Basis4.6 までの AD との集中ユーザ管理
COM
アプリケーションを介してディレクトリとの同期を行うことにより集中ユーザ管理が なされる②R/3からBAPIを介して 登録ユーザーを取得し、
NT4/AD ドメインコントロー ラへADSIを介して
ユーザーを同期する
アプリケーションを起動 BAPI
ADSI
③ ドメインコントローラ上 にユーザー”winuser が 自動登録
SAP GUI for
SAP GUI for WindowsWindows
NT4 NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft
Microsoftプロダクトプロダクト
① SAP上でユーザー
”r3user を登録
SAP
WebAS + Active Directory 導入による 集中ユーザ管理ソリューション
SAP
にユーザー登録(編集、削除)したタイミングで、ディレクトリにも自動的に同期が なされる① SAP上でユーザー
”r3user を登録
SAP Apps
②LDAP コネクタがデー タ加工(“w2kuser”) Web AS
“LDAP Connector”
③LDAP コネクタ
がLDAPプロトコルにより Active Directoryに対しユー ザーを同期
(”w2kuser”を登録) LDAP
④ ドメインコントローラ上 にユーザー”winuser が 自動登録
SAP GUI for
SAP GUI for WindowsWindows
NT4 NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft
Microsoftプロダクトプロダクト
LDAP コネクタ導入について
z LDAP コネクタ導入時の留意点
¾ スキーマの拡張
¾ 同期方向
¾ 同期場所
¾ 属性のマッピング
LDAP コネクタ導入時の留意点
z AD スキーマ拡張が必要
¾ R/3 LDAP コネクタ 設定時
¾ SAP 提供のスキーマ拡張ファイル
z AD スキーマ拡張の注意点
¾ スキーマ拡張は、恒久的な操作
9 削除できない
¾ ディレクトリ全体に大きな影響がある
9 フォレスト内のすべての DC に複製される
¾ スキーマ拡張の完了後、同期の実行
9 矛盾の発生を防ぐ
LDAP コネクタ導入時の留意点
z 同期方向
¾ SAP R/3 をマスター
¾ AD をマスター
同期場所のマッピング
Base Entry: (DN で指定 )
OU=employee, OU=Company, DC=domain, DC=com
z DC (Domain Component)
z OU (Organization Unit)
z CN (Common NAME)
z DN (Distinguished Name)
属性のマッピング
AD
ユーザー属性 R/3
ユーザー属性
LDAP コネクタを利用したユーザ同期と SSO ソリューションについて
z ユーザ同期と SSO ソリューションについて
z 検証環境
z 検証環境構築
¾ Active Directory スキーマの拡張について
z ユーザ同期における課題
¾ 同期後のユーザアカウントの状態
¾ SAP プロファイルの同期
ユーザ同期と SSO ソリューションについて
z SSO 運用時の課題
ActiveDirectory ドメインユーザ
R/3
ユーザテーブル SAPユーザ
ユーザをマッピング ユーザをマッピング
ユーザを登録 ユーザを登録
管理者は複数のIDと パスワードを考慮
ユーザ追加の度に マッピング処理
マッピングテーブル (USREXTID)
ドメインユーザ <-> SAPユーザ
ユーザ同期と SSO ソリューションについて
z ユーザ同期を採用した SSO 運用時
マッピングテーブル (USREXTID)
ドメインユーザ <-> SAPユーザ ActiveDirectory
ドメインユーザ
R/3
ユーザテーブル SAPユーザ
③ユーザをマッピング
①ユーザを登録
②ユーザを同期 ユーザ情報の 一貫性保持
マッピング自動化
LDAP
ABAP
LDAP コネクタ検証環境
ルート