SAP システムとアダプターの間のセキュリティ
Microsoft BizTalk Adapter for mySAP Business Suite では、SAP Secure Network Communications (SNC) またはユーザー名のパスワード資格情報をサポートして、その資格情報と SAP サーバー間の通信をセキュリティで保護します。 ユーザー名のパスワード資格情報は、SAP システムへの接続に対する承認のみを提供します。接続を介して交換されたデータに対するセキュリティは提供されません。 SNC とユーザー名の両方のパスワード資格情報を同時に使用することはできません。
SAP Secure Network Communications
Secure Network Communications (SNC) は、SAP クライアントと SAP アプリケーション サーバーの間で交換されるデータに対するアプリケーション レベルのセキュリティを提供するのに役立つ、SAP システム アーキテクチャのソフトウェア層です。
SNC には、次の利点があります。
SNC は、アプリケーション レベルのエンドツーエンドのセキュリティを対象とします。 SNC は、2 つの SNC で保護されたコンポーネント (SAPgui と SAP システム アプリケーション サーバーの間など) 間のすべての通信をセキュリティで保護するのに役立ちます。
SAP システムが直接提供しない追加のセキュリティ機能 (シングル Sign-On、認証にスマート カードを使用するなど) を実装できます。
SNC の実装をカスタマイズできます。 任意のセキュリティ製品を使用し、使用するアルゴリズムを選択できます。
SAP システム ビジネス アプリケーションに影響を与えることなく、いつでもセキュリティ製品を変更できます。
SNC を使用するには、SAP サーバーと SAP アダプターを実行しているクライアントの両方を構成する必要があります。
SAP サーバーで Secure Network Communications (SNC) を構成します。 ガイダンスについては、SAP ドキュメントを参照してください。
SAP クライアント DLL と SAP アダプターがインストールされているコンピューターでは、SNC 関連の DLL も必要です。 これらの DLL の詳細については、「BizTalk Adapter Pack ソフトウェアの前提条件」を参照してください。
SNC を使用するようにアダプターを構成するには、SAP 接続 URI で UseSnc パラメーターを設定する必要があります。 SAP 接続 URI の詳細については、「SAP アダプターの接続 URI を構成する」を参照してください。 また、 SncLibrary と SncPartnerName バインド プロパティを設定する必要があります。 SAP アダプターのバインド プロパティの詳細については、「 BizTalk Adapter for mySAP Business Suite のバインド プロパティ」を参照してください。
ユーザー名パスワードの資格情報
接続 URI でアダプターにユーザー名のパスワード資格情報を指定できます。 アダプターは、これらの資格情報を使用して、接続を開いたときに SAP システムでユーザーを認証します。 これらの資格情報は、SAP システムへの接続に対する承認レベルを提供します。ただし、ネットワーク経由で移動するデータに対して、メッセージ レベルまたはトランスポート レベルの認証 (または承認) は提供されません。
このため、アダプターと SAP システム間のデータ交換に対して適切なレベルの承認、認証、データ プライバシー、およびデータ整合性を確保するために役立つセキュリティ メカニズムを提供する必要があります。
重要
SAP アダプターは AcceptCredentialsInUri バインド プロパティを表示します。 このプロパティは、接続 URI で SAP システム資格情報を許可するかどうかを決定します。 既定では、 AcceptCredentialsInUri は false であり、資格情報が URI に含まれている場合、SAP アダプターは例外をスローします。 詳細については、「 BizTalk Adapter for mySAP Business Suite のバインド プロパティ」を参照してください。
ネットワーク全体でより多くのセキュリティを提供するためのメカニズムの 1 つとして、インターネット プロトコル セキュリティ (IPsec) があります。 IPsec は、インターネット プロトコル (IP) ネットワーク経由の通信を保護するためのオープン標準のフレームワークです。
ユーザー名とパスワードは、接続 URI でクリア テキストとして指定されます。 SAP アダプターには、これらの資格情報をより安全に指定できるさまざまな方法が用意されています。
BizTalk ソリューションで SAP システム資格情報をより安全に提供する方法については、「SAP アダプターとBizTalk Serverを使用したセキュリティ」を参照してください。
プログラミング ソリューションで SAP システム資格情報をより安全に提供する方法については、「 SAP アダプターを使用したプログラミングのセキュリティ保護」を参照してください。
受信シナリオのセキュリティに関する懸念事項
SAP プログラム ID にアクセスできるリスナーは、そのプログラム ID に送信されたすべての SAP 成果物 (RFC、IDOC、tRFC) を受け取る可能性があります。 複数のリスナーがプログラム ID に登録されている場合、SAP はそのプログラム ID に到着した成果物をリスナーの 1 つにランダムに割り当てます。 そのため、特定のプログラム ID を使用してメッセージを受信するリスナーのみが、そのプログラム ID にアクセスできるようにしておく必要があります。 さらに、SAP はプログラム ID にアタッチされたリスナーに成果物をランダムに送信するため、プログラム ID を 1 つのリスナーに専用にすることをお勧めします。