ActiveDirectory\(AD\)とSAP R/3によるｼﾝｸﾞﾙｻｲﾝｵﾝ\(SSO\)環境の構築

ActiveDirectory(AD)とSAP R/3

によるｼﾝｸﾞﾙｻｲﾝｵﾝ(SSO)環境の

構築

マイクロソフト株式会社 コンサルティング本部

シニアコンサルタント

的場 大祐

富士通株式会社 富士通SAP-コンピテンスセンター

主任

福島 信之

Agenda

1.

富士通、Microsoftグローバル提携

2.

MicrosoftのSAPソリューション概要

3.

SAP R/3とADによるSSOへのニーズ

4.

AD+SAP R/3 SSOソリューションの実態

5.

AD+SAP R/3 SSOの実装

6.

AD+SAP R/3 集中ユーザ管理ソリューション

7.

Tips

Agenda

１．富士通、Microsoftグローバル提携

２．MicrosoftのSAPソリューション概要

３．SAP R/3とADによるSSOへのニーズ

４．AD+SAP R/3 SSOソリューションの実態

５．AD+SAP R/3 SSOの実装

６．AD+SAP R/3 集中ユーザ管理ソリューション

７．Tips

富士通、Microsoftグローバル提携(1)

2002.6

2002.6

に発表した「高信頼性システム」構築への取り組み

に発表した「高信頼性システム」構築への取り組み

IA Platform Solution Blueprint

IA Platform Solution Blueprint

第一弾：SAP分野で国内初のソリューションブック

【富士通のmySAP.com向けプラットフォームの説明カタログ】  

(PRIMERGY+MSCS+SQL+Systemwalker+ETERNUS

による高信頼システムの実現

)

富士通、Microsoftグローバル提携(2)

SAP R/3

SAP R/3拡

拡

販モデルへの取り組み

販モデルへの取り組み

オールインワンモデル「

オールインワンモデル「

STARPAQ

_STARPAQ

」

」

・SAP R/3導入に当たり、必要な環境をインストール済みの状態でご提供

■本番システムの構成(例) * 開発機もご用意します。 SAP R/3 SAP R/3サーバサーバ

PRIMERGY

ETERNUS

H450

NR1000F 220 LTO装置 ARCserve2000による ﾊﾞｯｸｱｯﾌﾟ/ﾘｽﾄｱ

システム構成

ソフトウェア構成

SAP R/3 4.6C

ユーザー数:FI/CO 30ユーザー

Microsoft SQL Server 2000

Microsoft Windows 2000 Sever

ハードウェア構成

CPU XeonMP 1.9GHz × 2

メモリ 2.5GB

バックアップ用LTOライブラリ装置

システム構成

システム構成

ソフトウェア構成

SAP R/3 4.6C

ユーザー数:FI/CO 30ユーザー

Microsoft SQL Server 2000

Microsoft Windows 2000 Sever

ハードウェア構成

CPU XeonMP 1.9GHz × 2

メモリ 2.5GB

バックアップ用LTOライブラリ装置

◆

◆

実績あるテンプレートを実装し、本構成で検証を事前に実施済みですので、

実績あるテンプレートを実装し、本構成で検証を事前に実施済みですので、

短納期かつ確実に導入いただけます

短納期かつ確実に導入いただけます

Agenda

１．富士通、Microsoftグローバル提携

２．MicrosoftのSAPソリューション概要

３．SAP R/3とADによるSSOへのニーズ

４．AD+SAP R/3 SSOソリューションの実態

５．AD+SAP R/3 SSOの実装

６．AD+SAP R/3 集中ユーザ管理ソリューション

７．Tips

MicrosoftのSAPソリューション概要

z

Webフロントソリューション

¾

Microsoft社内で利用

¾

IE、EXCELで実装

¾

専用アプリケーション配布不要

¾

作業効率の向上、トレーニングコストの削減

z

SAP R/3サーバソリューション

¾

SAP R/3を中核とする、データ連携をサポート

¾

開発効率の向上

Webフロントソリューション

シームレスなビジネス連携を実現するために、WebサブシステムをSAP R/3にボルトオン

業務経費清算システム 業務経費清算システム MS Expense MS Expense 社内購買システム 社内購買システム MS Market MS Market 人事管理システム 人事管理システム HeadTrax HeadTrax 販売情報データウエアハウス 販売情報データウエアハウス MS Sales MS Sales 基幹業務システム 基幹業務システム SAP R/3 SAP R/3 各種標準レポート 各種標準レポート Excel Excel 社内イントラネットサイト 社内イントラネットサイト 業務用 業務用 Web Web アプリケーション アプリケーション 受注管理システム 受注管理システム MOET MOET

SAP R/3サーバソリューション

SAP/Microsoft

SAP/Microsoft

ソリューション

ソリューション

SQL Server2000

SQL Server2000

Windows Server2003

Windows Server2003

.

.NET ConnectorNET Connector

BizTalk Server

BizTalk Server

(Adapter for SAP)

(Adapter for SAP)

Active Directory

Active Directory

APO

APO

EBP

EBP

SEM

SEM

EP

EP

BW

BW

SAP R/3

SAP R/3

CRM

CRM

MSDE

MSDE

Mobile Windows Mobile Windows Client

Client

EBP

EBP

APO

APO

SEM

SEM

EP

EP

BW

BW

SAP R/3

SAP R/3

CRM

CRM

MSDE

MSDE

Mobile Windows Mobile Windows Client Client

SQL Server

SQL Server

Analysis Services

Analysis Services

SharePoint

SharePoint

Portal Server

Portal Server

外部システム

外部システム

SAP R/3サーバソリューション

EAI（システム連携）

OLAP分析

アプリケーション開発

ディレクトリ

Windows Server 2003 Active Directory SQL Server 2000 Analysis Services

SAP R/3 アプリケーション

IDOC インター フェース LDAP コネクタ ＆ SSO ツール 右の Interface,Connector,Brid geは全て無償で入手可能。 （ただし利用するには ユーザーライセンスが必要） LDAP Connector, MOLAP Bridgeは最新の SAPの カーネル（Web AS 6.20）に のみ同梱。 .NET Connector MOLAP Bridge Microsoft テクノロジ SAPテクノロジ

Agenda

１．富士通、Microsoftグローバル提携

２．MicrosoftのSAPソリューション概要

３．SAP R/3とADによるSSOへのニーズ

４．AD+SAP R/3 SSOソリューションの実態

５．AD+SAP R/3 SSOの実装

６．AD+SAP R/3 集中ユーザ管理ソリューション

７．Tips

企業内システムの拡大とその課題

z

企業内ネットワーク及びシステムの拡大による恩恵

z

システム拡大にともなう課題

■いかなる場所でも必要とする情報への安全なアクセスの提供

■ネットワーク連携の強化による共同作業の強化

■安全なネットワーク連携および共同作業を通じて顧客および

  パートナーとのより身近な関係を構築

■セキュリティ保護

 認可されたユーザのみが重要な企業情報にアクセスすることを企業

 が保証することが重要です。

■ユーザ権限管理の複雑化

 企業内の様々なシステムに対するユーザ・アクセス制限は、システム

 の増加とユーザ数の増加によってますます複雑になります。

■管理コストの肥大化

システム毎の個々のユーザ・アクセス管理は管理コストを肥大化します

ユーザ権限の一元的な管理運営が必要となります

SAPシステムへのログオン形態の多様化

z

SAP GUI for Windows

z

SAP GUI for HTML

z

SAP GUI for Java

・ITSやEnterprisePortalなどWebベースのSAPシステム導入

 の増加に伴い、シングルサインオン要件も増加の傾向

・SAPシステムと他MSアプリケーションシステムとの連携要件

 も検討課題として浮上

Agenda

１．富士通、Microsoftグローバル提携

２．MicrosoftのSAPソリューション概要

３．SAP R/3とADによるSSOへのニーズ

４．AD+SAP R/3 SSOソリューションの実態

５．AD+SAP R/3 SSOの実装

６．AD+SAP R/3 集中ユーザ管理ソリューション

７．Tips

AD+SAP R/3 SSOソリューションの実態

z

Active DirectoryによるSSO*環境

z

SAPシステムのある企業

z

SAPシステム+ Active Directoryのメリット

z

ITSの導入メリット

z

ITS+PASの導入メリット

z

_{EnterprisePortalによるSSO（今後）}

ADによるSSO環境

①”winuser”として  ログオン→TGT取得 ②”winuser”としての  セッションチケット発行 ③”winuser”としてアクセス NT4 NT4  ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft Microsoftプロダクトプロダクト

z

Microsoftテクノロジーのアプリケーションサーバー製品だけ

であればActive Directory で容易にシングルサインオンが実

現可能

・Windowsファイル共有、プリンタ ・IIS Webサイト ・Exchange Server ・SQL Server ・SharePoint ポータルサイト ・対応アプリケーション ④アクセス 許可

SAPシステムのある企業

①”winuser”として  ログオン→TGT取得 ②”winuser”としての  セッションチケット発行 ③”winuser”としてアクセス ①”r3user”として ログオン

×N回

②チケット発行

×N回

③”r3user”としてアクセス

×N回

NT4 NT4  ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft Microsoftプロダクトプロダクト

SAP GUI for

SAP GUI for  WindowsWindows SAP R/3SAP R/3

z

SAPアプリケーション（R/3, BW, APO ･･･)が入った途端に

   ユーザーは何度もログオンを強いられる（2回以上）

・SAP R/3 ・SAP BW ・SAP APO 他 ④アクセス 許可

×N

④アクセス 許可

SAPシステム+Active Directoryのメリット

z

Windows2000(NT4.0)をサポートしているSAPシステムならば

GUI for Windowsに対するシングルサインオンが実現

①”w2kuser”として  ログオン→TGT取得 ②”w2kuser”としての  セッションチケット発行 ③”w2kuser”としてアクセス ③”w2kuser”としてアクセス

“Web AS”: “Web Application Server”

NT4

NT4  ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft

Microsoftプロダクトプロダクト

SAP GUI for

SAP GUI for  WindowsWindows SAP R/3SAP R/3 Basis3.1 Basis3.1∼∼ ④マッピングテーブル でユーザーマッピング ⑤アクセス 許可 w2kuser→r3user ・・・・・ ④アクセス 許可

ITSの導入メリット

z

SAPアプリケーション全体に対するログオンが1回で済むよう

になる（ただしMSプロダクトとのSSOは依然×）

①”winuser”として  ログオン→TGT取得 ②”winuser”としての  セッションチケット発行 ③”winuser”としてアクセス ②Cookie発行

×１

③”r3user” として アクセス

×１

ITS: “Internet Transaction Server”

NT4 NT4  ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft Microsoftプロダクトプロダクト SAP R/3 SAP R/3

SAP GUI for

SAP GUI for  HTMLHTML

ITS+Workplace ITS+Workplace ①”r3user”として ログオン

×１

④アクセス 許可

×１

④アクセス 許可

ITS+”PAS”の導入メリット

z

システム全体に対してログオンが1回で済むようになる

①”winuser”として  ログオン→TGT取得 ②”winuser”としての  セッションチケット発行 ③”winuser”としてアクセス ③”winuser”と してアクセス

ITS: “Internet Transaction Server”

SAP GUI for

SAP GUI for  HTMLHTML

NT4 NT4  ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft Microsoftプロダクトプロダクト SAP R/3 SAP R/3 ITS4.6D ITS4.6D∼∼ +Workplace +Workplace +PAS +PAS

“PAS”: “Pluggable Authentication Service” winuser→r3user ・・・・・ ④マッピングテーブル でユーザーマッピング ⑥アクセス 許可 ⑤”r3user” として アクセス ④アクセス 許可

SAP Enterprise PortalによるSSO（今後）

z

システム全体に対してログオンが1回で済むようになる

BSP・JSPアプリケーションを利用

①”winuser”として  ログオン→TGT取得 ②”winuser”としての  セッションチケット発行 ③”winuser”としてアクセス

SAP GUI for

SAP GUI for  WindowsWindows

NT4 NT4  ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft Microsoftプロダクトプロダクト SAP R/3 SAP R/3 Enterprise portal Enterprise portal winuser→r3user ・・・・・ ④マッピングテーブル でユーザーマッピング ⑥アクセス 許可 ③”winuser”と してアクセス ⑤”r3user” として アクセス ④アクセス 許可

Agenda

１．富士通、Microsoftグローバル提携

２．MicrosoftのSAPソリューション概要

３．SAP R/3とADによるSSOへのニーズ

４．AD+SAP R/3 SSOソリューションの実態

５．AD+SAP R/3 SSOの実装

６．AD+SAP R/3 集中ユーザ管理ソリューション

７．Tips

AD+SAP R/3 SSOの実装

（ITS6.1環境をベースにして）

z

シングルサインオン方式の決定

z

環境設定項目

¾

ActiveDirectory環境の設定

¾

ITSの導入と環境設定

¾

SNCの導入と環境設定

¾

Logon Ticketの設定

¾

SSLの設定

¾

PAS∼NTLM認証の設定

¾

PAS∼ID/パスワード認証の設定

z

ログオンフロー

¾

PAS∼NTLM認証を利用したログオンフロー

¾

PAS∼ID/ﾊﾟｽﾜｰﾄﾞ認証を利用したログオンフロー

z

NTLM認証

z

Kerberos 認証

z

Logon Ticket認証

z

X.509認証

Windows NT 4.0 オペレーティングシステムではNTLMプロトコルがネットワーク認証のデフフォルト。 Windows2000では、Windows NTクライアントおよびサーバとの互換性維持として使われる。NTLMは Windows2000でスタンドアローンコンピュータにログオンする為の認証に使用される。 Windows2000では、Kerberosセキュリティプロトコルを使用したシングルサインオンの実装が可能で ある。Kerberosは暗号によるクライアント/サーバの認証方式のひとつであり、通信経路上の安全が 保証されないインターネットなどのネットワークにおいて、サーバとクライアントの間で身元の確認を 行うのに利用している。Windows2000ではKerberosバージョン５をユーザ認証とアクセス制御のため に実装している。 Ticket発行システムでの認証を他のシステムでのシングルサインオンへ利用できるようにユーザに 対してLogon Ticketと呼ばれる認証トークンのようなものをCookieに発行し、Ticket発行システムに ログオンしたユーザが他のシステムへログオンする際にユーザＩＤとパスワードの入力を行う代わり に認証トークンであるLogon Ticketを使用することができる。 Certification Authority(CA)局から発行された証明書をクライアント側に持たせることによって、クライ アントの認証を行う。

認証方法の種類

シングルサインオン方式の決定

SSOを実現する方式には認証方法やセキュリティレベルによって様々な方式があります。

以下はユーザインタフェースによって方式を選択した場合の決定フローになります。

START

GUI for Windows ? GUI for HTML ?

ユーザインタフェースは？ ドメイン情報にSAPユーザ 情報を混在させる？ WindowsNT4.0環境が 混在している？ YES YES NO NO ログオン情報の 入力はOSブート 時の１回のみに したい ログオン情報の 入力はOSブート 時及びSAPシス テムへの初回ロ グオン時の２回 以上でよい ログオン情報の 入力はOSブート 時の１回のみに したい。且つSAP ログオン時には 証明書を利用 したい。 ログオン情報の 入力はOSブート 時及びSAPシス テムへの初回ロ グオン時の２回 以上でよい

GUI for Windows SSO （NTLM認証)

GUI for Windows SSO (Kerberos認証) ITS+PAS SSO (NTLM認証） ITS+PAS SSO ID/パスワード認証 ITS+PAS SSO Logon Ticket認証 ITS SSO X.509認証

GUI for Win (

NTLM・Kerberos

)による認証

③ユーザ情報と

SAPユーザを照合

マッピングテーブル

(USRACL)

ドメインユーザ <-> SAPユーザ

ＳＡＰ

②ユーザを認証

ドメインコントローラ

User

①Web ASにアクセス

SAPプロトコル(SNC)

Logon Ticket によるｸﾗｲｱﾝﾄ認証

ＩＴＳ

User

Ticket

①ITSにアクセス

②ユーザを認証

③ユーザ情報送信

④ユーザ情報と

SAPユーザを照合

Ticket

マッピングテーブル

(USREXTID)

ドメインユーザ <-> SAPユーザ

⑤LogonTicket発行

Ticket

Ticket

⑥他システムへログオン

ＳＡＰ

HTTPS

_{SAPプロトコル}

PAS∼NTLM認証によるｸﾗｲｱﾝﾄ認証

ＩＴＳ

＋ＰＡＳ

User

Ticket

①PASにアクセス

③ユーザ情報送信

④ユーザ情報と

SAPユーザを照合

Ticket

マッピングテーブル

(USREXTID)

ドメインユーザ <-> SAPユーザ

⑤LogonTicket発行

Ticket

Ticket

⑥他システムへログオン

ＳＡＰ

②ユーザを認証

ドメインコントローラ

HTTPS

_{SAPプロトコル}

PAS∼ID/ﾊﾟｽﾜｰﾄﾞ認証によるｸﾗｲｱﾝﾄ認証

ＩＴＳ

＋ＰＡＳ

User

Ticket

①PASにアクセス

②ユーザを認証

③ユーザ情報送信

④ユーザ情報と

SAPユーザを照合

Ticket

マッピングテーブル

(USREXTID)

ドメインユーザ <-> SAPユーザ

⑤LogonTicket発行

Ticket

Ticket

⑥他システムへログオン

ドメインコントローラ

ＳＡＰ

HTTPS

_{SAPプロトコル}

X.509認証を利用したシングルサインオン

z

X.509認証を利用して外部からの端末認証も実現

SAP

ＩＴＳ

User

証明書

②証明書提示

③ユーザを認証

④ユーザ情報送信

⑤ユーザ情報と

SAPユーザを照合

証明書

マッピングテーブル

(USREXTID)

証明書 <-> SAPユーザ

⑥トランザクション開始

①証明書発行

証明書

認証局

信頼

HTTPS

_{SAPプロトコル}

シングルサインオン方式別導入作業内容

GUI for Win SSO Kerbero ITS+PAS SSO NTLM ITS+PAS SSO ID/Password ITS SSO X.509 ITS+PAS SSO Logon Ticket GUI for Win

SSO NTLM Active Directory環境の設定 ITSシステムの導入 ITSシステムへのPASの導入と環境設定 SNCの導入と環境設定 Logon Ticketの設定 SSLの設定 PAS（NTLM認証）の設定 PAS（ID/Password認証）の設定

○

○

○

○

○

△

○

○

○

○

○

○

○

○

○

○

○

△

○

○

○

○

○

△

○

GUI for Win SSO(NTLM認証）の設定

GUI for Win SSO(Kerberos認証)の設定

○

○

○

○

環境設定項目

9

ActiveDirectory環境の設定

9

ITSの導入と環境設定

9

SNCの導入と環境設定

9

Logon Ticketの設定

9

SSLの設定

9

PAS∼NTLM認証の設定

9

PAS∼ID/パスワード認証の設定

(1) Active Directory環境の設定

z

Active Directory導入時の主要な設計項目

z

Active Directory導入時の留意点

9

ネーミングルール

Active Directory導入時の主要な設計項目

z

フォレスト構成

z

ドメインツリー・ドメイン構成

z

OU構成

z

サイト構成

z

セキュリティグループ

Active Directory導入時の留意点

z

ネーミングルール（ドメイン名・ユーザID）

¾

SAP R/3 と AD の制限

9

使用可能文字

9

文字数

9

一意性の範囲

¾

注意すべきMicrosoftサポート技術情報

9

415097 - [NT] Active Directory で濁音､半

濁音､拗音､促音を区別しない

Active Directory導入時の留意点

z

使用可能文字

¾

DNS名

9

0-9,a-z,A-Z,-(ハイフン)

9

大文字と小文字は、区別されない

¾

ASCII名

9

以下を除く ASCII 文字

9

_{¥“/[]:|<>+=;,?*スペース制御文字}

¾

UNICODE名

9

以下を除く UNICODE 文字

9

#,+“¥<>;先頭のスペース、末尾のスペース

(2) ITSシステムの導入と環境設定

AD

Ｒ/３

(ﾁｹｯﾄ発行) コンポーネント システム

ＩＴＳ

IIS

User

IISインストール ITS管理者アカウント/グループ及びITSユーザグループの登録 サイトの作成 ITSSETUPツールでインストール開始  - 仮想ITSインスタンス名の登録

 - インストールタイプを選択(Single Host or Dual Host)

 - インストールするパッケージを選択(PASもここで選択されます)   接続確認 ITSシステム作業 作業フェーズ 事前作業 インストール 後作業

(3) SNCの導入と環境設定

AD

Ｒ/３

(ﾁｹｯﾄ発行) コンポーネント システム

ＩＴＳ

IIS

User

      SAPシステムにSNC用DLLを実装       Windowsシステムにて環境変数を設定       SAPプロファイルを編集 ITSシステムにNTLM用DLLを実装 Windowsシステムの環境変数を設定 ITSシステムでレジストリ値を設定 ITSシステムでサービスファイルを編集 ITSシステムでサービス実行ユーザを変更       SAPシステムでACL調整        接続テストの実施 ＩＩＳ側システム作業 ＩＴＳ側システム作業

(4) Logon Ticketの設定

AD

Ｒ/３

(ﾁｹｯﾄ発行) コンポーネント システム

ＩＴＳ

IIS

User

ITSシステムのサービスファイルを編集

（チケット発行システム）

      チケット発行・受付を設定

ITSシステムのサービスファイルを編集

（コンポーネントシステム）

      コンポーネントシステム側にてチケット受入設定

      接続テスト

チケット発行システム側システム作業 ＩＴＳ側システム作業

(5) SSLの設定

ＩＴＳ

IIS

SAP TCS

AD

Ｒ/３

(ﾁｹｯﾄ発行) コンポーネント システム

User

サーバ証明書要求を作成

      SAP TCSへサーバ証明書要求を送付

サーバ証明書をインポート

SSL有効化

      接続テスト

W-Gate設定変更

      接続テスト

Ｗｅｂサーバ（ＩＩＳ）側システム作業 認証局へのシステム作業

(6) PAS∼NTLM認証の設定

AD

Ｒ/３

(ﾁｹｯﾄ発行) コンポーネント システム

ＩＴＳ

IIS

User

      ITSシステムにPAS用コンポーネントを

      インストール

      ITSシステムのサービスファイル編集

      PAS用サービスファイル編集

WebサーバにてIISの設定変更

      チケット発行システム側にてユーザマッピング設定

       接続テスト

Ｗｅｂサーバ（ＩＩＳ）側システム作業 ＩＴＳシステム側作業

(7) PAS∼ID/パスワード認証の設定

      ITSシステムにPAS用コンポーネントを

      インストール

      ITSシステムのサービスファイル編集

      PAS用サービスファイル編集

WebサーバにてIISの設定変更

      チケット発行システム側にてユーザマッピング設定

       接続テスト

Ｗｅｂサーバ（ＩＩＳ）側システム作業 ＩＴＳシステム側作業

Ｒ/３

(ﾁｹｯﾄ発行) コンポーネント システム

ＩＴＳ

IIS

AD

User

(8) GUI for Win SSO(NTLM認証)の設定

Ｒ/３

(ﾁｹｯﾄ発行)

AD

コンポーネント システム

User

       SAP側にてSNC用DLLを実装

       Windowsシステムで環境変数設定

       SAP側にてプロファイル編集

クライアント側にてNTLM用DLL実装

Windowsシステムで環境変数設定

クライアント側にてGUIの設定変更

       R/3側にてユーザマッピング

      接続テスト

クライアント側システム作業 SAPシステム側作業

(9) GUI for Win SSO(Kerberos認証)の

設定

Ｒ/３

(ﾁｹｯﾄ発行)

AD

コンポーネント システム

User

       SAP側にてSNC用DLLを実装

       Windowsシステムで環境変数設定

       SAP側にてプロファイル編集

クライアント側にてKerberos用DLL実装

Windowsシステムで環境変数設定

クライアント側にてGUIの設定変更

       R/3側にてユーザマッピング

      接続テスト

クライアント側システム作業 SAPシステム側作業

ログオンフロー

z

PAS∼NTLM認証を利用したログオンフロー

z

PAS∼ID/パスワード認証を利用したログオンフロー

PAS∼NTLM認証を利用したﾛｸﾞｵﾝﾌﾛｰ.NO1

（Basis 4.x WPS利用の場合）

注意!! クライアントがドメインに参加していない場合に限り 「ドメインユーザ名」「パスワード」「ドメイン名」を聞かれます。 ②PASにアクセスします https://<HOSTNAME>.<DOMAINNAME>:<PORT_NUMBER> /scripts/wgate/sapauth/! ①ブラウザを起動します ドメインユーザとマッピングした SAPユーザでログオンされています ログオンしたSAPユーザに定義された ロールが表示されています ③Workplaceのサービス画面が表示されます ex) Test <> OOTANI

PAS∼NTLM認証を利用したﾛｸﾞｵﾝﾌﾛｰ.NO2

（Basis 4.x WPS利用の場合）

「ロール」とは?

企業のビジネスシナリオに基づき 従業員の実行する作業内容を まとめたもの。 複数システムのトランザクションを 事前にロールに定義しておけば 各システムに繰返しユーザとパス ワードを入力する事無しに作業を 実施する事が可能となります。

PAS∼NTLM認証を利用したﾛｸﾞｵﾝﾌﾛｰ.NO3

（Basis 4.x WPS利用の場合）

通常通りトランザクションコードを入力 して使用したい場合は「WebGUI」を 呼出します。 「WebGUI」起動URLも事前に ロールに定義する必要があります。 ①Workplace用「WebGUI」        サービスを呼出します ②ライセンス期限が表示されるので そのまま「Enter」

PAS∼NTLM認証を利用したﾛｸﾞｵﾝﾌﾛｰ.NO4

（Basis 4.x WPS利用の場合）

③「Start SAP Easy Access」を実行します

PAS∼NTLM認証を利用したﾛｸﾞｵﾝﾌﾛｰ.NO5

（Basis 4.x WPS利用の場合）

他システムにおいても通常通りトランザクションコードを 入力して使用したい場合は「WebGUI」を呼出します。 この時各システムに繰返しユーザと パスワードを入力する事無しに 作業を実施する事が可能です。 「WebGUI」起動URLも事前に ロールに定義する必要があります。 ①他システム用「WebGUI」        サービスを呼出します ②ライセンス期限が表示されるので そのまま「Enter」

PAS∼NTLM認証を利用したﾛｸﾞｵﾝﾌﾛｰ.NO6

（Basis 4.x WPS利用の場合）

③「Start SAP Easy Access」を実行します

PAS-ID/ﾊﾟｽﾜｰﾄﾞ認証を利用したﾛｸﾞｵﾝﾌﾛｰ.NO1

①ブラウザを起動します ②PASにアクセスします https://<HOSTNAME>.<DOMAINNAME>:<PORT_NUMBER> /scripts/wgate/sappwauth/! 注意!! クライアントがドメインに参加していない場合に限り 「ドメインユーザ名」「パスワード」「ドメイン名」を聞かれます。 ③PASの認証画面が表示されます ④「ドメインユーザ名」「パスワード」 「ドメイン名」を聞かれるので入力します。 ⑤「Logon」を押します

PAS-ID/ﾊﾟｽﾜｰﾄﾞ認証を利用したﾛｸﾞｵﾝﾌﾛｰ.NO2

⑥Workplaceのサービス画面が表示されます ドメインユーザとマッピングした SAPユーザでログオンされています ex) Test <> OOTANI ログオンしたSAPユーザに定義された ロールが表示されています

X.509認証を利用したﾛｸﾞｵﾝﾌﾛｰ.NO1

X.509認証の場合Workplaceを経由しなくともSSOは有効です。 そのため直接「WebGUI」を呼出して使用する事が可能です。 ①ブラウザを起動します ②Workplaceサービスにアクセスします https://<HOSTNAME>.<DOMAINNAME>:<PORT_NUMBER>/scripts/wgate/webgui/! ③利用するクライアント証明書が正しい事を確認します ④ 「OK」を押します ⑤ライセンス期限が表示されるので そのまま「Enter」 クライアント証明書とマッピングした SAPユーザでログオンされています ex) S0001889717 <> OOTANI

X.509認証を利用したﾛｸﾞｵﾝﾌﾛｰ.NO2

⑥「Start SAP Easy Access」を実行します

Agenda

１．富士通、Microsoftグローバル提携

２．MicrosoftのSAPソリューション概要

３．SAP R/3とADによるSSOへのニーズ

４．AD+SAP R/3 SSOソリューションの実態

５．AD+SAP R/3 SSOの実装

６．AD+SAP R/3 集中ユーザ管理ソリューション

７．Tips

AD+SAP R/3集中ユーザ管理ソリューション

z

Basis4.6までのADとの集中ユーザ管理

z

WebAS＋Active Directory導入による集中ユーザ管理ソ

リューション

Basis4.6までのADとの集中ユーザ管理

COMアプリケーションを介してディレクトリとの同期を行うことにより集中ユーザ管理が

なされる

②R/3からBAPIを介して 登録ユーザーを取得し、 NT4/AD ドメインコントロー ラへADSIを介して ユーザーを同期する アプリケーションを起動 _BAPI ADSI ③ ドメインコントローラ上 にユーザー”winuser”が 自動登録

SAP GUI for

SAP GUI for  WindowsWindows

NT4 NT4  ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft Microsoftプロダクトプロダクト ① SAP上でユーザー ”r3user”を登録

SAP

Apps

Basis 4.0B∼ “DCOM Connector”

WebAS＋Active Directory導入による

集中ユーザ管理ソリューション

SAPにユーザー登録（編集、削除）したタイミングで、ディレクトリにも自動的に同期が

なされる

① SAP上でユーザー ”r3user”を登録

SAP

Apps

②LDAP コネクタがデー タ加工(“w2kuser”) Web AS “LDAP Connector” ③LDAP コネクタ がLDAPプロトコルにより Active Directoryに対しユー ザーを同期 （”w2kuser”を登録） _LDAP ④ ドメインコントローラ上 にユーザー”winuser”が 自動登録

SAP GUI for

SAP GUI for  WindowsWindows

NT4

NT4  ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft

LDAPコネクタ導入について

z

LDAPコネクタ導入時の留意点

¾

スキーマの拡張

¾

同期方向

¾

同期場所

¾

属性のマッピング

LDAP コネクタ導入時の留意点

z

AD スキーマ拡張が必要

¾

R/3 LDAP コネクタ 設定時

¾

SAP 提供のスキーマ拡張ファイル

z

AD スキーマ拡張の注意点

¾

スキーマ拡張は、恒久的な操作

9

削除できない

¾

ディレクトリ全体に大きな影響がある

9

フォレスト内のすべての DC に複製される

¾

スキーマ拡張の完了後、同期の実行

9

矛盾の発生を防ぐ

LDAP コネクタ導入時の留意点

z

同期方向

¾

SAP R/3 をマスター

同期場所のマッピング

Base Entry: (DN で指定)

OU=employee, OU=Company,

DC=domain, DC=com

z

DC (Domain Component)

z

OU (Organization Unit)

z

CN (Common NAME)

z

DN (Distinguished Name)

属性のマッピング

AD

ユーザー属性

R/3

LDAPコネクタを利用したユーザ同期と

SSOソリューションについて

z

ユーザ同期とSSOソリューションについて

z

検証環境

z

検証環境構築

¾

Active Directoryスキーマの拡張について

z

ユーザ同期における課題

¾

同期後のユーザアカウントの状態

¾

SAP プロファイルの同期

ユーザ同期とSSOソリューションについて

z

SSO運用時の課題

ActiveDirectory

ドメインユーザ

R/3

ユーザテーブル

SAPユーザ

ユーザをマッピング

ユーザをマッピング

ユーザを登録

ユーザを登録

管理者は複数のIDと

パスワードを考慮

ユーザ追加の度に

マッピング処理

マッピングテーブル

(USREXTID)

ドメインユーザ <-> SAPユーザ

ユーザ同期とSSOソリューションについて

z

ユーザ同期を採用したSSO運用時

マッピングテーブル

(USREXTID)

ドメインユーザ <-> SAPユーザ

ActiveDirectory

ドメインユーザ

R/3

ユーザテーブル

SAPユーザ

③ユーザをマッピング

①ユーザを登録

②ユーザを同期

ユーザ情報の

一貫性保持

マッピング自動化

LDAP

ABAP

LDAP コネクタ検証環境

ルート

com

DC/GC/DNS

CA

domain

R/3

ドメイン

Default-first-site-name

z ドメイン ¾ Active Directory ドメイン z サーバー ¾ OS : Windows 2000 ¾ ドメイン : 参加 (メンバー) ¾ SAP R/3 コンポーネント群は、同一ドメイン参加 ¾ SAP Basis, ITS + PAS, , Workplace

z クライアント

¾ OS : Windows 2000 or Windows XP Pro ¾ ドメイン : 参加 (メンバー)

LDAP コネクタ検証環境

R/3

LDAP

コ

ネ

ク

タ

DC

LDAP

PortID:389

LDAPｺﾈｸﾀによるAD連携環境構築

ドメインコントローラにてAD統合用の

事前作業を実施

  ディレクトリ管理用グループ・ユーザ等を

  作成(SAP提供ツールによる)

      SAPｲﾝｽﾄｰﾙ中にAD統合用ｵﾌﾟｼｮﾝを選択

      LDAP設定事前作業

      LDAPコネクタ設定

      ディレクトリ用システムユーザ設定

      ディレクトリサービスの接続情報設定

ドメインコントローラ側でスキーマ拡張

      属性をマッピング

      同期フラグ設定

      R/3→Directory・Directory→R/3への同期テスト

Agenda

１．富士通、Microsoftグローバル提携

２．MicrosoftのSAPソリューション概要

３．SAP R/3とADによるSSOへのニーズ

４．AD+SAP R/3 SSOソリューションの実態

５．AD+SAP R/3 SSOの実装

６．AD+SAP R/3 集中ユーザ管理ソリューション

７．Tips

Active Directoryスキーマの拡張について

z

SAP認定Directory ServiceであるActive Directory

はスキーマ拡張用ファイルをSAPシステム内で生成

ユーザ同期における課題

z

同期後のユーザアカウントの状態

¾

R/3→Directoryに同期した場合、同期された

  ユーザアカウントは無効になっている

9

手動で有効に変更

9

アカウントを有効にするPGを利用する

z

ＳＡＰプロファイルの同期

¾

Directory→R/3に同期する場合、標準のユーザ

管理ツールからSAPプロファイル情報を渡す事が

できない

9

特別な管理ツールを利用(ADSI Edit)

9

プロファイル情報を渡すPGを利用する

Tips

z

ITS+PAS構築時の留意点

z

Web AS6.20+ActiveDirectory構築時の留意点

z

APPENDIX

ITS+PAS構築時の留意点

z

ディレクトリ環境はNT4ドメインでもActive Directoryでも

両方可能（認証方式：NTLMとID/Password）

z

クライアント環境はWebブラウザのみ

   - SAP GUI for Windowsの配布は不要（但しIEに限定）

z

“PAS” には他にも様々なソリューション

   - X.509クライアント証明書を用いた認証

   - LDAPディレクトリ（Active Directory 等）による認証

z

ベーシス環境はバージョン4.6D以降

z

サーバー環境としてITS（+Workplace*)の導入が必須

z

クライアント環境としてのSAP GUI for HTMLを利用

z

NT4ドメインシステムでも利用可能

Web AS6.20+AD構築時の留意点

z

導入が容易

z

トポロジーもシンプル

z

Active Directoryのグループポリシーを利用してサーバー 

サイド、クライアントサイドにソフトウエア配布

z

クライアント環境は SAP GUI for Windows

z

ベーシス環境は Web AS 6.20以降が必要

z

ディレクトリ環境は NT4ドメインでなくActive Directoryが 

前提

APPDENDIX

Microsoft Metadirectory Services2003 とSAP連携シナリオ例



アイデンティティ マネジメント



雇用・解雇にあわせてユーザー ID を各ディレクトリに連携



常に整合性を確保し分散ディレクトリの管理コストを削減

Notes

Notes

SAP R/3 HR

SAP R/3 HR

グループ

グループ

組織など

組織など

ADAM

ADAM

iPlanet

iPlanet

RDB

RDB

MMS 2003

MMS 2003

ユーザー

ユーザー

組織情報等

組織情報等

同期

同期

 新規作成

 新規作成

 更新

 更新

 削除

Active Directory

Active Directory

 削除

ユーザー ID と グループ情報の

同期システム例

接続ディレクトリ（提供予定の MA）

z

AD / Exchange 2000

z

ADAM

z

iPlanet / Sun ONE Directory Server

z

SQL

z

Oracle

z

XML / DSML 2.0

z

LDAP Directory Interchange Format (LDIF)

z

Delimited Text

z

Fixed-Width Text

z

Attribute-Value Pair Text

z

NT 4

z

Exchange 5.5

z

Lotus Notes

z

Novell NDS

お問い合わせ先

マイクロソフト株式会社

エンタプライズパートナー推進本部 SAPアライアンス

<

ms-sap@microsoft.com

>

<

http://www.microsoft-sap.com

>

富士通株式会社

富士通-SAPコンピテンスセンター

<

http://segroup.fujitsu.com/sap/index.html

>

<

fj-sapr3@ml.cs.fujitsu.co.jp

>