定
SNCの導入と環境設定
Logon Ticketの設定
SSLの設定
PAS~NTLM認証の設定
PAS~ID/パスワード認証の設定
Active Directory導入時の留意点
ネーミングルール(ドメイン名・ユーザID)
SAP R/3 と AD の制限
使用可能文字
文字数
一意性の範囲
注意すべきMicrosoftサポート技術情報
415097 - [NT] Active Directory で濁音、半濁音、拗音、促音を区別しない
Active Directory導入時の留意点
使用可能文字DNS名
0-9,a-z,A-Z,-(ハイフン)大文字と小文字は、区別されない
ASCII名以下を除く ASCII 文字
¥“/[]:|<>+=;,?*スペース制御文字
UNICODE名
以下を除く UNICODE 文字
#,+“¥<>;先頭のスペース、末尾のスペース
(2) ITSシステムの導入と環境設定
AD
R/3(チケット発行)
コンポーネントシステム
ITSIISUser
IISインストール
ITS管理者アカウント/グループ及びITSユーザグループの登録
サイトの作成
ITSSETUPツールでインストール開始
- 仮想ITSインスタンス名の登録
- インストールタイプを選択(Single Host or Dual Host) - インストールするパッケージを選択(PASもここで選択されます)
接続確認
ITSシステム作業作業フェーズ
事前作業
インストール
後作業
(3) SNCの導入と環境設定
AD
R/3(チケット発行)
コンポーネントシステム
ITSIISUser
SAPシステムにSNC用DLLを実装
Windowsシステムにて環境変数を設定
SAPプロファイルを編集
ITSシステムにNTLM用DLLを実装
Windowsシステムの環境変数を設定
ITSシステムでレジストリ値を設定
ITSシステムでサービスファイルを編集
ITSシステムでサービス実行ユーザを変更
SAPシステムでACL調整
接続テストの実施
IIS側システム作業 ITS側システム作業
(4) Logon Ticketの設定
AD
R/3(チケット発行)
コンポーネントシステム
ITSIISUser
ITSシステムのサービスファイルを編集(チケット発行システム)
チケット発行・受付を設定
ITSシステムのサービスファイルを編集(コンポーネントシステム)
コンポーネントシステム側にてチケット受入設定
接続テスト
チケット発行システム側システム作業ITS側システム作業
(5) SSLの設定
ITSIIS
SAP TCS
AD
R/3(チケット発行)
コンポーネントシステム
User
サーバ証明書要求を作成
SAP TCSへサーバ証明書要求を送付
サーバ証明書をインポート
SSL有効化
接続テスト
W-Gate設定変更
接続テスト
Webサーバ(IIS)側システム作業 認証局へのシステム作業
(6) PAS~NTLM認証の設定
AD
R/3(チケット発行)
コンポーネントシステム
ITSIISUser
ITSシステムにPAS用コンポーネントを インストール
ITSシステムのサービスファイル編集
PAS用サービスファイル編集
WebサーバにてIISの設定変更
チケット発行システム側にてユーザマッピング設定
接続テスト
Webサーバ(IIS)側システム作業 ITSシステム側作業
(7) PAS~ID/パスワード認証の設定
ITSシステムにPAS用コンポーネントを
インストール
ITSシステムのサービスファイル編集
PAS用サービスファイル編集
WebサーバにてIISの設定変更
チケット発行システム側にてユーザマッピング設定
接続テスト
Webサーバ(IIS)側システム作業 ITSシステム側作業
R/3(チケット発行)
コンポーネントシステム
ITSIIS
AD
User
(8) GUI for Win SSO(NTLM認証)の設定
R/3(チケット発行)
ADコンポーネントシステム
User
SAP側にてSNC用DLLを実装
Windowsシステムで環境変数設定
SAP側にてプロファイル編集
クライアント側にてNTLM用DLL実装
Windowsシステムで環境変数設定
クライアント側にてGUIの設定変更
R/3側にてユーザマッピング
接続テスト
クライアント側システム作業 SAPシステム側作業
(9) GUI for Win SSO(Kerberos認証)の設定
R/3(チケット発行)
ADコンポーネントシステム
User
SAP側にてSNC用DLLを実装
Windowsシステムで環境変数設定
SAP側にてプロファイル編集
クライアント側にてKerberos用DLL実装
Windowsシステムで環境変数設定
クライアント側にてGUIの設定変更
R/3側にてユーザマッピング
接続テスト
クライアント側システム作業 SAPシステム側作業
PAS~NTLM認証を利用したログオンフロー.NO1(Basis 4.x WPS利用の場合)
注意!!クライアントがドメインに参加していない場合に限り「ドメインユーザ名」「パスワード」「ドメイン名」を聞かれます。
②PASにアクセスしますhttps://<HOSTNAME>.<DOMAINNAME>:<PORT_NUMBER>
/scripts/wgate/sapauth/!
①ブラウザを起動します
ドメインユーザとマッピングしたSAPユーザでログオンされています
ログオンしたSAPユーザに定義されたロールが表示されています
③Workplaceのサービス画面が表示されます
ex)Test <> OOTANI
PAS~NTLM認証を利用したログオンフロー.NO2(Basis 4.x WPS利用の場合)
「ロール」とは?
企業のビジネスシナリオに基づき従業員の実行する作業内容をまとめたもの。
複数システムのトランザクションを事前にロールに定義しておけば各システムに繰返しユーザとパスワードを入力する事無しに作業を実施する事が可能となります。
PAS~NTLM認証を利用したログオンフロー.NO3(Basis 4.x WPS利用の場合)
通常通りトランザクションコードを入力して使用したい場合は「WebGUI」を呼出します。
「WebGUI」起動URLも事前にロールに定義する必要があります。
①Workplace用「WebGUI」 サービスを呼出します
②ライセンス期限が表示されるのでそのまま「Enter」
PAS~NTLM認証を利用したログオンフロー.NO4(Basis 4.x WPS利用の場合)
③「Start SAP Easy Access」を実行します
④Workplace用「WebGUI」サービスが開始されました
PAS~NTLM認証を利用したログオンフロー.NO5(Basis 4.x WPS利用の場合)
他システムにおいても通常通りトランザクションコードを入力して使用したい場合は「WebGUI」を呼出します。
この時各システムに繰返しユーザとパスワードを入力する事無しに作業を実施する事が可能です。
「WebGUI」起動URLも事前にロールに定義する必要があります。
①他システム用「WebGUI」 サービスを呼出します
②ライセンス期限が表示されるのでそのまま「Enter」
PAS~NTLM認証を利用したログオンフロー.NO6(Basis 4.x WPS利用の場合)
③「Start SAP Easy Access」を実行します
④他システム用「WebGUI」サービスが開始されました
PAS-ID/パスワード認証を利用したログオンフロー.NO1①ブラウザを起動します
②PASにアクセスしますhttps://<HOSTNAME>.<DOMAINNAME>:<PORT_NUMBER>
/scripts/wgate/sappwauth/!
注意!!クライアントがドメインに参加していない場合に限り「ドメインユーザ名」「パスワード」「ドメイン名」を聞かれます。
③PASの認証画面が表示されます
④「ドメインユーザ名」「パスワード」「ドメイン名」を聞かれるので入力します。
⑤「Logon」を押します
PAS-ID/パスワード認証を利用したログオンフロー.NO2
⑥Workplaceのサービス画面が表示されます
ドメインユーザとマッピングしたSAPユーザでログオンされています
ex)Test <> OOTANI
ログオンしたSAPユーザに定義されたロールが表示されています
X.509認証を利用したログオンフロー.NO1X.509認証の場合Workplaceを経由しなくともSSOは有効です。そのため直接「WebGUI」を呼出して使用する事が可能です。
①ブラウザを起動します
②Workplaceサービスにアクセスしますhttps://<HOSTNAME>.<DOMAINNAME>:<PORT_NUMBER>/scripts/wgate/webgui/!
③利用するクライアント証明書が正しい事を確認します
④ 「OK」を押します
⑤ライセンス期限が表示されるのでそのまま「Enter」
クライアント証明書とマッピングしたSAPユーザでログオンされています
ex)S0001889717 <> OOTANI
Agenda1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
AD+SAP R/3集中ユーザ管理ソリューション
Basis4.6までのADとの集中ユーザ管理
WebAS+Active Directory導入による集中ユーザ管理ソリューション
AD側への拡張スキーマ登録
Basis4.6までのADとの集中ユーザ管理
COMアプリケーションを介してディレクトリとの同期を行うことにより集中ユーザ管理が
なされる
②R/3からBAPIを介して
登録ユーザーを取得し、NT4/AD ドメインコントローラへADSIを介して
ユーザーを同期するアプリケーションを起動 BAPI
ADSI
③ ドメインコントローラ上にユーザー”winuser”が
自動登録
SAP GUI forSAP GUI for WindowsWindows
NT4NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD
MicrosoftMicrosoftプロダクトプロダクト
① SAP上でユーザー”r3user”を登録
SAPApps
Basis 4.0B~“DCOM
Connector”
WebAS+Active Directory導入による集中ユーザ管理ソリューションSAPにユーザー登録(編集、削除)したタイミングで、ディレクトリにも自動的に同期が
なされる
① SAP上でユーザー”r3user”を登録
SAPApps
②LDAP コネクタがデータ加工(“w2kuser”)
Web AS“LDAP
Connector”
③LDAP コネクタがLDAPプロトコルによりActive Directoryに対しユー
ザーを同期(”w2kuser”を登録) LDAP
④ ドメインコントローラ上にユーザー”winuser”が
自動登録
SAP GUI forSAP GUI for WindowsWindows
NT4NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD
MicrosoftMicrosoftプロダクトプロダクト
LDAP コネクタ導入時の留意点
AD スキーマ拡張が必要R/3 LDAP コネクタ 設定時
SAP 提供のスキーマ拡張ファイル
AD スキーマ拡張の注意点スキーマ拡張は、恒久的な操作
削除できない
ディレクトリ全体に大きな影響がある
フォレスト内のすべての DC に複製される
スキーマ拡張の完了後、同期の実行
矛盾の発生を防ぐ
同期場所のマッピング
Base Entry: (DN で指定)OU=employee, OU=Company, DC=domain, DC=com
DC (Domain Component)OU (Organization Unit)CN (Common NAME)DN (Distinguished Name)
LDAPコネクタを利用したユーザ同期とSSOソリューションについて
ユーザ同期とSSOソリューションについて
検証環境
検証環境構築
Active Directoryスキーマの拡張について
ユーザ同期における課題
同期後のユーザアカウントの状態
SAP プロファイルの同期
ユーザ同期とSSOソリューションについて
SSO運用時の課題
ActiveDirectory
ドメインユーザ
R/3ユーザテーブル
SAPユーザ
ユーザをマッピングユーザをマッピング
ユーザを登録 ユーザを登録
管理者は複数のIDとパスワードを考慮
ユーザ追加の度にマッピング処理
マッピングテーブル(USREXTID)
ドメインユーザ <-> SAPユーザ
ユーザ同期とSSOソリューションについて
ユーザ同期を採用したSSO運用時
マッピングテーブル(USREXTID)
ドメインユーザ <-> SAPユーザ
ActiveDirectory
ドメインユーザ
R/3ユーザテーブル
SAPユーザ
③ユーザをマッピング
①ユーザを登録
②ユーザを同期
ユーザ情報の一貫性保持
マッピング自動化
LDAP
ABAP
LDAP コネクタ検証環境ルート
com
DC/GC/DNS
CA
domain
R/3ドメイン
Default-first-site-nameドメイン
Active Directory ドメイン
サーバー
OS : Windows 2000ドメイン : 参加 (メンバー)
SAP R/3 コンポーネント群は、同一ドメイン参加
SAP Basis, ITS + PAS, , Workplaceクライアント
OS : Windows 2000 or Windows XP Proドメイン : 参加 (メンバー)
LDAPコネクタによるAD連携環境構築
ドメインコントローラにてAD統合用の事前作業を実施 ディレクトリ管理用グループ・ユーザ等を 作成(SAP提供ツールによる) SAPインストール中にAD統合用オプションを選択 LDAP設定事前作業 LDAPコネクタ設定 ディレクトリ用システムユーザ設定 ディレクトリサービスの接続情報設定ドメインコントローラ側でスキーマ拡張 属性をマッピング 同期フラグ設定 R/3→Directory・Directory→R/3への同期テスト
Active Directoryドメイン側システム作業 SAPシステム側作業
Agenda1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
Active Directoryスキーマの拡張について
SAP認定Directory ServiceであるActive Directoryはスキーマ拡張用ファイルをSAPシステム内で生成
ABAPプログラム「RSLDAPSCHEMAEXT」
ユーザ同期における課題
同期後のユーザアカウントの状態
R/3→Directoryに同期した場合、同期された
ユーザアカウントは無効になっている
手動で有効に変更
アカウントを有効にするPGを利用する
SAPプロファイルの同期
Directory→R/3に同期する場合、標準のユーザ管理ツールからSAPプロファイル情報を渡す事ができない
特別な管理ツールを利用(ADSI Edit)
プロファイル情報を渡すPGを利用する
ITS+PAS構築時の留意点
ディレクトリ環境はNT4ドメインでもActive Directoryでも両方可能(認証方式:NTLMとID/Password)
クライアント環境はWebブラウザのみ
- SAP GUI for Windowsの配布は不要(但しIEに限定)
“PAS” には他にも様々なソリューション
- X.509クライアント証明書を用いた認証
- LDAPディレクトリ(Active Directory 等)による認証
ベーシス環境はバージョン4.6D以降
サーバー環境としてITS(+Workplace*)の導入が必須
クライアント環境としてのSAP GUI for HTMLを利用
NT4ドメインシステムでも利用可能
*)カーネル6.xの場合にWorkPlaceは不要です
Web AS6.20+AD構築時の留意点
導入が容易
トポロジーもシンプル
Active Directoryのグループポリシーを利用してサーバー サイド、クライアントサイドにソフトウエア配布
クライアント環境は SAP GUI for Windowsベーシス環境は Web AS 6.20以降が必要
ディレクトリ環境は NT4ドメインでなくActive Directoryが 前提
APPDENDIXMicrosoft Metadirectory Services2003 とSAP連携シナリオ例
アイデンティティ マネジメント雇用・解雇にあわせてユーザー ID を各ディレクトリに連携
常に整合性を確保し分散ディレクトリの管理コストを削減
NotesNotesSAP R/3 HRSAP R/3 HR
グループグループ組織など組織など ADAMADAM
iPlanetiPlanet
RDBRDB
MMS 2003MMS 2003ユーザーユーザー
組織情報等組織情報等
同期同期 新規作成 新規作成 更新 更新 削除
Active DirectoryActive Directory 削除
ユーザー ID と グループ情報の
同期システム例
接続ディレクトリ(提供予定の MA)AD / Exchange 2000ADAMiPlanet / Sun ONE Directory Server SQLOracleXML / DSML 2.0LDAP Directory Interchange Format (LDIF)Delimited TextFixed-Width TextAttribute-Value Pair TextNT 4Exchange 5.5Lotus NotesNovell NDSGeneric LDAP
お問い合わせ先
マイクロソフト株式会社
エンタプライズパートナー推進本部 SAPアライアンス
< [email protected] >< http://www.microsoft-sap.com >富士通株式会社
富士通-SAPコンピテンスセンター
< http://segroup.fujitsu.com/sap/index.html >< [email protected] >