Microsoft Entra ID を SAP NetWeaver と統合する

完了

SAP NetWeaver と Microsoft Entra ID を統合すると、次のような利点があります。

• SAP NetWeaver にアクセスできるユーザーを Microsoft Entra ID で制御できます。
• ユーザーが自分の Microsoft Entra アカウントを使用して SAP NetWeaver に自動的にサインイン (シングル サインオン) できるようにすることができます。
• 1 つの中央サイト (Azure Portal) でアカウントを管理できます。

SAP NetWeaver と Microsoft Entra の統合を構成するには、次のものが必要です。

• Microsoft Entra サブスクリプション
• SAP NetWeaver でのシングル サインオンが有効なサブスクリプション
• 少なくとも SAP NetWeaver V7.20 が必要

SAP NetWeaver では、SP によって開始される SSO がサポートされます。

ギャラリーから SAP NetWeaver を追加する

Microsoft Entra ID への SAP NetWeaver の統合を構成するには、最初に、ギャラリーからマネージド SaaS アプリのリストに SAP NetWeaver を追加します。

Microsoft Entra シングル サインオンの構成とテスト

SAP NetWeaver で Microsoft Entra のシングル サインオンを構成するには、次の手順を使用する必要があります。

1. Microsoft Entra のシングル サインオンを構成して、ユーザーがこの機能を使用できるようにします。
2. SAP NetWeaver シングル サインオンの構成 - アプリケーション側でシングル サインオン設定を構成します。
3. Microsoft Entra ID テスト ユーザーを Microsoft Entra アプリケーションに割り当てます。
4. Microsoft Entra ユーザー アカウントにリンクされた SAP NetWeaver ユーザーを作成します。

Microsoft Entra シングル サインオンの構成

SAP NetWeaver で Microsoft Entra シングル サインオンを構成するには、次の手順を実行します。

1. 新しい Web ブラウザー ウィンドウを開き、会社の SAP NetWeaver サイトに管理者としてログインします。

2. http サービスと https サービスがアクティブであり、SMICM T-Code で適切なポートが割り当てられていることを確認します。

3. SSO が必要な SAP システム (T01) のビジネス クライアントにサインインし、HTTP セキュリティ セッション管理をアクティブにします。

4. トランザクション コード SICF_SESSIONS に移動します。 プロファイルのすべてのパラメーターを確認します。 組織の要件に従って調整した後、SAP システムを再起動します。

5. 関連するクライアントをダブルクリックして、HTTP セキュリティ セッションを有効にします。

6. 以下の SICF サービスをアクティブ化します。

   • /sap/public/bc/sec/saml2
   • /sap/public/bc/sec/cdc_ext_service
   • /sap/bc/webdynpro/sap/saml2
   • /sap/bc/webdynpro/sap/sec_diag_tool (これは、トレースの有効化と無効化のみを行います)

7. SAP システム [T01/122] のビジネス クライアントで、トランザクション コード SAML2 に移動します。 ブラウザーでユーザー インターフェイスが開きます。

8. ユーザー名とパスワードを指定してユーザー インターフェイスに入り、[Edit](編集) を選びます。

9. [Provider Name](プロバイダー名) を T01122 から <http://T01122> に変更して、[Save](保存) を選びます。

10. 既定では、プロバイダー名は [sid][client] という形式として書式設定されますが、Microsoft Entra ID では protocol://[sid][client] という形式の名前にする必要があります。 Microsoft Entra ID で複数の SAP NetWeaver ABAP エンジンを構成できるように、https://[sid][client] というプロバイダー名を維持することをお勧めします。

11. サービス プロバイダー メタデータの生成: SAML 2.0 ユーザー インターフェイスでローカル プロバイダーと信頼されたプロバイダーの設定を構成したら、次のステップでは、サービス プロバイダーのメタデータ ファイルを生成します (SAP のすべての設定、認証コンテキスト、その他の構成が含まれます)。

12. [Local Provider](ローカル プロバイダー) タブで、[Metadata](メタデータ) を選びます。

13. 生成されたメタデータ XML ファイルをコンピューターに保存し、Azure portal の [基本的な SAML 構成] セクションでそれをアップロードして、[識別子] と [応答 URL] の値を自動的に設定します。

14. Azure portal の [SAP NetWeaver application integration](SAP NetWeaver アプリケーション統合) ページで、[シングル サインオン] を選びます。

15. [シングル サインオン方式の選択] ダイアログで、[SAML/WS-Fed] モードを選んで、シングル サインオンを有効にします。

16. [SAML によるシングル サインオンのセットアップ] ページで、[編集] アイコンを選んで、[基本的な SAML 構成] ダイアログを開きます。

17. [基本的な SAML 構成] セクションで、次の手順を実行します。

    1. [メタデータ ファイルをアップロードする] を選んで、前に取得したサービス プロバイダー メタデータ ファイルをアップロードします。
    2. フォルダー ロゴを選んでメタデータ ファイルを選び、[アップロード] を選びます。
    3. メタデータ ファイルが正常にアップロードされると、次に示すように、識別子と応答 URL の値が、[基本的な SAML 構成] セクションのテキスト ボックスに自動的に設定されます。
    4. [サインオン URL] テキスト ボックスに、次のパターンを使って URL を入力します: https://[会社の SAP NetWeaver のインスタンス]

18. SAP NetWeaver アプリケーションは、特定の形式で構成された SAML アサーションを受け入れます。 givenname、surname、emailaddress、name、一意のユーザー識別子 を含むクレーム。 これらの値は、アプリケーション統合ページの [ユーザー属性] セクションから管理できます。

19. [SAML によるシングル サインオンのセットアップ] ページで、[編集] ボタンを選んで、[ユーザー属性] ダイアログを開きます。

20. [ユーザー属性] ダイアログの [ユーザー要求] セクションで、SAML トークン属性を構成して、次の手順のようにします。

    1. [編集] アイコンを選び、[ユーザー クレームの管理] ダイアログを開きます。
    2. [変換] の一覧で、ExtractMailPrefix() を選択します。
    3. [パラメーター 1] の一覧で、user.userprinicipalname を選択します。
    4. [保存] を選択します。

21. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [ダウンロード] を選択して、要件のとおりに指定したオプションからフェデレーション メタデータ XML をダウンロードして、お使いのコンピューターに保存します。

22. [SAP NetWeaver の設定] セクションで、要件に従って適切な URL をコピーします。

    • ログイン URL
    • Microsoft Entra 識別子
    • ログアウト URL

SAP NetWeaver シングル サインオンの構成

1. SAP システムにサインインし、トランザクション コード SAML2 に移動します。 新しいブラウザー ウィンドウが開き、SAML 構成画面が表示されます。

2. 信頼された ID プロバイダー (Microsoft Entra ID) のエンドポイントを構成するには、[Trusted Providers](信頼されたプロバイダー) タブに移動します。

3. [Add](追加) をクリックして、コンテキスト メニューから [Upload Metadata File](メタデータ ファイルのアップロード) を選択します。

4. Azure portal からダウンロードしたメタデータ ファイルをアップロードします。

5. 次の画面で、任意の [Alias](エイリアス) 名を入力します。 [Digest Algorithm](ダイジェスト アルゴリズム) が [SHA-256] であることを確認します。何も変更する必要はありません。[Next](次へ) をクリックします。

6. [Single Sign-On Endpoints](シングル サインオン エンドポイント) で、[HTTP POST] を使用し、[Next](次へ) を選んで続行します。

7. [Single Logout Endpoints](シングル ログアウト エンドポイント) で、[HTTPRedirect](HTTP リダイレクト) を選び、[Next](次へ) を選んで続行します。

8. [Artifact Endpoints](アーティファクト エンドポイント) では、[Next](次へ) をクリックして続行します。

9. [Authentication Requirements](認証要件) では既定の設定をそのまま使い、[Finish](完了) を選びます。

10. [Trusted Provider](信頼されたプロバイダー) タブに移動し、[Identity Federation](IDフェデレーション) を選びます。

11. [編集] を選択します。

12. [Identity Federation](IDフェデレーション) タブで [Add](追加) を選びます。

13. ポップアップ ウィンドウで、[サポートされている NameID] の形式から [指定なし] を選択し、[OK] を選択します。 ユーザー ID ソースとユーザー ID マッピング モードの値によって、SAP ユーザーと Microsoft Entra クレームの間のリンクが決まります。

14. 2 つのシナリオが考えられます。

    • シナリオ: SAP ユーザーから Microsoft Entra ユーザーへのマッピング。
    • シナリオ:SU01 で構成済みのメール アドレスに基づいて SAP ユーザー ID を選択する。 このケースでは、SSO を必要とする各ユーザーの su01 でメール ID を構成する必要があります。

15. [Save](保存) を 選んでから [Enable](有効) を選び、ID プロバイダーを有効にします。

Microsoft Entra ユーザーを割り当てる

Azure portal 上で [エンタープライズ アプリケーション] を選択し、[すべてのアプリケーション] を選択してから、[SAP NetWeaver] を選択します。 アプリケーションの一覧で [SAP NetWeaver] を選択します。

SAP NetWeaver ユーザーを作成する

1. Microsoft Entra ユーザーが SAP NetWeaver にサインインできるようにするには、SAP NetWeaver でユーザーをプロビジョニングする必要があります。 組織内の SAP エキスパート チームまたは組織の SAP パートナーと協力して、SAP NetWeaver プラットフォームにユーザーを追加します。
2. 結果を確認するには、ID プロバイダーである Microsoft Entra ID がアクティブ化された後、<https://sapurl/sap/bc/bsp/sap/it00/default.htm> にアクセスして (sapurl を実際の SAP ホスト名に置き換えます)、SSO を確認します。 ユーザー名とパスワードの入力を求めるメッセージが表示されないはずです。