SAP Concur 製品共通: お客様やベンダー向けのファイル転送

(1)

お客様やベンダー向けの

ファイル転送（製品共通）

ユーザーガイド

最終更新日: 2020 年 4 月 27 日

以下の SAP Concur ソリューションに適用されます。 Expense  Professional/Premium edition  Standard edition Travel  Professional/Premium edition  Standard edition Invoice  Professional/Premium edition  Standard edition  Request  Professional/Premium edition  Standard edition

(2)

(3)

セクション 1:概要 ... 1 機密保持 ... 1 連絡先情報とテクニカルサポート ... 2 セクション 2:ファイル転送プロトコル ... 3 プロトコル接続の詳細 ... 4 FTPS - TLS および暗号サポート ... 5 SSH 暗号サポート ... 5 セクション 3:認証とファイル転送の詳細 ... 6 ファイル転送 DNS エンドポイント/ IP ... 6 アカウント資格情報... 6 st.concursolutions.com（12.129.29.5）のアクセス制御リスト ... 7 タイムアウト ... 7 ポーリング ... 7 アカウントのロック... 8 SSH 鍵認証（SFTP） ... 8 FTPS SSL 証明書の認証 ... 8 FTPS クライアント証明書の認証 ... 8 ディレクトリ構造 ... 9 セクション 4:ファイル形式の仕様 ... 10

(4)

ii ユーザーガイド: お客様と支払先向けのファイル転送（製品共通）

インポートファイルの命名サンプル ... 11 抽出ファイルの命名サンプル ... 11 ファイルの命名 – ベンダー向け ... 11 PGP 鍵 ... 12 PGP 鍵を作成する ... 12 PGP 鍵をアップロードするには ... 13 SAP Concur の PGP 鍵を使用するには ... 14 セクション 5:トラブルシューティング ... 14 よく発生する問題 / エラー ... 14

(5)

改訂履歴

日付注意事項 / コメント / 変更内容 2020 年 4 月 27 日 [Authorization Request] チェックボックスの名前を、ガイドのタイトルページの [Request] に変更しました。表紙の日付に変更はありません。 2020 年 4 月 17 日セクション 2、3、4、5 を更新しました。 2020 年 3 月 14 日 2 月 24 日に更新を行い、HTTPS の EoS が反映されるようになりました。 2020 年 2 月 14 日更新により、TLSv1.1 の EoS と 2 月 24 日の HTTPS 変更の午前 8 時～午後 2 時の時間変更が反映されるようになりました。 2020 年 1 月 29 日更新により、2 月 10 日の TLSv1.1 の EoS と 2 月 24 日の HTTPS が反映されるようになりました。 2020 年 1 月 15 日著作権を更新しました。中国の用語を香港、中国、台湾、中国向けに更新しました。 2019 年 11 月 9 日非推奨のプロトコルとプロトコルバージョン（FTPS、HTTPS、TLS）に関する情報について、複数のセクションを更新しました。 2019 年 9 月 21 日「ファイル転送 DNS エンドポイント/ IP」セクションを更新しました。 2019 年 7 月 18 日 SSH 鍵認証を使用した SFTP に関する情報を追加しました。サポートされている SSH 鍵交換暗号および転送暗号のリストを更新しました。 2019 年 7 月 9 日フッター、ドキュメントプロパティの一部に外観の修正を行いました。改訂日の変更はありません。 2019 年 5 月 22 日ファクトシートを正式なガイドに変換しました。

(6)

(7)

お客様と支払先向けのファイル転送

セクション 1:

概要

本ユーザーガイドは、SAP Concur をお使いのお客様とベンダーを対象とした、ファイル転送によるデータ交換のためのガイドです。本ドキュメントは、SAP Concur によって以前に提供された他の形式のデータ交換ドキュメントに代わるものです。 SAP Concur とのファイル転送については、以下の情報を検討して準備するようにしてください。 • 新しくファイル転送を行う場合には、SSH 鍵認証を使用した SFTP が必要です。 • 2020 年 12 月 7 日以降、すべてのファイル転送アカウントで SSH 鍵認証を使用した SFTP が必要になります。 • PGP および SSH 鍵交換 • ファイル命名規則のプロセスと標準 • 一般的なエラーとミス

機密保持

本ドキュメントには、お客様のデータのセキュリティに故意に危険を及ぼすことを可能にする価値のある機密情報が含まれています。SAP Concur の施設とシステム全体で複数の保護方法が採用されていますが、お客様と支払先は、本ドキュメントを機密として保ち、限られた人員にのみ配布を許可するようお願い致します。

(8)

2 ユーザーガイド: お客様と支払先向けのファイル転送（製品共通）

連絡先情報とテクニカルサポート

次の連絡先情報は、固有の問題への支援が必要なお客様およびベンダー向けのものです。地域 連絡先情報 アメリカ月曜日～金曜日午前 5 時～午後 4 時（PT） Expense/Invoice サポート +1 877 901 4960 - アメリカおよびカナダ Expense/Invoice/Travel サポート フリーダイヤル: 018000835525 - メキシコ Travel サポート +1 877 812 5060 - アメリカおよびカナダアジア太平洋オーストラリア月曜日～金曜日午前 9 時～午後 6 時（AEST/AEDT） Expense/Invoice/Travel サポート +61 (02) 9113 7319 - すべての APA Expense/Invoice/Travel サポート +800 2555 6311 オーストラリア、中国、香港、中国、日本、マレーシア、ニュージーランド、フィリピン、シンガポール、韓国、台湾、中国、タイ 001803442494 - インドネシア 120 11520 - ベトナムヨーロッパ月曜日～金曜日午前 9 時～午後 6 時 (GMT + 1) Expense/Invoice/Travel サポート +800 2221 8787 オーストリア、ベルギー、ブルガリア、キプロス、チェコ共和国、デンマーク、エストニア、フィンランド、フランス、ドイツ、ハンガリー、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、スロバキア共和国、スペイン、スウェーデン、イギリス +44 1753 50 1777 - ヨーロッパ本土 01753 50 1777 - 英国

(9)

セクション 2:

ファイル転送プロトコル

すべての新しいアカウントは、SSH（Secure Shell）鍵認証で SFTP（Secure File Transfer Protocol）を使用する必要があります。2020 年 12 月 7 日以降、既存のすべてのアカウントは SSH 鍵認証で SFTP を使用する必要があります。2020 年 12 月 7 日以降、FTPS による接続は許可されなくなります。

ファイル転送プロトコル 考慮事項

SFTP

(Secure File Transfer Protocol)

SAP Concur の必須プロトコル（鍵認証付き）です。2019 年 6 月リリース以降の新しいアカウントと 2020 年 12 月 7 日以 降はすべてのアカウントで必須となります。 暗号化されたチャンネルを介して資格情報とデータを送信します。すべての通信は単一の TCP ポートを介して行われるため、ファイアウォール構成が簡素化されます。複数のファイルを転送する自動処理に適しています。 FTPS

（File Transfer Protocol Secure）

2020 年 12 月 7 日以降、FTPS による接続は許可されなくな ります。 暗号化されたチャンネルを介して資格情報とデータを送信します。通信は個別の制御およびデータ TCP ポートを介して行われ、データポートは動的です。暗号化により、ファイアウォールを適切に通過させることがさらに困難になります。ダイナミックポートの全範囲が開いている必要があります。複数のファイルを転送する自動処理に適しています。

(10)

ソフトウェアタイプ サポートされているソフトウェアバージョン サーバーで開始する転送用の FTP/S サーバー FTP/S は新しいアカウントでは設定で きません。2020 年 12 月 7 日の時点 で、既存のアカウントは SSH（SFTP） と鍵認証を使用する必要があります。 • Axway Gateway 6.16.x • Axway SecureTransport 5.1, 5.2.1, 5.3.0, 5.3.1, 5.3.3

• GlobalSCAPE EFT Server 7.1.0

• IBM メインフレーム FTP(S) • Ipswitch WS_FTP 12.4 • Oracle Solaris 10 FTP サーバー FTP/S クライアント FTP/S は新しいアカウントでは設定で きません。2020 年 12 月 7 日の時点 で、既存のアカウントは SSH（SFTP） と鍵認証を使用する必要があります。

• Axway Secure Client 5.8, 6.0, 6.1, 6.2, 6.3

• cURL 7.45

• CuteFTP Professional 9.0.5 (Windows)

• FileZilla Client 3.14.1 • IglooFTP PRO 3.9 • Ipswitch WS_FTP 12.4 • LFTP 4.6 • SmartFTP Client 6.0

プロトコル接続の詳細

NOTE: 一度に開くことができる接続は 1 つだけですが、必要に応じて最大 3 つの接続を開く ことができます。 プロトコル ポート 追加情報 SFTP (SSH) 22 FTPS 21 (コントロール) 65400-65500（データ）明示的な TLS で接続するデータ転送にパッシブモードを使用するバイナリモードでファイルを転送する

(11)

FTPS - TLS および暗号サポート

プロトコル TLS バージョンサポ ート 暗号サポート FTPS FTP/S は新しい アカウントでは設 定できません。 2020 年 12 月 7 日の時点で、既存 のアカウントは SFTP と SSH 鍵 認証を使用する必 要があります。 TLSv1.2 TLS_ECDHE _RSA_WITH_AES_256_GCM_SHA384、 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384、 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA25、 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384、 TLS_DHE_DSS_WITH_AES_256_GCM_SHA384、 TLS_DHE_DSS_WITH_AES_256_CBC_SHA256、 TLS_DHE_RSA_WITH_AES_256_CBC_SHA256、 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256、 TLS_DHE_DSS_WITH_AES_128_GCM_SHA256、 TLS_DHE_DSS_WITH_AES_128_CBC_SHA256、 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256、 TLS_RSA_WITH_AES_256_CBC_SHA256、 TLS_EMPTY_RENEGOTIATION_INFO_SCSV

SSH 暗号サポート

プロトコル 鍵交換暗号 転送暗号 SSH (SFTP) diffie-hellman-group14-sha1; diffie-hellman-group-exchange-sha256 aes128-ctr、aes192-ctr、 aes256-ctr

(12)

セクション 3:

認証とファイル転送の詳細

ファイル転送 DNS エンドポイント/ IP

次のファイル転送 DNS エンドポイントは、SAP Concur で使用されます。 2020 年 3 月 25 日以前に作成された米国と EMEA のアカウント、およびそれらのクライアントに追加された追加のアカウントの場合: • 米国: st.concursolutions.com (12.129.29.5) • EMEA: st-eu.concursolutions.com (46.243.56.11) 2020 年 3 月 24 日以降に作成された米国と EMEA のアカウントの場合: • 米国: mft-us.concursolutions.com (12.129.29.138) • EMEA: mft-eu.concursolutions.com (46.243.56.21) CGE アカウントの場合:

• CGE Stable: st-cge.concursolutions.com (12.129.29.201) • CGE DR: st-cge-dr.concursolutions.com (199.108.17.109)

NOTE: IP アドレスは変更される可能性があるため、SAP Concur は DNS エンドポイントに接

続することをお勧めします。

アカウント資格情報

SAP Concur のデータ交換は、ユーザー名 / パスワードまたはユーザー名 / 鍵認証を使用して保護されます。ユーザー名は Concur のエンティティ ID です。 • 新しいアカウントには、SFTP を使用した SSH 鍵認証が必要です。 • 設定されている現在のパスワードを取得できません。 • パスワードがわからず、認証が必要な場合は、SAP Concur サポートポータルでケースを開き、SSH 公開鍵ファイルをケースに添付し SSH 鍵認証をリクエストしてください。

(13)

• SAP Concur がパスワードをお尋ねすることは決してありません。 • パスワードは共有しないでください。

NOTE: 新しい SAP Concur アカウントは SSH 鍵認証で SFTP を使用する必要があり、2020

年 12 月 7 日以降、既存のアカウントは SSH 鍵認証で SFTP を使用する必要があります。

st.concursolutions.com（12.129.29.5）のアクセス制御リスト

接続はパブリック（インターネットルーティング可能）IP アドレスから発信され、IP アドレスはアクセス制御リスト（ACL）上に存在している必要があります。SAP Concur に、インターネットへのルーティングが可能なパブリック IP アドレスを提供し、そこからファイルを転送するために接続します。SAP Concur ACL に存在しない IP アドレスからのアクセス試行は、無効な資格情報または接続拒否メッセージが表示され失敗します。Concur は、運用システムとテストシステムの両方を組み合わせた場合、お客様ごとに合計約 10 個の IP アドレスを格納します。適切なサイズの IP 範囲は、ビジネスケースがお客様から提示され、SAP Concur が承認したときに許可されます。

タイムアウト

SAP Concur との間でファイルを転送した後、接続を切断してください。長時間アイドル状態の接続はタイムアウトになります。

ポーリング

サービス運用妨害（DoS 攻撃）や、ファイル転送のパフォーマンスに悪影響を与える可能性があるため、SAP Concur に対して繰り返し認証しないようにしてください。SAP Concur は、1 時間に 2 回以下の接続を推奨しています。

(14)

アカウントのロック

認証に 5 回連続で失敗すると、ユーザーアカウントがロックされます。お客様にはアカウントがロックされたというメッセージは表示されず、アカウントのロック後でも、間違ったパスワードを入力しているように見えます。アカウントがロックアウトされてしまったお客様は、SAP Concur サポートに問い合わせて、アカウントのロックを解除してください。

SSH 鍵認証（SFTP）

• 鍵は RSA 形式でなければなりません（2048～4096 ビット、2048 を推奨）。 • 新しいファイル転送アカウントの場合、SSH 公開鍵ファイルを SAP Concur に提供します。 • 既存のアカウントの場合、SAP Concur サポートポータルでケースを開き、SSH 鍵認証をリクエストして、SSH 公開鍵ファイルをケースに添付します。

FTPS SSL 証明書の認証

• TLS（SSL）プロトコル（FTPS は新しいアカウントでは設定できません。2020 年 12 月 7 日以降、既存の FTPS アカウントは、SSH 鍵認証で SFTP を使用する必要があります。）

NOTE: SAP Concur SSL 証明書は、チェーン「C=US/O=DigiCert

Inc/OU=www.digicert.com/CN=DigiCert High Assurance CA-3」「/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert High Assurance EV Root CA」によって署名されています。

• 少なくとも、ルート証明書を信頼する必要があります。ほとんどのお客様の SSL 証明書バンドルには、証明書の認証が含まれます。特に対応の必要はありません。

FTPS クライアント証明書の認証

• FTPS クライアント証明書の認証は新しいアカウントでは設定できません。2020 年 12 月 7 日以降、既存の FTPS アカウントは、SSH 鍵認証で SFTP を使用する必要があります。

(15)

• SSL 証明書を SAP Concur（x.509 pem 形式）のルートディレクトリにアップロードします。 • SAP Concur に既知でない場合は、SSL 証明書（ルートおよび中間）に署名する認証局の公開鍵が必要です。 • SAP Concur サポートポータルでケースを開き、FTPS クライアント証明書の認証をリクエストして、アップロードした SSL 鍵のファイル名を入力します。

ディレクトリ構造

各お客様やベンダーは、独自のディレクトリ構造で設定されています。他のディレクトリをまたぐ機能はありません。 NOTE: すべてのファイルは、14 日後にお客様とベンダーのファイル転送ディレクトリから削除 されます。 “/” • ここに PGP 公開鍵をアップロードします。Concur によって作成されたファイルは、この鍵で暗号化されます。

• SAP Concur PGP 公開鍵の「concursolutions.asc」をダウンロードします。処理のために Concur にアップロードするすべてのファイルは、この鍵で暗号化する必要があります。 “/in” • 適切に名前がつけた、処理する必要がある暗号化ファイルのみをアップロードしてください。 • SAP Concur ファイル処理プロセスは、アップロードが正常に終了したときに開始されます。そのため、ファイルの名前変更やアップロードの繰り返しは許可されていません。

(16)

• SAP Concur によって作成されたファイル（抽出など）は、PGP 鍵で暗号化され、ダウンロードのためにここに配置されます。

セクション 4:

ファイル形式の仕様

テキストエンコード

テキストとしてアップロードされたファイルはすべて、バイトオーダーマーク (0xef 0xbb 0xbf) 付きの UTF-8 または ASCII としてエンコードする必要があります。

ファイルサイズ

アップロードするファイルサイズは、非圧縮で最大 1GB 以下に収める必要があります。

ファイルの命名 – お客様向け

• ファイルタイプ • エンティティ ID • 一意の視覚的識別子 NOTE: 一意の視覚的識別子はシステムによって評価されませんが、ファイルを識別する ときに役立ちます。これは必須ではありません。 • 日時スタンプ NOTE: 推奨される形式は YYYYMMDDHHMMSS です。 • ファイル名には、英数字、マイナス記号（-）、アンダースコア（_）、ドット（.）のみを使用する必要があります • ファイル名にスペースは使用できません

(17)

インポートファイルの命名サンプル

以下にリストされていないファイルタイプがあり、ファイルの命名についてさらに支援が必要な場合は、SAP Concur サポートにお問い合わせください。 インポートタイプ サンプルファイル名 同席者のインポート attendee_t0001234uv1w_sample_20051206095621.txt.pgp 従業員インポート employee_t0001234uv1w_sample_20051206095621.txt.pgp リストインポート list_t0001234uv1w_test_20051206095621.txt.pgp 出張手当インポート perdiem_t0001234uv1w_test_20051206095621.txt.pgp 為替レートインポート currency_t0001234uv1w_sample_20051206095621.txt.pgp

抽出ファイルの命名サンプル

以下にリストされていないファイルタイプがあり、抽出ファイルについてさらに理解を深めるために支援が必要な場合は、SAP Concur サポートにお問い合わせください。 抽出タイプ サンプルファイル名 AMEX 送金 US extract_IBCP_t00022598yzv_yyyymmddhhmmss.txt.pgp AP/GL 抽出 extract_CES_SAE_v2_t00022598yzv_yyyymmddhhmmss.txt.pgp 標準 Concur Pay extract_cp_t00022598yzv_yyyymmddhhmmss.txt.pgp 標準出張申請 extract_Travel_Request_Extract_t00022598yzv_yyyymmddhhmmss.txt.pgp

(18)

NOTE: ファイル名にスペースは使用できません

PGP 鍵

すべてのファイルは PGP で暗号化する必要があります。SAP Concur は、お客様のテスト環境と本番環境につき１つの鍵のみをサポートしています。

SAP Concur から /out ディレクトリに提供されるファイルは、PGP 鍵を使用して OpenPGP で暗号化されます。

PGP 鍵を作成する

• OpenPGP 準拠のソフトウェアを使用します • PGP 公開鍵は OpenPGP（バージョン 4）としてフォーマットする必要があります • ASCII 装甲鍵がサポートされています • 公開署名鍵と暗号化サブ鍵が必要です（GnuPG によって生成される既定のものなど） • 鍵は DSS/ElGamal（1024-3072 ビット、2048 推奨）または RSA タイプ 1（署名および暗号化、1024-4096 ビット、2048 推奨）のいずれかである必要があります • 鍵を無期限に設定する以下は、SAP Concur で現在サポートされている暗号化、ハッシュ、圧縮アルゴリズムのリストです。SAP Concur PGP 鍵にある設定を使用することをお勧めしますが、ファイルを暗号化するときにこれらのアルゴリズムを明示的に使用することもできます。また、SAP Concur が暗号化するファイルの公開鍵署名の設定としてそれらを設定することもできます。

(19)

タイプ 対応リスト 暗号 • 3DES • CAST5 • BLOWFISH • AES • AES192 • AES256 • TWOFISH • CAMELLIA128 • CAMELLIA192 • CAMELLIA256 ハッシュ • MD5 • SHA1 • RIPEMD160 • SHA256 • SHA384 • SHA512 • SHA224 圧縮 • 非圧縮 • ZIP • ZLIB • BZIP2

PGP 鍵をアップロードするには

(20)

• SAP Concur は、成功した PGP 鍵リングの追加のテストとして、インポートされた PGP 鍵の鍵 ID とフィンガープリントを提供します。SAP Concur から正しい鍵 ID を受け取ると、PGP 鍵を使用開始できます

SAP Concur の PGP 鍵を使用するには

SAP Concur にアップロードされたファイルは、SAP Concur が提供する PGP 公開鍵で暗号化する必要があります。SAP Concur に送信する OpenPGP ファイルへの署名を選択する場合、 PGP 鍵がすでにある状態である必要があります。 • ルートディレクトリから「concursolutions.asc」をダウンロードします。 • このファイルを SAP Concur 公開 PGP としてシステムにインポートします。 • この鍵を使用して、SAP Concur にアップロードするすべてのファイルを暗号化します。

セクション 5:

トラブルシューティング

よく発生する問題 / エラー

よく発生する問題 対処法

SAP Concur Access Control List（ACL）にない IP アドレスから接続を試行し、米国の環境

(st.concursolutions.com, 12.129.29.5) にログインできない

SAP Concur ACL に登録されている IP アドレスから接続する必要があります。最初にゲートウェイ（外部 / パブリック IP）アドレスを確認してください。ファイルをアップロードする際に、テンポラリファイルとして一時保存してから、指定のファイル名に変更するテンポラリファイルとして一時保存してから、指定のファイル名に変更することはできません。アップロードするファイルは、正しいファイル名を付けてから /in ディレクトリにアップロードする必要があります。テンポラリファイルを作成する設定が既定で有効になっている可能性がありますので、クライアントソフトウェアの設定を確認してください。

(21)

よく発生する問題 対処法 無効な PGP 公開鍵バージョン 3 の鍵や、アルゴリズム RSA タイプ 2（暗号化のみ）または 3（署名のみ）は明示的に受け入れることができません。 SAP Concur にアップロードしたファイルがクライアントの PGP 公開鍵で暗号化されている SAP Concur にアップロードするファイルは、 SAP Concur の PGP 公開鍵で暗号化する必要があります。詳細については、本ドキュメントの「PGP 鍵」セクションをご参照ください。安全でない SSH プロトコルアルゴリズム / 暗号を使用して SAP Concur に接続する SAP Concur で許可されていない、安全でないアルゴリズム / 暗号を使用しようとしている場合、接続は許可されません。ファイル転送ソフトウェアは、共通のアルゴリズム / 暗号に基づいて、使用するものを自動的に選択することをお勧めします。互換性のあるものを選ぶには、ソフトウェアを最新バージョンにアップグレードする必要がある場合があります。 5 回連続してログインに失敗すると、アカウントはロックされます。アカウントがロックされていると、不正なパスワードとエラーが表示される場合があります。 SAP Concur サポートに問い合わせてアカウントのロックを解除してください。