お客様とベンダー向けのファイル 転送（製品共通）

以下の SAP Concur ソリューションに適用されます。

Expense

 Professional/Premium edition

 Standard edition

 Travel

 Professional/Premium edition

 Standard edition

 Invoice

 Professional/Premium edition

 Standard edition

Request

 Professional/Premium edition

 Standard edition

お客様とベンダー向けのファイル 転送（製品共通）

ユーザー ガイド

最終更新日 , 2021 年 8 月 27 日

目次

セクション 1:概要...1

機密保持... 1

セキュリティ 推奨事項... 1

セクション 2:ファイル転送プロトコル...2

暗号サポート... 2

セクション 3:認証とファイル転送の詳細...2

ファイル転送 DNS エンドポイント/ IP...2

アカウント資格情報... 3

st.concursolutions.com（12.129.29.5）のアクセス制御リスト...3

タイムアウト... 4

ポーリング... 4

SSH 鍵認証（SFTP）... 4

ディレクトリ構造... 4

セクション 4:ファイル形式の仕様...5

テキスト エンコード... 5

ファイル サイズ... 5

ファイルの命名 – お客様向け...5

インポート ファイルの命名サンプル...6

抽出ファイルの命名サンプル...6

ファイルの命名 – ベンダー向け...6

PGP 鍵... 7

PGP 鍵を作成する... 7

PGP 鍵を作成する際のガイドラインおよびヒント...7

PGP 鍵をアップロードするには...7

SAP Concur の PGP 鍵を使用するには...8

セクション 5:トラブルシューティング...8

よく発生する問題 / エラー... 8

改訂履歴

日付 注意事項 / コメント / 変更内容

2021年8月27日 Ciphers および CCPS についての情報を更新しました。

2021年5月13日 メール アドレスを削除しました。表紙の日付に変更はありません。

2021年4月21日 すべてのファイル転送には、SSH 鍵認証を使用した SFTP が必要であることを反映しまし た。

2021年1月20日 concursolutionsrotate.asc PGP 公開鍵についての説明を追記しました。(11ページ) 2020年12月14日 FTPS セクションの暗号サポートより、 TLS_empty_renegotiation_info_scsv を削除し

ました。 (4ページ)

2020年11月25日 すべてのアカウントで SSH 鍵認証を使用した SFTP が必須となることを更新しました。

2020年10月23日 新しい鍵の作成に関する詳細を含む、複数のセクションを更新しました。SAP Concur が サポートしている強固な暗号を選択することへのアラート、および 国立標準技術研究所 (NIST) または同様の政府機関によるリソースの使用推奨について追記しました。

2020 年 4 月 27 日 [Authorization Request] チェック ボックスの名前を、ガイドのタイトル ページの [Request] に変更しました。表紙の日付に変更はありません。

2020 年 4 月 17 日 セクション 2、3、4、5 を更新しました。

2020 年 3 月 14 日 2 月 24 日に更新を行い、HTTPS の EoS が反映されるようになりました。

2020 年 2 月 14 日 更新により、TLSv1.1 の EoS と 2 月 24 日の HTTPS 変更の午前 8 時～午後 2 時の時 間変更が反映されるようになりました。

2020 年 1 月 29 日 更新により、2 月 10 日の TLSv1.1 の EoS と 2 月 24 日の HTTPS が反映されるよう になりました。

2020 年 1 月 15 日 著作権を更新しました。中国の用語を香港、中国、台湾、中国向けに更新しました。

2019 年 11 月 9 日 非推奨のプロトコルとプロトコル バージョン（FTPS、HTTPS、TLS）に関する情報につ

いて、複数のセクションを更新しました。

2019 年 9 月 21 日 「ファイル転送 DNS エンドポイント/ IP」セクションを更新しました。

2019 年 7 月 18 日 SSH 鍵認証を使用した SFTP に関する情報を追加しました。

サポートされている SSH 鍵交換暗号および転送暗号のリストを更新しました。

2019 年 7 月 9 日 フッター、ドキュメント プロパティの一部に外観の修正を行いました。改訂日の変更はあ

りません。

2019 年 5 月 22 日 ファクト シートを正式なガイドに変換しました。

お客様とベンダー向けのファイル転送

セクション 1: 概要

本ユーザーガイドは、SAP Concurをお使いのお客様とベンダーを対象としたファイルベースの データ連携を安全に行うためのガイドです。

本ドキュメントは、SAP Concur によって以前に提供された他の形式のデータ交換ドキュメント に代わるものです。

SAP Concur を使用したファイル転送については、以下の情報を検討して準備するようにしてく ださい。

 すべてのファイル転送には、SSH 鍵認証を使用した SFTP が必要です。

 PGP および SSH 鍵交換

 ファイル命名規則のプロセスと標準

 一般的なエラーとミス

機密保持

本ドキュメントには、お客様のデータのセキュリティに故意に危険を及ぼすことを可能にする価 値のある機密情報が含まれています。SAP Concur の施設とシステム全体で複数の保護方法が採 用されていますが、お客様とベンダーは、本ドキュメントを機密として保ち、限られた人員にの み配布を許可するようお願い致します。

セキュリティ 推奨事項

お客様は National Institute of Standards and Technology (NIST) または同様の政府機関に より提供されているセキュリティ推奨事項を活用して、強固なセキュリティのための安全な接続 を選択することができます。

セクション 2: ファイル転送プロトコル

すべてのアカウントは、SSH （Secure Shell） 鍵認証で SFTP （Secure File Transfer Protocol） を使用する必要があります。

ファイル転送プロトコル ポート 考慮事項 SFTP (Secure File Transfer

Protocol) 22 SAP Concur 必須プロトコル (SSH 鍵認証使用）

暗号化されたチャンネルを介して資格情報とデータを送信 します。

すべての通信は単一の TCP ポートを介して行われるた め、ファイアウォール構成が簡素化されます。

複数のファイルを転送する自動処理に適しています。

暗号サポート

!

重要: SAP Concur およびお客様側両方からサポートされている強固な暗号を選択し、堅牢 なセキュリティ態勢を維持することをお勧めいたします。

プロトコル 鍵交換暗号 転送暗号

SFTP (Secure File Transfer

Protocol) diffie-hellman-group14-sha1;

diffie-hellman-group- exchange-sha256

aes128-ctr、aes192- ctr、aes256-ctr

OTE: CCPS には FIPS 検証済み暗号を使用します。CCPS のためにサポートされている暗号

のリストが必要な場合は、SAP Concur サポート ポータルにてケースを上げてください。

セクション 3: 認証とファイル転送の詳細

ファイル転送 DNS エンドポイント/ IP

次のファイル転送 DNS エンドポイントは、SAP Concur で使用されます。

2020年3月25日より前に作成された米国と EMEA のアカウントの場合:

 米国: st.concursolutions.com (12.129.29.5)

 EMEA: st-eu.concursolutions.com (46.243.56.11)

2020 年 3 月 24 日以降に作成された米国と EMEA のアカウントの場合:

 米国: mft-us.concursolutions.com (12.129.29.138)

 EMEA: mft-eu.concursolutions.com (46.243.56.21) CGE アカウントの場合:

 CGE Stable: st-cge.concursolutions.com (12.129.29.201)

 CGE DR: st-cge-dr.concursolutions.com (199.108.17.109) CCPS アカウントの場合:

 mft-usg.concursolutions.com (52.222.82.120, 160.1.102.62, 15.200.49.20)

OTE: IP アドレスは変更される可能性があるため、SAP Concur は DNS エンドポイントに接

続することをお勧めします。

アカウント資格情報

SAP Concur のデータ交換は、ユーザー名 / 鍵認証を使用して保護されます。お客様のユー ザー名は Concur のエンティティ ID です。

 すべてのアカウントには、SFTP を使用した SSH 鍵認証が必要です。

st.concursolutions.com（12.129.29.5）のアクセス制御リスト

接続はパブリック（インターネット ルーティング可能）IP アドレスから発信され、IP アドレス はアクセス制御リスト（ACL）上に存在している必要があります。SAP Concur に、インター ネットへのルーティングが可能なパブリック IP アドレスを提供し、そこからファイルを転送す るために接続します。SAP Concur ACL に存在しない IP アドレスからのアクセス試行は、無効 な資格情報または接続拒否メッセージが表示され失敗します。Concur は、運用システムとテス ト システムの両方を組み合わせた場合、お客様ごとに合計約 10 個の IP アドレスを格納しま す。適切なサイズの IP 範囲は、ビジネス ケースがお客様から提示され、SAP Concur が承認 したときに許可されます。

タイムアウト

SAP Concur との間でファイルを転送した後、接続を切断します。長時間アイドル状態の接続は タイムアウトになります。

ポーリング

サービス拒否（DOS）を引き起こし、ファイル転送のパフォーマンスに悪影響を与える可能性が あるため、SAP Concur に対して繰り返し認証しないようにしてください。SAP Concur は、1 時間に 2 回以下の接続をお勧めしています。

!

重要: アカウントの動作が全体的なファイル転送アクティビティとパフォーマンスを危険に さらしている場合、アカウントは無効になります。これには、同じ IP で接続しようとする 他のアカウントに影響を与える IP アドレスの無効化が含まれる場合があります。

SSH 鍵認証（SFTP）

 鍵は RSA 形式でなければなりません（2048～4096 ビット、2048 を推奨）。

 新しいファイル転送アカウントの場合、SSH 公開鍵ファイルを SAP Concur に提 供します。

 既存のお客様アカウントの場合、SAP Concur サポート ポータルでケースを開き、

SSH 鍵認証をリクエストして、SSH 公開鍵ファイルをケースに添付します。

 既存のベンダーアカウントの場合、 SSH 公開鍵ファイルを添付し、 SAP Concur 担当者にメールを送信してください。

ディレクトリ構造

各お客様とベンダーは、独自のディレクトリ構造で設定されています。他のディレクトリをまた ぐ機能はありません。

OTE: すべてのファイルは、14 日後にお客様とベンダーのファイル転送ディレクトリから削除 されます。

“/”

 SAP Concur PGP 公開鍵 concursolutionsrotate.asc をダウンロードします。処

理のために SAP Concur にアップロードされたすべてのファイルは、この鍵で暗号 化する必要があります。



詳細は、セクション 4 SAP Concur PGP 鍵を使用するには をご覧ください。

“/in”

 処理する必要がある適切に名前がつけられた暗号化ファイルのみをアップロードし てください。

 SAP Concur ファイル処理プロセスは、アップロードが正常に終了したときに開始

されます。そのため、ファイル名変更やアップロードの繰り返しは許可されていま せん。行った場合は、予期しない結果を引き起こします。

“/out”

 SAP Concur によって作成されたファイル（抽出など）は、PGP 鍵で暗号化され、

ダウンロードのためにここに配置されます。

セクション 4: ファイル形式の仕様

テキスト エンコード

テキストとしてアップロードされたファイルはすべて、バイト オーダー マーク (0xef 0xbb 0xbf) を使用して ASCII または UTF-8 としてエンコードする必要があります。

ファイル サイズ

アップロードするファイル サイズは、非圧縮で最大 1GB 以下に収める必要があります。

ファイルの命名 – お客様向け

 ファイル タイプ

 エンティティ ID

 一意の視覚的識別子

OTE: 一意の視覚的識別子はシステムによって評価されませんが、ファイルを識別する ときに役立ちます。これは必須ではありません。

 日時スタンプ

OTE: 推奨される形式は YYYYMMDDHHMMSS です。

 ファイル名には、英数字、マイナス記号（-）、アンダースコア（_）、ドット（.）

のみを使用する必要があります

 ファイル名にスペースは使用できません

インポート ファイルの命名サンプル

以下にリストされていないファイル タイプがあり、ファイルの命名についてさらに支援が必要 な場合は、SAP Concur サポートにお問い合わせください。

インポート タイプ サンプル ファイル名

同席者のインポート attendee_t0001234uv1w_sample_20051206095621.txt.pg p

従業員インポート employee_t0001234uv1w_sample_20051206095621.txt.pg p

リスト インポート list_t0001234uv1w_test_20051206095621.txt.pgp 出張手当インポート perdiem_t0001234uv1w_test_20051206095621.txt.pgp 為替レート インポート currency_t0001234uv1w_sample_20051206095621.txt.pgp

抽出ファイルの命名サンプル

以下にリストされていないファイル タイプがあり、抽出ファイルについてさらに理解を深める ために支援が必要な場合は、SAP Concur サポートにお問い合わせください。

抽出タイプ サンプル ファイル名

抽出タイプ サンプル ファイル名

AP/GL 抽出 extract_CES_SAE_v2_t00022598yzv_yyyymmddhhmmss.txt.pgp 標準 Concur

Pay

extract_cp_t00022598yzv_yyyymmddhhmmss.txt.pgp

標準出張申請 extract_Travel_Request_Extract_t00022598yzv_yyyymmddhhmmss.txt.pgp

ファイルの命名 – ベンダー向け

初期設定時にお知らせした命名規則に従ってください。ファイルの命名にご不明な点がある場合 は、[email protected] にお問い合わせください。

OTE: ファイル名にスペースは使用できません。

PGP 鍵

すべてのファイルは PGP で暗号化する必要があります。SAP Concur は、テスト時と運用時に お客様につき一度の鍵に限りサポートすることができます。

SAP Concur から /out ディレクトリに提供されるファイルは、PGP 鍵を使用してOpenPGP

で暗号化されます。

PGP 鍵を作成する

 OpenPGP 準拠のソフトウェアを使用します

 PGP 公開鍵は OpenPGP（バージョン 4）としてフォーマットする必要があります

 鍵は RSA である必要があります (sign and encrypt, 2048 から 4096ビット、

2048 を推奨）これは、鍵を作成する際の既定の GnuPG オプションです。

 公開署名鍵と暗号化サブ鍵が必要です。

PGP 鍵を作成する際のガイドラインおよびヒント

お客様はこれらの手順に沿いいつでも鍵を変更することができますが、このアクションは上記の 通り単一のサポート対象鍵に限定する必要があります。ファイル転送が中断されないよう、現在 の鍵の期限が切れる前に必ず新しい PGP 鍵を作成してください。また、有効期限を設定するこ とで定期的な変更を促します。ただし、これはオプションであり、SAP Concur は有効期限設定 のないお客様の鍵もサポートします。

!

SAP Concur は、強固なセキュリティを維持するため、少なくとも2年に1度、または鍵が

安全ではない可能性がある際には鍵を変更することを強く推奨します。

!

暗号化、ハッシング、および圧縮アルゴリズムのリストが必要な場合は、 SAP Concur サ ポート ポータルにケースを上げてください。SAP Concur に暗号化されたファイルをアッ プロードする際は、SAP Concur PGP 鍵の優先設定を使用しなければなりません。

!

SAP Concur およびお客様側両方からサポートされている強固な暗号を選択し、堅牢なセ キュリティ態勢を維持することをお勧めいたします。

PGP 鍵をアップロードするには

 お客様: SAP Concur サポート ポータルでケースを開き、PHP 鍵認証をリクエスト して、PGP 公開鍵ファイルをケースに添付します。

 ベンダー: PGP 公開鍵ファイルを添付し、 SAP Concur 担当者にメールを送信し てください。

SAP Concur の PGP 鍵を使用するには

SAP Concur にアップロードされたファイルは、SAP Concur がする PGP 公開鍵 concursolutionsrotate.asc: で暗号化する必要があります。

 concursolutionsrotate.asc

 鍵ファイルはお客様/ベンダーのルート フォルダーにあります。

 RSA 4096 ビット署名および暗号化サブ鍵

 鍵の有効期間は2年間です。

 お客様/ベンダーは、無効になる前に鍵を変更する必要があります。

 次の期限: 2022年9月4日

 SAP Concur は、有効期限 90 日前にお客様/ベンダーのルート フォルダに

ある現在の PGP 公開鍵を置換する予定です。

SAP Concur に送信する OpenPGP ファイルへの署名を選択する場合、PGP 鍵がすでにある状 態である必要があります。

!

重要: 以前の SAP Concur PGP 鍵は既存のお客様に対し現在もサポートされていますが、

将来的には非推奨となります。SAP Concur はすべてのお客様がより安全な公開鍵 concursolutionsrotate.asc. を使用することを推奨します。

セクション 5: トラブルシューティング

よく発生する問題 / エラー

以下のリストは、よく発生する問題 / エラーへの対処法を示しています。強固なセキュリティを 維持し、安全な接続を確保するため、国立標準技術研究所 (NIST) または同様の政府機関による リソースを使用してください。

よく発生する問題 対処法 SAP Concur Access Control List（ACL）にない

IP アドレスから接続試行され、米国の環境 (st.concursolutions.com, 12.129.29.5) にログ インできない

SAP Concur ACL にリストされているアドレスか ら接続する必要があります。 最初にゲートウェ イ（外部 / パブリック IP）アドレスを確認して ください。

ファイルを一時ファイルにアップロードしてから

ファイルの名前を変更する 一時的なファイル名でファイルをアップロードし てから名前を変更することはできません。アップ ロードするファイルには、 /in ディレクトリへの アップロード時に正しい名前を付ける必要があり ます。これはクライアント ソフトウェアで既定 で有効になっている可能性があります。設定を確 認してください。

無効な PGP 公開鍵 バージョン 3 の鍵や、アルゴリズム RSA タイプ 2（暗号化のみ）または 3（署名のみ）は明示的 に受け入れることができません。

SAP Concur にアップロードされたファイルがア カウントの PGP 鍵で暗号化されている

処理のために SAP Concur にアップロードする ファイルは、SAP Concur の PGP 鍵で暗号化す る必要があります。詳細については、本ドキュメ ントの「PGP 鍵」セクションをご参照ください。

安全でない SSH プロトコル アルゴリズム / 暗号

を使用して SAP Concur に接続試行する SAP Concur で許可されていない、安全でないア ルゴリズム / 暗号を使用しようとしている場合、

接続は許可されません。ファイル転送ソフトウェ アは、共通のアルゴリズム / 暗号に基づいて、使 用するものを自動的に選択することをお勧めしま す。互換性のあるものを選ぶには、ソフトウェア を最新バージョンにアップグレードする必要があ る場合があります。