次の方法で共有

チュートリアル: Microsoft Entra SSO と SAP Business Technology Platform の統合

  • [アーティクル]

このチュートリアルでは、SAP Business Technology Platform と Microsoft Entra ID を統合する方法について説明します。 SAP Business Technology Platform と Microsoft Entra ID を統合すると、次のことができます。

  • SAP Business Technology Platform にアクセスできる Microsoft Entra ID を制御します。
  • ユーザーが自分の Microsoft Entra アカウントを使用して SAP Business Technology Platform に自動的にサインインできるようにします。
  • 1 つの中央の場所でアカウントを管理します。

前提 条件

開始するには、次のものが必要です。

  • Microsoft Entra サブスクリプション。 サブスクリプションをお持ちでない場合は、無料アカウントを取得できます。
  • SAP Business Technology Platform でのシングル サインオン (SSO) が有効なサブスクリプション。

重要

シングル サインオンをテストするには、独自のアプリケーションをデプロイするか、SAP Business Technology Platform アカウントでアプリケーションをサブスクライブする必要があります。 このチュートリアルでは、アプリケーションをアカウントにデプロイします。

シナリオの説明

このチュートリアルでは、テスト環境で Microsoft Entra のシングル サインオンを構成し、テストします。

  • SAP Business Technology Platform は SP Initiated SSO をサポートしています。

Microsoft Entra ID への SAP Business Technology Platform の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に SAP Business Technology Platform を追加する必要があります。

  1. 少なくとも クラウド アプリケーション管理者として、Microsoft Entra 管理センター にサインインします。
  2. アイデンティティ>アプリケーション>エンタープライズ アプリケーション>新しいアプリケーションに移動します。
  3. [ギャラリーから追加する] セクションで、検索ボックスに「SAP Business Technology Platform」と入力します。
  4. 結果パネル SAP Business Technology Platform を選択し、アプリを追加します。 アプリがテナントに追加されるまで数秒待ちます。

または、Enterprise App Configuration ウィザードを使用することもできます。 このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 ウィザードの詳細を確認します。

SAP Business Technology Platform の Microsoft Entra SSO の構成とテスト

B.Simonというテスト ユーザーを使用して、SAP Business Technology Platform に対する Microsoft Entra SSO を構成してテストします。 SSO を機能させるには、Microsoft Entra ユーザーと SAP Business Technology Platform の関連ユーザーとの間にリンク関係を確立する必要があります。

SAP Business Technology Platform に対する Microsoft Entra SSO を構成してテストするには、次の手順に従います。

  1. Microsoft Entra SSO の構成 - ユーザーがこの機能を使用できるようにします。
    1. Microsoft Entra のテスト ユーザー の作成 - Britta Simon で Microsoft Entra のシングル サインオンをテストします。
    2. Microsoft Entra テスト ユーザー を割り当てる - Britta Simon が Microsoft Entra シングル サインオンを使用できるようにします。
  2. SAP Business Technology Platform の SSO の構成 - アプリケーション側でシングル Sign-On 設定を構成します。
    1. SAP Business Technology Platform のテストユーザー を作成 - Microsoft Entra に関連する Britta Simon の対応ユーザーを SAP Business Technology Platform で作成します。
  3. SSO のテスト - 構成が機能するかどうかを確認します。

Microsoft Entra SSO の構成

Microsoft Entra SSO を有効にするには、次の手順に従います。

  1. 少なくとも クラウド アプリケーション管理者として、Microsoft Entra 管理センター にサインインします。

  2. アイデンティティ>アプリケーション>エンタープライズ アプリケーション>SAP Business Technology Platform>シングル サインオンを参照します。

  3. [シングル サインオン方式の選択] ページで、[SAML] を選択します。

  4. [SAML でのシングル サインオンの設定] ページで、基本的な SAML 構成 の鉛筆アイコンをクリックして設定を編集します。

    基本的な SAML 構成の編集

  5. [基本的な SAML 構成] セクションで、次のフィールドの値を入力します。

    a. [識別子] ボックスに、次のいずれかの形式で SAP Business Technology Platform の URL を入力します。

    識別子
    https://hanatrial.ondemand.com/<instancename>
    https://hana.ondemand.com/<instancename>
    https://us1.hana.ondemand.com/<instancename>
    https://ap1.hana.ondemand.com/<instancename>

    b. [応答 URL ボックスに、次のいずれかのパターンを使用して URL を入力します。

    応答 URL
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>
    https://<subdomain>.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.us1.hana.ondemand.com/<instancename>
    https://<subdomain>.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.ap1.hana.ondemand.com/<instancename>
    https://<subdomain>.dispatcher.hana.ondemand.com/<instancename>

    c. [サインオン URL ボックスに、ユーザーが SAP Business Technology Platform アプリケーションにサインインするために使用する URL を入力します。 これは、SAP Business Technology Platform アプリケーションの保護されたリソースのアカウント固有の URL です。 URL は、次のパターンに基づいています: https://<applicationName><accountName>.<landscape host>.ondemand.com/<path_to_protected_resource>

    手記

    これは、ユーザーに認証を要求する SAP Business Technology Platform アプリケーションの URL です。

    サインオン URL
    https://<subdomain>.hanatrial.ondemand.com/<instancename>
    https://<subdomain>.hana.ondemand.com/<instancename>

    手記

    これらの値は実際の値ではありません。 実際の識別子、応答 URL、サインオン URL でこれらの値を更新します。 Sign-On URL と識別子を取得するには、SAP Business Technology Platform クライアント サポート チーム にお問い合わせください。 応答 URL は、チュートリアルの後半で説明する信頼管理セクションから取得できます。

  6. 単一 Sign-On のセットアップを行う SAML」ページの「SAML 署名証明書」セクションで、「ダウンロード」をクリックし、必要に応じて指定されたオプションから「フェデレーション メタデータ XML」をダウンロードして、コンピューターに保存してください。

    証明書のダウンロード リンク

Microsoft Entra テスト ユーザーの作成

このセクションでは、B.Simon というテスト ユーザーを作成します。

  1. Microsoft Entra 管理センター に、少なくとも ユーザー管理者としてサインインします。
  2. [ID][ユーザー][すべてのユーザー] の順に移動します。
  3. 画面の上部にある [新しいユーザー 作成]>[新しいユーザーの作成] を選択します。
  4. User プロパティで、次の手順に従います。
    1. [表示名 フィールドに、「B.Simon」と入力します。
    2. [ユーザー プリンシパル名 フィールドに、username@companydomain.extensionを入力します。 たとえば、B.Simon@contoso.comします。
    3. [パスワード を表示する] チェック ボックスをオンにし、[パスワード] ボックスに表示される値を書き留めます。
    4. [確認と作成] を選択します。
  5. [作成] を選択します

Microsoft Entra テスト ユーザーの割り当て

このセクションでは、B.Simon に SAP Business Technology Platform へのアクセスを許可することで、このユーザーがシングル サインオンを使用できるようにします。

  1. 少なくとも クラウド アプリケーション管理者として、Microsoft Entra 管理センター にサインインします。
  2. ID>アプリケーション>エンタープライズ アプリケーション>SAP Business Technology Platformを参照します。
  3. アプリの概要ページで、[ユーザーとグループ] 選択します。
  4. [ユーザー/グループ追加] を選択し、[割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。
    1. [ユーザーとグループ ] ダイアログで、[ユーザー] の一覧から [B.Simon 選択し、画面の下部にある [ の選択] ボタンをクリックします。
    2. ロールがユーザーに割り当てられる予定の場合は、[ロールの選択] ドロップダウンから選択できます。 このアプリに対してロールが設定されていない場合は、"既定のアクセス" ロールが選択されていることがわかります。
    3. [割り当ての追加] ダイアログで、[割り当て] をクリックします。

SAP Business Technology Platform の SSO の構成

  1. 別の Web ブラウザー ウィンドウで、https://account.<landscape host>.ondemand.com/cockpitの SAP Business Technology Platform Cockpit にサインオンします (例: https://account.hanatrial.ondemand.com/cockpit)。

  2. [信頼] タブをクリックします。

    信頼

  3. [信頼の管理] セクションの [ローカル サービス プロバイダー で、次の手順を実行します。

    [ローカル サービス プロバイダー] タブが選択され、すべてのテキスト ボックスが強調表示されている [信頼の管理] セクションを示すスクリーンショット。

    a. [編集] をクリックします。

    b. [構成の種類] として [カスタム] を選択します。

    c. [ローカル プロバイダー名]、既定値のままにします。 この値をコピーし、SAP Business Technology Platform の Microsoft Entra 構成の Identifier フィールドに貼り付けます。

    d. 署名キー署名証明書 キー ペアを生成するには、[キー ペアの生成] クリックします。

    e. [プリンシパル伝達][無効] を選択します。

    f. [強制認証][無効] を選択します。

    g. [保存] をクリックします。

  4. ローカル サービス プロバイダーの 設定を保存した後、次の手順に従って応答 URL を取得します。

    メタデータの取得

    a。 [メタデータの取得] をクリックして、SAP Business Technology Platform メタデータ ファイルをダウンロードします。

    b. ダウンロードした SAP Business Technology Platform メタデータ XML ファイルを開き、ns3:AssertionConsumerService タグを見つけます。

    c. Location 属性の値をコピーし、SAP Business Technology Platform の Microsoft Entra 構成の 応答 URL フィールドに貼り付けます。

  5. [信頼された ID プロバイダー ] タブをクリックし、[信頼された ID プロバイダー 追加] をクリックします。

    [信頼できる ID プロバイダー] タブが選択されている [信頼の管理] ページを示すスクリーンショット。

    手記

    信頼できる ID プロバイダーの一覧を管理するには、[ローカル サービス プロバイダー] セクションでカスタム構成の種類を選択する必要があります。 既定の構成の種類では、SAP ID サービスに対する編集不可能で暗黙の信頼があります。 [なし] の場合、信頼設定はありません。

  6. [全般] タブをクリックし、その後、[参照] をクリックして、ダウンロードしたメタデータファイルをアップロードします。

    トラストマネジメント

    手記

    メタデータ ファイルをアップロードすると、シングル サインオン URLシングル ログアウト URL、および 署名証明書 の値が自動的に設定されます。

  7. 属性 タブをクリックします。

  8. 属性 タブで、次の手順を実行します。

    属性

    a. [アサーション ベースの属性の追加] をクリックして、次のアサーション ベースの属性を追加します。

    アサーション属性 プリンシパル属性
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/givenname firstname
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/surname lastname
    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress 電子メール

    手記

    属性の構成は、SCP 上のアプリケーションの開発方法、つまり SAML 応答で期待される属性、およびコード内でこの属性にアクセスする名前 (プリンシパル属性) によって異なります。

    b. スクリーンショットの 既定の属性 は、説明のみを目的としたものです。 シナリオを機能させる必要はありません。

    c. スクリーンショットに示 プリンシパル属性 の名前と値は、アプリケーションの開発方法によって異なります。 アプリケーションで異なるマッピングが必要な場合があります。

アサーション ベースのグループ

オプションの手順として、Microsoft Entra ID プロバイダーのアサーション ベースのグループを構成できます。

SAP Business Technology Platform でグループを使用すると、SAML 2.0 アサーション内の属性の値によって決定される、SAP Business Technology Platform アプリケーションの 1 つ以上のロールに 1 人以上のユーザーを動的に割り当てることができます。

たとえば、アサーションに "contract=temporary" という属性が含まれている場合、影響を受けるすべてのユーザーをグループ "TEMPORARY" に追加できます。 グループ "TEMPORARY" には、SAP Business Technology Platform アカウントにデプロイされた 1 つ以上のアプリケーションの 1 つ以上のロールが含まれている場合があります。

SAP Business Technology Platform アカウント内のアプリケーションの 1 つ以上のロールに多数のユーザーを同時に割り当てる場合は、アサーション ベースのグループを使用します。 特定のロールに割り当てるユーザーを 1 人または少数にする場合は、SAP Business Technology Platform コックピットの [承認] タブで直接割り当てることをお勧めします。

SAP Business Technology Platform のテスト ユーザーの作成

Microsoft Entra ユーザーが SAP Business Technology Platform にログインできるようにするには、SAP Business Technology Platform のロールをユーザーに割り当てる必要があります。

ユーザーにロールを割り当てるには、次の手順を実行します。

  1. SAP Business Technology Platform コックピットにログインします。

  2. 次の操作を実行します。

    認可

    a. [認可] をクリックします。

    b. [ユーザー] タブをクリックします。

    c. [ユーザー] ボックスに、ユーザーのメール アドレスを入力します。

    d. [割り当て] をクリックしてユーザーをロールに割り当てます。

    e. [保存] をクリックします。

SSO のテスト

このセクションでは、次のオプションを使用して、Microsoft Entra のシングル サインオン構成をテストします。

  • このアプリケーションテストをクリックすると、ログイン フローを開始できる SAP Business Technology Platform のサインオン URL にリダイレクトされます。

  • SAP Business Technology Platform のサインオン URL に直接移動し、そこからログイン フローを開始します。

  • Microsoft マイ アプリを使用できます。 マイ アプリで [SAP Business Technology Platform] タイルをクリックすると、SSO を設定した SAP Business Technology Platform に自動的にサインインします。 マイ アプリの詳細については、「マイ アプリ 概要」を参照してください。

次の手順

  • SAP Business Technology Platform を構成したら、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用できます。 セッション制御は条件付きアクセスから拡張されます。 Microsoft Defender for Cloud Appsでセッション制御を適用する方法について説明します。
  • グループ を使用して SAP BTP アプリへのアクセスを管理する