Power Platform で SAP プリンシパル伝達と SSO を有効にする

ロー コード ソリューションで SAP インターフェイスを操作できることは、お客様にとっての共通の要件です。

この記事では、OData と従来の RFC/BAPI インターフェイスを介して SAP システムを操作するために必要な基本構成とコンポーネントについて説明します。

この記事では、SAP バックエンド ユーザーを対象にした、Power Platform での Microsoft Entra ID を使用した安全な承認に重点を置いて説明をします。 このメカニズムは、多くの場合、SAP プリンシパル伝達と呼ばれます。 詳細については、こちらのコミュニティの投稿を参照してください。

Power Platform の SAP ERP コネクタ

SAP ERP コネクタ (RFC/BAPI) は、複数のユーザーが一度に 1 つのアプリケーションにアクセスして使用できるように設計されているため、接続は共有されません。 ユーザーの資格情報は接続で提供され、SAP システムへの接続に必要な追加の詳細 (サーバーの詳細、セキュリティ構成など) はアクションの一部として提供されます。

シングル サインオン (SSO) を有効にすると、SAP で構成されたユーザー レベルのアクセス許可を順守しながら、SAP からのデータを簡単に更新できます。 簡素化された ID およびアクセス管理に対して SSO を設定するには、いくつかの方法があります。

詳細については、Power Platform のドキュメントを参照してください。

Power Platform の SAP OData コネクタ

SAP OData コネクタを使用すると、SAP エコシステムから任意の OData サービスを使用できます。

SAP プリンシパル伝達を有効にすると、SAP で構成されたユーザー レベルのアクセス許可に従いながら、データを簡単に操作できます。

サポートされている認証の種類の詳細については、Power Platform のドキュメントを参照してください。

SAP プリンシパル伝達のガイダンス

プリンシパル伝達は、SAP エコシステムで確立されたメカニズムです。 SAP OData コネクタは、クライアント ID 6bee4d13-fd19-43de-b82c-4b6401d174c3 とスコープ user_impersonation を使用してファーストパーティの Entra ID アプリ登録を提供することで、このメカニズムをサポートします。 フィールド Microsoft Entra ID Resource URI (Application ID URI) を使用して、SAP OData サービスへのアクセスが承認された Entra ID アプリ登録のグローバルに一意なリソース URI を維持します。

説明されている構成は、Azure API Management、SAP Gateway、SAP OAuth 2.0 Server with AS ABAP、OData ソースに焦点を置いたものですが、使用されている概念は Web ベースの任意のリソースに当てはまります。

詳細については、この Power Platform コミュニティの記事を参照してください。

SAP で必要な Entra ID トークン交換 (OAuth2SAMLBearer フロー) では、API Management ソリューションを使用することをお勧めします。 Azure API Management での最初の手順の詳細については、こちらの Microsoft Learn 記事を参照してください。

次のステップ

API Management を使用した SAP プリンシパルの伝達について詳しく理解する | ブログ

Azure API Management で SAP OData API を操作する | Microsoft Learn

Application Gateway と API Management で API を保護する | Microsoft Learn

内部仮想ネットワーク内の API Management を Application Gateway と統合する | Microsoft Learn

SAP 用の Azure Application Gateway と Web アプリケーション ファイアウォールを理解する | ブログ