ActiveDirectory(AD)とSAP R/3
によるシングルサインオン(SSO)環境の
構築
マイクロソフト株式会社 コンサルティング本部
シニアコンサルタント
的場 大祐
富士通株式会社 富士通SAP-コンピテンスセンター
主任
福島 信之
Agenda
1.
富士通、Microsoftグローバル提携
2.
MicrosoftのSAPソリューション概要
3.
SAP R/3とADによるSSOへのニーズ
4.
AD+SAP R/3 SSOソリューションの実態
5.
AD+SAP R/3 SSOの実装
6.
AD+SAP R/3 集中ユーザ管理ソリューション
7.
Tips
Agenda
1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
富士通、Microsoftグローバル提携(1)
2002.6
2002.6
に発表した「高信頼性システム」構築への取り組み
に発表した「高信頼性システム」構築への取り組み
IA Platform Solution Blueprint
IA Platform Solution Blueprint
第一弾:SAP分野で国内初のソリューションブック
【富士通のmySAP.com向けプラットフォームの説明カタログ】
(PRIMERGY+MSCS+SQL+Systemwalker+ETERNUS
による高信頼システムの実現
)
富士通、Microsoftグローバル提携(2)
SAP R/3
SAP R/3拡
拡
販モデルへの取り組み
販モデルへの取り組み
オールインワンモデル「
オールインワンモデル「
STARPAQ
STARPAQ
」
」
・SAP R/3導入に当たり、必要な環境をインストール済みの状態でご提供
■本番システムの構成(例) * 開発機もご用意します。 SAP R/3 SAP R/3サーバサーバPRIMERGY
ETERNUS
H450
NR1000F 220 LTO装置 ARCserve2000による バックアップ/リストアシステム構成
ソフトウェア構成
SAP R/3 4.6C
ユーザー数:FI/CO 30ユーザー
Microsoft SQL Server 2000
Microsoft Windows 2000 Sever
ハードウェア構成
CPU XeonMP 1.9GHz × 2
メモリ 2.5GB
バックアップ用LTOライブラリ装置
システム構成
システム構成
ソフトウェア構成
SAP R/3 4.6C
ユーザー数:FI/CO 30ユーザー
Microsoft SQL Server 2000
Microsoft Windows 2000 Sever
ハードウェア構成
CPU XeonMP 1.9GHz × 2
メモリ 2.5GB
バックアップ用LTOライブラリ装置
◆
◆
実績あるテンプレートを実装し、本構成で検証を事前に実施済みですので、
実績あるテンプレートを実装し、本構成で検証を事前に実施済みですので、
短納期かつ確実に導入いただけます
短納期かつ確実に導入いただけます
Agenda
1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
MicrosoftのSAPソリューション概要
z
Webフロントソリューション
¾
Microsoft社内で利用
¾
IE、EXCELで実装
¾
専用アプリケーション配布不要
¾
作業効率の向上、トレーニングコストの削減
z
SAP R/3サーバソリューション
¾
SAP R/3を中核とする、データ連携をサポート
¾
開発効率の向上
Webフロントソリューション
シームレスなビジネス連携を実現するために、WebサブシステムをSAP R/3にボルトオン
業務経費清算システム 業務経費清算システム MS Expense MS Expense 社内購買システム 社内購買システム MS Market MS Market 人事管理システム 人事管理システム HeadTrax HeadTrax 販売情報データウエアハウス 販売情報データウエアハウス MS Sales MS Sales 基幹業務システム 基幹業務システム SAP R/3 SAP R/3 各種標準レポート 各種標準レポート Excel Excel 社内イントラネットサイト 社内イントラネットサイト 業務用 業務用 Web Web アプリケーション アプリケーション 受注管理システム 受注管理システム MOET MOETSAP R/3サーバソリューション
SAP/Microsoft
SAP/Microsoft
ソリューション
ソリューション
SQL Server2000
SQL Server2000
Windows Server2003
Windows Server2003
..NET ConnectorNET Connector
BizTalk Server
BizTalk Server
(Adapter for SAP)
(Adapter for SAP)
Active Directory
Active Directory
APO
APO
EBP
EBP
SEM
SEM
EP
EP
BW
BW
SAP R/3
SAP R/3
CRM
CRM
MSDE
MSDE
Mobile Windows Mobile Windows ClientClient
EBP
EBP
APO
APO
SEM
SEM
EP
EP
BW
BW
SAP R/3
SAP R/3
CRM
CRM
MSDE
MSDE
Mobile Windows Mobile Windows Client ClientSQL Server
SQL Server
Analysis Services
Analysis Services
SharePoint
SharePoint
Portal Server
Portal Server
外部システム
外部システム
SAP R/3サーバソリューション
EAI(システム連携)
OLAP分析
アプリケーション開発
ディレクトリ
Windows Server 2003 Active Directory SQL Server 2000 Analysis ServicesSAP R/3 アプリケーション
IDOC インター フェース LDAP コネクタ & SSO ツール 右の Interface,Connector,Brid geは全て無償で入手可能。 (ただし利用するには ユーザーライセンスが必要) LDAP Connector, MOLAP Bridgeは最新の SAPの カーネル(Web AS 6.20)に のみ同梱。 .NET Connector MOLAP Bridge Microsoft テクノロジ SAPテクノロジAgenda
1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
企業内システムの拡大とその課題
z
企業内ネットワーク及びシステムの拡大による恩恵
z
システム拡大にともなう課題
■いかなる場所でも必要とする情報への安全なアクセスの提供
■ネットワーク連携の強化による共同作業の強化
■安全なネットワーク連携および共同作業を通じて顧客および
パートナーとのより身近な関係を構築
■セキュリティ保護
認可されたユーザのみが重要な企業情報にアクセスすることを企業
が保証することが重要です。
■ユーザ権限管理の複雑化
企業内の様々なシステムに対するユーザ・アクセス制限は、システム
の増加とユーザ数の増加によってますます複雑になります。
■管理コストの肥大化
システム毎の個々のユーザ・アクセス管理は管理コストを肥大化します
ユーザ権限の一元的な管理運営が必要となります
SAPシステムへのログオン形態の多様化
z
SAP GUI for Windows
z
SAP GUI for HTML
z
SAP GUI for Java
・ITSやEnterprisePortalなどWebベースのSAPシステム導入
の増加に伴い、シングルサインオン要件も増加の傾向
・SAPシステムと他MSアプリケーションシステムとの連携要件
も検討課題として浮上
Agenda
1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
AD+SAP R/3 SSOソリューションの実態
z
Active DirectoryによるSSO*環境
z
SAPシステムのある企業
z
SAPシステム+ Active Directoryのメリット
z
ITSの導入メリット
z
ITS+PASの導入メリット
z
EnterprisePortalによるSSO(今後)
ADによるSSO環境
①”winuser”として ログオン→TGT取得 ②”winuser”としての セッションチケット発行 ③”winuser”としてアクセス NT4 NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft Microsoftプロダクトプロダクトz
Microsoftテクノロジーのアプリケーションサーバー製品だけ
であればActive Directory で容易にシングルサインオンが実
現可能
・Windowsファイル共有、プリンタ ・IIS Webサイト ・Exchange Server ・SQL Server ・SharePoint ポータルサイト ・対応アプリケーション ④アクセス 許可SAPシステムのある企業
①”winuser”として ログオン→TGT取得 ②”winuser”としての セッションチケット発行 ③”winuser”としてアクセス ①”r3user”として ログオン×N回
②チケット発行×N回
③”r3user”としてアクセス×N回
NT4 NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft MicrosoftプロダクトプロダクトSAP GUI for
SAP GUI for WindowsWindows SAP R/3SAP R/3
z
SAPアプリケーション(R/3, BW, APO ・・・)が入った途端に
ユーザーは何度もログオンを強いられる(2回以上)
・SAP R/3 ・SAP BW ・SAP APO 他 ④アクセス 許可×N
④アクセス 許可SAPシステム+Active Directoryのメリット
z
Windows2000(NT4.0)をサポートしているSAPシステムならば
GUI for Windowsに対するシングルサインオンが実現
①”w2kuser”として ログオン→TGT取得 ②”w2kuser”としての セッションチケット発行 ③”w2kuser”としてアクセス ③”w2kuser”としてアクセス
“Web AS”: “Web Application Server”
NT4
NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft
Microsoftプロダクトプロダクト
SAP GUI for
SAP GUI for WindowsWindows SAP R/3SAP R/3 Basis3.1 Basis3.1∼∼ ④マッピングテーブル でユーザーマッピング ⑤アクセス 許可 w2kuser→r3user ・・・・・ ④アクセス 許可
ITSの導入メリット
z
SAPアプリケーション全体に対するログオンが1回で済むよう
になる(ただしMSプロダクトとのSSOは依然×)
①”winuser”として ログオン→TGT取得 ②”winuser”としての セッションチケット発行 ③”winuser”としてアクセス ②Cookie発行×1
③”r3user” として アクセス×1
ITS: “Internet Transaction Server”
NT4 NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft Microsoftプロダクトプロダクト SAP R/3 SAP R/3
SAP GUI for
SAP GUI for HTMLHTML
ITS+Workplace ITS+Workplace ①”r3user”として ログオン
×1
④アクセス 許可×1
④アクセス 許可ITS+”PAS”の導入メリット
z
システム全体に対してログオンが1回で済むようになる
①”winuser”として ログオン→TGT取得 ②”winuser”としての セッションチケット発行 ③”winuser”としてアクセス ③”winuser”と してアクセスITS: “Internet Transaction Server”
SAP GUI for
SAP GUI for HTMLHTML
NT4 NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft Microsoftプロダクトプロダクト SAP R/3 SAP R/3 ITS4.6D ITS4.6D∼∼ +Workplace +Workplace +PAS +PAS
“PAS”: “Pluggable Authentication Service” winuser→r3user ・・・・・ ④マッピングテーブル でユーザーマッピング ⑥アクセス 許可 ⑤”r3user” として アクセス ④アクセス 許可
SAP Enterprise PortalによるSSO(今後)
z
システム全体に対してログオンが1回で済むようになる
BSP・JSPアプリケーションを利用
①”winuser”として ログオン→TGT取得 ②”winuser”としての セッションチケット発行 ③”winuser”としてアクセスSAP GUI for
SAP GUI for WindowsWindows
NT4 NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft Microsoftプロダクトプロダクト SAP R/3 SAP R/3 Enterprise portal Enterprise portal winuser→r3user ・・・・・ ④マッピングテーブル でユーザーマッピング ⑥アクセス 許可 ③”winuser”と してアクセス ⑤”r3user” として アクセス ④アクセス 許可
Agenda
1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
AD+SAP R/3 SSOの実装
(ITS6.1環境をベースにして)
z
シングルサインオン方式の決定
z
環境設定項目
¾
ActiveDirectory環境の設定
¾
ITSの導入と環境設定
¾
SNCの導入と環境設定
¾
Logon Ticketの設定
¾
SSLの設定
¾
PAS∼NTLM認証の設定
¾
PAS∼ID/パスワード認証の設定
z
ログオンフロー
¾
PAS∼NTLM認証を利用したログオンフロー
¾
PAS∼ID/パスワード認証を利用したログオンフロー
z
NTLM認証
z
Kerberos 認証
z
Logon Ticket認証
z
X.509認証
Windows NT 4.0 オペレーティングシステムではNTLMプロトコルがネットワーク認証のデフフォルト。 Windows2000では、Windows NTクライアントおよびサーバとの互換性維持として使われる。NTLMは Windows2000でスタンドアローンコンピュータにログオンする為の認証に使用される。 Windows2000では、Kerberosセキュリティプロトコルを使用したシングルサインオンの実装が可能で ある。Kerberosは暗号によるクライアント/サーバの認証方式のひとつであり、通信経路上の安全が 保証されないインターネットなどのネットワークにおいて、サーバとクライアントの間で身元の確認を 行うのに利用している。Windows2000ではKerberosバージョン5をユーザ認証とアクセス制御のため に実装している。 Ticket発行システムでの認証を他のシステムでのシングルサインオンへ利用できるようにユーザに 対してLogon Ticketと呼ばれる認証トークンのようなものをCookieに発行し、Ticket発行システムに ログオンしたユーザが他のシステムへログオンする際にユーザIDとパスワードの入力を行う代わり に認証トークンであるLogon Ticketを使用することができる。 Certification Authority(CA)局から発行された証明書をクライアント側に持たせることによって、クライ アントの認証を行う。認証方法の種類
シングルサインオン方式の決定
SSOを実現する方式には認証方法やセキュリティレベルによって様々な方式があります。
以下はユーザインタフェースによって方式を選択した場合の決定フローになります。
START
GUI for Windows ? GUI for HTML ?
ユーザインタフェースは? ドメイン情報にSAPユーザ 情報を混在させる? WindowsNT4.0環境が 混在している? YES YES NO NO ログオン情報の 入力はOSブート 時の1回のみに したい ログオン情報の 入力はOSブート 時及びSAPシス テムへの初回ロ グオン時の2回 以上でよい ログオン情報の 入力はOSブート 時の1回のみに したい。且つSAP ログオン時には 証明書を利用 したい。 ログオン情報の 入力はOSブート 時及びSAPシス テムへの初回ロ グオン時の2回 以上でよい
GUI for Windows SSO (NTLM認証)
GUI for Windows SSO (Kerberos認証) ITS+PAS SSO (NTLM認証) ITS+PAS SSO ID/パスワード認証 ITS+PAS SSO Logon Ticket認証 ITS SSO X.509認証
GUI for Win (
NTLM・Kerberos
)による認証
③ユーザ情報と
SAPユーザを照合
マッピングテーブル
(USRACL)
ドメインユーザ <-> SAPユーザ
SAP
②ユーザを認証
ドメインコントローラ
User
①Web ASにアクセス
SAPプロトコル(SNC)
Logon Ticket によるクライアント認証
ITS
User
Ticket
①ITSにアクセス
②ユーザを認証
③ユーザ情報送信
④ユーザ情報と
SAPユーザを照合
Ticket
マッピングテーブル
(USREXTID)
ドメインユーザ <-> SAPユーザ
⑤LogonTicket発行
Ticket
Ticket
⑥他システムへログオン
SAP
HTTPS
SAPプロトコル
PAS∼NTLM認証によるクライアント認証
ITS
+PAS
User
Ticket
①PASにアクセス
③ユーザ情報送信
④ユーザ情報と
SAPユーザを照合
Ticket
マッピングテーブル
(USREXTID)
ドメインユーザ <-> SAPユーザ
⑤LogonTicket発行
Ticket
Ticket
⑥他システムへログオン
SAP
②ユーザを認証
ドメインコントローラ
HTTPS
SAPプロトコル
PAS∼ID/パスワード認証によるクライアント認証
ITS
+PAS
User
Ticket
①PASにアクセス
②ユーザを認証
③ユーザ情報送信
④ユーザ情報と
SAPユーザを照合
Ticket
マッピングテーブル
(USREXTID)
ドメインユーザ <-> SAPユーザ
⑤LogonTicket発行
Ticket
Ticket
⑥他システムへログオン
ドメインコントローラ
SAP
HTTPS
SAPプロトコル
X.509認証を利用したシングルサインオン
z
X.509認証を利用して外部からの端末認証も実現
SAP
ITS
User
証明書
②証明書提示
③ユーザを認証
④ユーザ情報送信
⑤ユーザ情報と
SAPユーザを照合
証明書
マッピングテーブル
(USREXTID)
証明書 <-> SAPユーザ
⑥トランザクション開始
①証明書発行
証明書
認証局
信頼
HTTPS
SAPプロトコル
シングルサインオン方式別導入作業内容
GUI for Win SSO Kerbero ITS+PAS SSO NTLM ITS+PAS SSO ID/Password ITS SSO X.509 ITS+PAS SSO Logon Ticket GUI for Win
SSO NTLM Active Directory環境の設定 ITSシステムの導入 ITSシステムへのPASの導入と環境設定 SNCの導入と環境設定 Logon Ticketの設定 SSLの設定 PAS(NTLM認証)の設定 PAS(ID/Password認証)の設定
○
○
○
○
○
△
○
○
○
○
○
○
○
○
○
○
○
△
○
○
○
○
○
△
○
GUI for Win SSO(NTLM認証)の設定
GUI for Win SSO(Kerberos認証)の設定
○
○
○
○
環境設定項目
9
ActiveDirectory環境の設定
9
ITSの導入と環境設定
9
SNCの導入と環境設定
9
Logon Ticketの設定
9
SSLの設定
9
PAS∼NTLM認証の設定
9
PAS∼ID/パスワード認証の設定
(1) Active Directory環境の設定
z
Active Directory導入時の主要な設計項目
z
Active Directory導入時の留意点
9
ネーミングルール
Active Directory導入時の主要な設計項目
z
フォレスト構成
z
ドメインツリー・ドメイン構成
z
OU構成
z
サイト構成
z
セキュリティグループ
Active Directory導入時の留意点
z
ネーミングルール(ドメイン名・ユーザID)
¾
SAP R/3 と AD の制限
9
使用可能文字
9
文字数
9
一意性の範囲
¾
注意すべきMicrosoftサポート技術情報
9
415097 - [NT] Active Directory で濁音、半
濁音、拗音、促音を区別しない
Active Directory導入時の留意点
z
使用可能文字
¾
DNS名
9
0-9,a-z,A-Z,-(ハイフン)
9
大文字と小文字は、区別されない
¾
ASCII名
9
以下を除く ASCII 文字
9
¥“/[]:|<>+=;,?*スペース制御文字
¾
UNICODE名
9
以下を除く UNICODE 文字
9
#,+“¥<>;先頭のスペース、末尾のスペース
(2) ITSシステムの導入と環境設定
AD
R/3
(チケット発行) コンポーネント システムITS
IIS
User
IISインストール ITS管理者アカウント/グループ及びITSユーザグループの登録 サイトの作成 ITSSETUPツールでインストール開始 - 仮想ITSインスタンス名の登録- インストールタイプを選択(Single Host or Dual Host)
- インストールするパッケージを選択(PASもここで選択されます) 接続確認 ITSシステム作業 作業フェーズ 事前作業 インストール 後作業
(3) SNCの導入と環境設定
AD
R/3
(チケット発行) コンポーネント システムITS
IIS
User
SAPシステムにSNC用DLLを実装 Windowsシステムにて環境変数を設定 SAPプロファイルを編集 ITSシステムにNTLM用DLLを実装 Windowsシステムの環境変数を設定 ITSシステムでレジストリ値を設定 ITSシステムでサービスファイルを編集 ITSシステムでサービス実行ユーザを変更 SAPシステムでACL調整 接続テストの実施 IIS側システム作業 ITS側システム作業(4) Logon Ticketの設定
AD
R/3
(チケット発行) コンポーネント システムITS
IIS
User
ITSシステムのサービスファイルを編集
(チケット発行システム)チケット発行・受付を設定
ITSシステムのサービスファイルを編集
(コンポーネントシステム)コンポーネントシステム側にてチケット受入設定
接続テスト
チケット発行システム側システム作業 ITS側システム作業(5) SSLの設定
ITS
IIS
SAP TCS
AD
R/3
(チケット発行) コンポーネント システムUser
サーバ証明書要求を作成
SAP TCSへサーバ証明書要求を送付
サーバ証明書をインポート
SSL有効化
接続テスト
W-Gate設定変更
接続テスト
Webサーバ(IIS)側システム作業 認証局へのシステム作業(6) PAS∼NTLM認証の設定
AD
R/3
(チケット発行) コンポーネント システムITS
IIS
User
ITSシステムにPAS用コンポーネントを
インストール
ITSシステムのサービスファイル編集
PAS用サービスファイル編集
WebサーバにてIISの設定変更
チケット発行システム側にてユーザマッピング設定
接続テスト
Webサーバ(IIS)側システム作業 ITSシステム側作業(7) PAS∼ID/パスワード認証の設定
ITSシステムにPAS用コンポーネントを
インストール
ITSシステムのサービスファイル編集
PAS用サービスファイル編集
WebサーバにてIISの設定変更
チケット発行システム側にてユーザマッピング設定
接続テスト
Webサーバ(IIS)側システム作業 ITSシステム側作業R/3
(チケット発行) コンポーネント システムITS
IIS
AD
User
(8) GUI for Win SSO(NTLM認証)の設定
R/3
(チケット発行)AD
コンポーネント システムUser
SAP側にてSNC用DLLを実装
Windowsシステムで環境変数設定
SAP側にてプロファイル編集
クライアント側にてNTLM用DLL実装
Windowsシステムで環境変数設定
クライアント側にてGUIの設定変更
R/3側にてユーザマッピング
接続テスト
クライアント側システム作業 SAPシステム側作業(9) GUI for Win SSO(Kerberos認証)の
設定
R/3
(チケット発行)AD
コンポーネント システムUser
SAP側にてSNC用DLLを実装
Windowsシステムで環境変数設定
SAP側にてプロファイル編集
クライアント側にてKerberos用DLL実装
Windowsシステムで環境変数設定
クライアント側にてGUIの設定変更
R/3側にてユーザマッピング
接続テスト
クライアント側システム作業 SAPシステム側作業ログオンフロー
z
PAS∼NTLM認証を利用したログオンフロー
z
PAS∼ID/パスワード認証を利用したログオンフロー
PAS∼NTLM認証を利用したログオンフロー.NO1
(Basis 4.x WPS利用の場合)
注意!! クライアントがドメインに参加していない場合に限り 「ドメインユーザ名」「パスワード」「ドメイン名」を聞かれます。 ②PASにアクセスします https://<HOSTNAME>.<DOMAINNAME>:<PORT_NUMBER> /scripts/wgate/sapauth/! ①ブラウザを起動します ドメインユーザとマッピングした SAPユーザでログオンされています ログオンしたSAPユーザに定義された ロールが表示されています ③Workplaceのサービス画面が表示されます ex) Test <> OOTANIPAS∼NTLM認証を利用したログオンフロー.NO2
(Basis 4.x WPS利用の場合)
「ロール」とは?
企業のビジネスシナリオに基づき 従業員の実行する作業内容を まとめたもの。 複数システムのトランザクションを 事前にロールに定義しておけば 各システムに繰返しユーザとパス ワードを入力する事無しに作業を 実施する事が可能となります。PAS∼NTLM認証を利用したログオンフロー.NO3
(Basis 4.x WPS利用の場合)
通常通りトランザクションコードを入力 して使用したい場合は「WebGUI」を 呼出します。 「WebGUI」起動URLも事前に ロールに定義する必要があります。 ①Workplace用「WebGUI」 サービスを呼出します ②ライセンス期限が表示されるので そのまま「Enter」PAS∼NTLM認証を利用したログオンフロー.NO4
(Basis 4.x WPS利用の場合)
③「Start SAP Easy Access」を実行します
PAS∼NTLM認証を利用したログオンフロー.NO5
(Basis 4.x WPS利用の場合)
他システムにおいても通常通りトランザクションコードを 入力して使用したい場合は「WebGUI」を呼出します。 この時各システムに繰返しユーザと パスワードを入力する事無しに 作業を実施する事が可能です。 「WebGUI」起動URLも事前に ロールに定義する必要があります。 ①他システム用「WebGUI」 サービスを呼出します ②ライセンス期限が表示されるので そのまま「Enter」PAS∼NTLM認証を利用したログオンフロー.NO6
(Basis 4.x WPS利用の場合)
③「Start SAP Easy Access」を実行します
PAS-ID/パスワード認証を利用したログオンフロー.NO1
①ブラウザを起動します ②PASにアクセスします https://<HOSTNAME>.<DOMAINNAME>:<PORT_NUMBER> /scripts/wgate/sappwauth/! 注意!! クライアントがドメインに参加していない場合に限り 「ドメインユーザ名」「パスワード」「ドメイン名」を聞かれます。 ③PASの認証画面が表示されます ④「ドメインユーザ名」「パスワード」 「ドメイン名」を聞かれるので入力します。 ⑤「Logon」を押しますPAS-ID/パスワード認証を利用したログオンフロー.NO2
⑥Workplaceのサービス画面が表示されます ドメインユーザとマッピングした SAPユーザでログオンされています ex) Test <> OOTANI ログオンしたSAPユーザに定義された ロールが表示されていますX.509認証を利用したログオンフロー.NO1
X.509認証の場合Workplaceを経由しなくともSSOは有効です。 そのため直接「WebGUI」を呼出して使用する事が可能です。 ①ブラウザを起動します ②Workplaceサービスにアクセスします https://<HOSTNAME>.<DOMAINNAME>:<PORT_NUMBER>/scripts/wgate/webgui/! ③利用するクライアント証明書が正しい事を確認します ④ 「OK」を押します ⑤ライセンス期限が表示されるので そのまま「Enter」 クライアント証明書とマッピングした SAPユーザでログオンされています ex) S0001889717 <> OOTANIX.509認証を利用したログオンフロー.NO2
⑥「Start SAP Easy Access」を実行します
Agenda
1.富士通、Microsoftグローバル提携
2.MicrosoftのSAPソリューション概要
3.SAP R/3とADによるSSOへのニーズ
4.AD+SAP R/3 SSOソリューションの実態
5.AD+SAP R/3 SSOの実装
6.AD+SAP R/3 集中ユーザ管理ソリューション
7.Tips
AD+SAP R/3集中ユーザ管理ソリューション
z
Basis4.6までのADとの集中ユーザ管理
z
WebAS+Active Directory導入による集中ユーザ管理ソ
リューション
Basis4.6までのADとの集中ユーザ管理
COMアプリケーションを介してディレクトリとの同期を行うことにより集中ユーザ管理が
なされる
②R/3からBAPIを介して 登録ユーザーを取得し、 NT4/AD ドメインコントロー ラへADSIを介して ユーザーを同期する アプリケーションを起動 BAPI ADSI ③ ドメインコントローラ上 にユーザー”winuser”が 自動登録SAP GUI for
SAP GUI for WindowsWindows
NT4 NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft Microsoftプロダクトプロダクト ① SAP上でユーザー ”r3user”を登録
SAP
Apps
Basis 4.0B∼ “DCOM Connector”WebAS+Active Directory導入による
集中ユーザ管理ソリューション
SAPにユーザー登録(編集、削除)したタイミングで、ディレクトリにも自動的に同期が
なされる
① SAP上でユーザー ”r3user”を登録SAP
Apps
②LDAP コネクタがデー タ加工(“w2kuser”) Web AS “LDAP Connector” ③LDAP コネクタ がLDAPプロトコルにより Active Directoryに対しユー ザーを同期 (”w2kuser”を登録) LDAP ④ ドメインコントローラ上 にユーザー”winuser”が 自動登録SAP GUI for
SAP GUI for WindowsWindows
NT4
NT4 ドメインコントローラ、ドメインコントローラ、Windows2000 ADWindows2000 AD Microsoft
LDAPコネクタ導入について
z
LDAPコネクタ導入時の留意点
¾
スキーマの拡張
¾
同期方向
¾
同期場所
¾
属性のマッピング
LDAP コネクタ導入時の留意点
z
AD スキーマ拡張が必要
¾
R/3 LDAP コネクタ 設定時
¾
SAP 提供のスキーマ拡張ファイル
z
AD スキーマ拡張の注意点
¾
スキーマ拡張は、恒久的な操作
9
削除できない
¾
ディレクトリ全体に大きな影響がある
9
フォレスト内のすべての DC に複製される
¾
スキーマ拡張の完了後、同期の実行
9
矛盾の発生を防ぐ
LDAP コネクタ導入時の留意点
z
同期方向
¾
SAP R/3 をマスター
同期場所のマッピング
Base Entry: (DN で指定)
OU=employee, OU=Company,
DC=domain, DC=com
z
DC (Domain Component)
z
OU (Organization Unit)
z
CN (Common NAME)
z
DN (Distinguished Name)
属性のマッピング
AD
ユーザー属性
R/3
LDAPコネクタを利用したユーザ同期と
SSOソリューションについて
z
ユーザ同期とSSOソリューションについて
z
検証環境
z
検証環境構築
¾
Active Directoryスキーマの拡張について
z
ユーザ同期における課題
¾
同期後のユーザアカウントの状態
¾
SAP プロファイルの同期
ユーザ同期とSSOソリューションについて
z
SSO運用時の課題
ActiveDirectory
ドメインユーザ
R/3
ユーザテーブル
SAPユーザ
ユーザをマッピング
ユーザをマッピング
ユーザを登録
ユーザを登録
管理者は複数のIDと
パスワードを考慮
ユーザ追加の度に
マッピング処理
マッピングテーブル
(USREXTID)
ドメインユーザ <-> SAPユーザ
ユーザ同期とSSOソリューションについて
z
ユーザ同期を採用したSSO運用時
マッピングテーブル
(USREXTID)
ドメインユーザ <-> SAPユーザ
ActiveDirectory
ドメインユーザ
R/3
ユーザテーブル
SAPユーザ
③ユーザをマッピング①ユーザを登録
②ユーザを同期
ユーザ情報の
一貫性保持
マッピング自動化
LDAP
ABAP
LDAP コネクタ検証環境
ルート
com
DC/GC/DNS
CA
domain
R/3
ドメイン
Default-first-site-name
z ドメイン ¾ Active Directory ドメイン z サーバー ¾ OS : Windows 2000 ¾ ドメイン : 参加 (メンバー) ¾ SAP R/3 コンポーネント群は、同一ドメイン参加 ¾ SAP Basis, ITS + PAS, , Workplacez クライアント
¾ OS : Windows 2000 or Windows XP Pro ¾ ドメイン : 参加 (メンバー)