NetWeaver AS ABAP 7.0 以降を使用して、SAP ECC にユーザーをプロビジョニングするように Microsoft Entra ID を構成する

  • [アーティクル]

次のドキュメントには、NetWeaver 7.0 以降を使用して、Microsoft Entra ID から SAP ERP Central Component (SAP ECC、旧称 SAP R/3) にユーザーをプロビジョニングする方法を示す構成とチュートリアル情報があります。 ほかのバージョンの SAP R/3 を使用している場合でも、Connectors for Microsoft Identity Manager 2016 のダウンロードで提供されているガイドを参照し、プロビジョニング用の独自のテンプレートを作成できます。 SAP S/4HANA またはその他の SAP SaaS アプリケーションを使用している場合は、代わりに、チュートリアルに従って、自動ユーザー プロビジョニング用の SAP Cloud Identity Services を構成します。 SAP 統合の詳細については、「SAP アプリケーションへのアクセスを管理する」を参照してください。

次のビデオでは、オンプレミス プロビジョニングの概要を紹介しています。

サポートされる機能

  • SAP ECC でユーザーを作成します。
  • アクセスが不要になったユーザーを SAP ECC で削除します。
  • Microsoft Entra ID と SAP ECC の間でユーザー属性の同期を維持します。

対象範囲外

  • ローカル アクティビティ グループ、ロール、プロファイルなど、その他のオブジェクトの種類はサポートされていません。 これらのオブジェクトが必要な場合は、Microsoft Identity Manager を使用します。
  • パスワード操作はサポートされません。 パスワード管理が必要な場合は、Microsoft Identity Manager を使用します。

NetWeaver AS ABAP 7.51 を使用して SAP ECC にプロビジョニングするための前提条件

オンプレミスの前提条件

プロビジョニング エージェントを実行するコンピューターには、次のものが必要です。

  • 少なくとも 3 GB の RAM。
  • Windows Server 2016 以降のバージョンの Windows Server。
  • SAP ECC NetWeaver AS ABAP 7.51 を使用したシステムへの接続
  • login.microsoftonline.com、その他の Microsoft Online ServicesAzure ドメインへの送信接続。 1 つの例は、Azure IaaS でホストされているか、またはプロキシの背後にある Windows Server 2016 仮想マシンです。
  • .NET Framework 4.7.2

クラウドの要件

  • Microsoft Entra ID P1 あるいは Premium P2 (または EMS E3 または E5) を使用する、Microsoft Entra テナント。

    この機能を使用するには、Microsoft Entra ID P1 ライセンスが必要です。 自分の要件に適したライセンスを探すには、「一般提供されている Microsoft Entra ID の機能の比較」を参照してください。

  • プロビジョニング エージェントを構成するためのハイブリッド ID 管理者ロールと、Microsoft Entra 管理センターでプロビジョニングを構成するためのアプリケーション管理者またはクラウド アプリケーション管理者ロール。

  • SAP ECC にプロビジョニングされる Microsoft Entra ユーザーには、SAP ECC で必要な属性が既に設定されている必要があります。

1.Microsoft Entra Connect プロビジョニング エージェントをインストールして構成する

プロビジョニング エージェントを既にダウンロードし、別のオンプレミス アプリケーション用に構成している場合は、次のセクションに進んでください。

  1. Microsoft Entra 管理センターにサインインします。
  2. [エンタープライズ アプリケーション] に移動し、[新規アプリケーション] を選択します。
  3. オンプレミスの ECMA アプリ アプリケーションを検索し、アプリに名前を付けて、[作成] を選択してテナントに追加します。
  4. メニューから、アプリケーションの [プロビジョニング] ページに移動します。
  5. [Get started](作業を開始する) を選択します。
  6. [プロビジョニング] ページで、モードを [自動] に変更します。

[自動] を選択しているスクリーンショット。

  1. [オンプレミス接続] で、[ダウンロードしてインストール] を選択し、[条項に同意してダウンロード] を選択します。

  2. ポータルから移動してプロビジョニング エージェント インストーラーを実行し、サービス使用条件に同意して、[インストール] を選びます。

  3. Microsoft Entra プロビジョニング エージェント構成ウィザードを待ってから、[次へ] を選択します。

  4. [拡張機能を選択] ステップで、[オンプレミス アプリケーションのプロビジョニング] を選択し、[次へ] を選択します。

  5. プロビジョニング エージェントは、オペレーティング システムの Web ブラウザーを使用して、Microsoft Entra ID (および場合によっては組織の ID プロバイダー) に対する認証を行うためのポップアップ ウィンドウを表示します。 Windows Server でブラウザーとして Internet Explorer を使用している場合は、JavaScript を正しく実行できるように、ブラウザーの信頼済みサイト リストに Microsoft Web サイトを追加する必要がある場合があります。

  6. 承認を求められたら、Microsoft Entra 管理者の資格情報を入力します。 ユーザーは、少なくともハイブリッド ID 管理者ロールを持っている必要があります。

  7. [Confirm] を選択して設定を確認します。 インストールが成功したら、[終了] を選択し、プロビジョニング エージェント パッケージ インストーラーも閉じます。

2.必要な SAP API を公開する

ユーザーの作成、更新、削除に必要な API を SAP ECC NetWeaver 7.51 で公開します。 Deploying SAP NetWeaver AS ABAP 7.pdf という名前の Connectors for Microsoft Identity Manager 2016 ファイルでは、必要な API を公開する方法について説明します。

3.Web サービス コネクタのテンプレートを作成する

MIM の既存の Web サービス コネクタからの移行ではない場合、ECMA ホスト用の Web サービス コネクタのテンプレートを作成する必要があります。 MIM からの Web サービス コネクタのテンプレートが既にある場合は、次のセクションに進みます。

テンプレートを構築するためのリファレンスとして、Connectors for Microsoft Identity Manager 2016 ガイド Authoring SAP ECC 7 Template for ECMA2Host.pdf を参照して、テンプレートを作成できます。 Connectors for Microsoft Identity Manager 2016 では、参照用にテンプレート sapecc.wsconfig も提供されています。 運用環境にデプロイする前に、特定の環境のニーズに合わせてテンプレートをカスタマイズする必要があります。 ServiceNameEndpointNameOperationName が正しいことを確認します。

4. オンプレミスの ECMA アプリを構成する

  1. ポータルの [オンプレミスの接続] セクションで、デプロイしたエージェントを選択し、[エージェントの割り当て] を選択します。

    エージェントを選択して割り当てる方法を示すスクリーンショット。

  2. このブラウザー ウィンドウを開いたままにして、構成ウィザードを使用して構成の次の手順を完了します。

5.Microsoft Entra ECMA コネクタ ホストの証明書を構成する

  1. プロビジョニング エージェントがインストールされている Windows Server で、スタート メニューから Microsoft ECMA2Host 構成ウィザードを右クリックし、管理者として実行します。 ウィザードで必要な Windows イベント ログを作成するには、Windows 管理者として実行する必要があります。

  2. このウィザードを初めて実行する場合は、ECMA Connector Host 構成の開始後に証明書の作成を求められます。 既定のポート 8585 のままにし、[証明書の生成] を選択して証明書を生成します。 自動生成された証明書は、信頼ルートの一部として自己署名されます。 証明書の SAN はホスト名と一致します。

    設定の構成を示すスクリーンショット。

  3. [保存] を選択します。

6.汎用 Web サービス コネクタを構成する

このセクションでは、SAP ECC のコネクタ構成を作成します。

SAP ECC への接続の構成は、ウィザードを使用して行います。 選択するオプションによっては、ウィザードの一部の画面を使用できない場合があり、情報も多少異なる可能性があります。 次の情報を使用して構成を進めます。

6.1 プロビジョニング エージェントを SAP ECC に接続する

Microsoft Entra プロビジョニング エージェントを SAP ECC に接続するには、次の手順に従います。

  1. Web サービス コネクタのテンプレート ファイル sapecc.wsconfigC:\Program Files\Microsoft ECMA2Host\Service\ECMA フォルダーにコピーします。

  2. コネクタに対する Microsoft Entra ID の認証のために使用するシークレット トークンを生成します。 これは、アプリケーションごとに最小 12 文字で、一意である必要があります。

  3. まだ実行していない場合は、Windows スタート メニューから Microsoft ECMA2Host 構成ウィザードを起動します。

  4. [新しいコネクタ] を選択します。

    新しいコネクタの選択を示すスクリーンショット。

  5. [プロパティ] ページでは、画像の下にある表に指定される値をボックスに入力し、 [次へ] を選択します。

    プロパティの入力を示すスクリーンショット。

    プロパティ
    名前 コネクタに対して選択した名前。これは、環境内のすべてのコネクタで一意である必要があります。 たとえば、SAP インスタンスが 1 つしかない場合は、SAPECC7 です。
    AutoSync タイマー (分) 120
    シークレット トークン このコネクタ用に生成したシークレット トークンを入力します。 キーは 12 文字以上である必要があります。
    拡張 DLL Web サービス コネクタで、[Microsoft.IdentityManagement.MA.WebServices.dll] を選択します。

  6. [接続性] ページでは、画像の下にある表に指定される値をボックスに入力し、 [次へ] を選択します。

    [接続性] ページを示すスクリーンショット。

    プロパティ 説明
    Web サービス プロジェクト SAP ECC テンプレート名 (sapecc) です。
    Host SAP ECC SOAP エンドポイント ホスト名 (vhcalnplci.dummy.nodomain など)
    ポート SAP ECC SOAP エンドポイント ポート (8000 など)

  7. [機能] ページでは、下にある表に指定される値をボックスに入力し、[次へ] を選択します。

    プロパティ
    識別名の様式 ジェネリック
    エクスポートの種類 ObjectReplace
    データの正規化 None
    オブジェクト確認 標準
    インポートの有効化 オン
    デルタ インポートの有効化 オフ
    エクスポートの有効化 オン
    完全エクスポートの有効化 オフ
    最初のパスのエクスポート パスワードの有効化 オン
    最初のエクスポート パスに参照値なし オフ
    オブジェクトの名前変更の有効化 オフ
    置換として削除/追加 オフ

Note

Web サービス コネクタ テンプレート sapecc.wsconfig が Web サービス構成ツールで編集用に開かれている場合は、エラーが発生します。

  1. [グローバル] ページでは、画像の下にある表に指定される値をボックスに入力し、[次へ] を選択します。

    プロパティ
    ClientCredentialType Basic
    ユーザー名 SAP ECC テンプレートで使用される BAPI に対する呼び出しを行う権限を持つアカウントのユーザー名。
    Password 指定したユーザー名のパスワード。
    接続をテスト テンプレートにテスト接続ワークフローが実装されていない場合はオフ

  2. [パーティション] ページで [次へ] を選択します。

  3. [プロファイルの実行] ページで [エクスポート] チェックボックスを選択したままにします。 [フル インポート] チェックボックスを選択して、 [次へ] を選択します。 エクスポート実行プロファイルは、ECMA コネクタ ホストが Microsoft Entra ID から SAP ECC に変更を送信し、レコードの挿入、更新、削除を行う必要がある場合に使用されます。 完全インポート実行プロファイルは、ECMA コネクタ ホスト サービスの開始時に、SAP ECC の現在のコンテンツを読み取るために使用されます。

    プロパティ
    エクスポート データを SAP ECC インスタンスにエクスポートする実行プロファイル。 この実行プロファイルは必須です。
    フル インポート 前に指定した SAP ECC インスタンスからすべてのデータをインポートする実行プロファイル。
    差分インポート 最後のフルまたは差分インポート以降の SAP ECC インスタンスからの変更のみをインポートする実行プロファイル。

  4. [オブジェクトの種類] ページで、ボックスに入力し、 [次へ] を選択します。 個々のボックスのガイダンスについては、画像の下にある表を参照してください。

    • アンカー: この属性の値は、ターゲット システム内のオブジェクトごとに一意である必要があります。 Microsoft Entra プロビジョニング サービスでは、初期サイクル後、この属性を使用して ECMA コネクタ ホストに対してクエリを実行します。 この値は、Web サービス コネクタ テンプレートで定義されます。

    • DN: ほとんどの場合、Autogenerated オプションを選択する必要があります。 オフになっている場合は、CN = anchorValue, Object = objectType という形式で DN が格納されている Microsoft Entra ID の属性に、DN 属性がマップされるようにします。 アンカーと DN の詳細については、「アンカー属性と識別名について」を参照してください。

      プロパティ
      ターゲット オブジェクト User
      アンカー userName
      DN userName
      自動生成 オン

  5. ECMA コネクタ ホストにより、SAP ECC がサポートする属性が検出されます。 次に、検出された属性のうち、Microsoft Entra ID に公開する属性を選択できます。 プロビジョニングのために、これらの属性を Microsoft Entra 管理センターで構成できます。 [属性の選択] ページで、ドロップダウン リストのすべての属性を 1 つずつ追加します。 [属性] ドロップダウン リストには、SAP ECC で検出され、以前の [属性の選択] ページでは選択されなかった属性が示されます。 関連するすべての属性が追加されたら、[次へ] を選択します。

    [属性の選択] ページを示すスクリーンショット。

  6. [プロビジョニング解除] ページの [フローを無効化][削除] を選択します。 前のページで選択した属性を [プロビジョニング解除] ページで選択することはできません。 [完了] を選択します。

注意

[Set attribute value](Set 属性値)を使用すると、ブール値のみが許可されることに注意してください。

[プロビジョニング解除] ページの [フローを無効化] で [なし] を選択します。 expirationTime プロパティを使用して、ユーザー アカウントの状態を制御します。 [フローの削除] で、SAP ユーザーを削除しない場合は [なし] を選択し、削除する場合は [削除] を選択します。 完了 を選択します。

7. ECMA2Host サービスが実行されていることを確認する

  1. Microsoft Entra ECMA コネクタ ホストを実行しているサーバーで、[開始] を選択します。

  2. 「run」 と入力し、ボックスに 「services.msc」 と入力します。

  3. サービス リストで、Microsoft ECMA2Host が確実に存在し、実行中であるようにします。 そうでない場合は、 [開始] を選択します。

    サービスが稼働中であることを示すスクリーンショット。

  4. 最近サービスを開始し、SAP ECC に多数のユーザー オブジェクトがある場合は、コネクタが SAP ECC との接続を確立するまで数分待ってください。

8.Microsoft Entra 管理センターでアプリケーション接続を構成する

  1. アプリケーション プロビジョニングを構成していた Web ブラウザー ウィンドウに戻ります。

    注意

    ウィンドウがタイムアウトした場合は、エージェントを再選択する必要があります。

    1. Microsoft Entra 管理センターにサインインします。
    2. [エンタープライズ アプリケーション][On-premises ECMA app](オンプレミス ECMA アプリ) アプリケーションに移動します。
    3. [プロビジョニング] を選択します。
    4. [作業の開始] を選択して、モードを [自動] に変更し、[オンプレミス接続] セクションで、デプロイしたエージェントを選択し、[エージェントの割り当て] を選択します。 それ以外の場合は、[プロビジョニングの編集] に移動します。

  2. [管理者資格情報] セクションで、次の URL を入力します。 {connectorName} の部分を ECMA コネクタ ホスト上のコネクタの名前 (SAPECC7 など) に置き換えます。 コネクタ名は大文字と小文字が区別され、ウィザードで構成したのと同じ大文字と小文字の区別にする必要があります。 localhost をマシンのホスト名に置き換えることもできます。

    プロパティ
    テナントの URL https://localhost:8585/ecma2host_SAPECC7/scim

  3. コネクタの作成時に定義したシークレット トークンの値を入力します。

    Note

    アプリケーションにエージェントを割り当てたばかりの場合は、登録が完了するまで 10 分間お待ちください。 登録が完了するまで、接続テストは機能しません。 サーバーでプロビジョニング エージェントを再起動してエージェントの登録を強制的に完了すると、登録プロセスを高速化することができます。 サーバーに移動して、Windows 検索バーでサービスを検索し、Microsoft Entra Connect プロビジョニング エージェント サービスを見つけたら、サービスを右クリックして再起動します。

  4. [接続のテスト] をクリックし、1 分待ちます。

  5. 接続テストが成功し、指定された資格情報が認証されてプロビジョニングが有効になったことが示されたら、[保存] を選択します。

    エージェントのテストを示すスクリーンショット。

9. 属性マッピングを構成する

次に、Microsoft Entra ID のユーザーの表現と、SAP ECC のユーザーの表現との間で、属性をマップします。

Microsoft Entra 管理センターを使用して、Microsoft Entra ユーザーの属性と、ECMA ホスト構成ウィザードで前に選んだ属性との間のマッピングを構成します。

  1. Microsoft Entra スキーマに、SAP ECC によって必要とされる属性が含まれていることを確認します。 ユーザーに属性があることが要求され、その属性がユーザーの Microsoft Entra スキーマにまだ含まれていない場合は、ディレクトリ拡張機能を使用して、その属性を拡張機能として追加する必要があります。

  2. Microsoft Entra 管理センターの [エンタープライズ アプリケーション] で、[オンプレミスの ECMA アプリ] アプリケーション、[プロビジョニング] ページの順に選択します。

  3. [プロビジョニングの編集] を選択し、10 秒待ちます。

  4. [マッピング] を展開し、[Microsoft Entra ユーザーのプロビジョニング] を選びます。 このアプリケーションの属性マッピングを初めて構成した場合、プレースホルダーのマッピングは 1 つだけ存在します。

    ユーザーのプロビジョニングを示すスクリーンショット。

  5. SAP ECC のスキーマが Microsoft Entra ID で使用可能であることを確認するには、[詳細オプションの表示] チェック ボックスをオンにし、[ScimOnPremises の属性リストの編集] を選択します。 構成ウィザードで選択したすべての属性が一覧表示されていることを確認します。 そうでない場合は、スキーマが更新されるまで数分待ってから、ページを再読み込みします。 属性が一覧表示されたら、このページをキャンセルしてマッピングの一覧に戻ります。

  6. ここで、userPrincipalName PLACEHOLDER のマッピングをクリックします。 このマッピングは、オンプレミス プロビジョニングを初めて構成するときに既定で追加されます。

プレースホルダーのスクリーンショット。

次のものと一致するように値を変更します。

マッピングの種類 ソース属性 ターゲット属性
直接 userPrincipalName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName

  1. ここで [新しいマッピングの追加] を選択し、マッピングごとに次の手順を繰り返します。

  2. 次の表のマッピングごとにソース属性とターゲット属性を指定します。

    Microsoft Entra 属性 ScimOnPremises 属性 照合の優先順位 このマッピングを適用する
    ToUpper(Word([userPrincipalName], 1, "@"), ) urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:userName 1 オブジェクトの作成中のみ
    Redact("Pass@w0rd1") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:export_password オブジェクトの作成中のみ
    city urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:city 常時
    companyName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:company 常時
    department urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:department 常時
    mail urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:email 常時
    Switch([IsSoftDeleted], , "False", "9999-12-31", "True", "1990-01-01") urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:expirationTime 常時
    givenName urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:firstName 常時
    surname urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:lastName 常時
    telephoneNumber urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:telephoneNumber 常時
    jobTitle urn:ietf:params:scim:schemas:extension:ECMA2Host:2.0:User:jobTitle 常時

  3. マッピングをすべて追加したら、[保存] を選択します。

10。アプリケーションにユーザーを割り当てる

これで Microsoft Entra ECMA コネクタ ホストが Microsoft Entra ID と通信するようになり、属性マッピングが構成されたので、プロビジョニングのスコープに含めるユーザーの構成に進むことができます。

重要

このセクションでは、ハイブリッド ID の管理者ロールを使用してサインインしている場合、一度サインアウトし、少なくともアプリ管理者ロールを持つアカウントでサインインする必要があります。 ハイブリッド ID の管理者の役割には、ユーザーをアプリケーションに割り当てるためのアクセス許可がありません。

SAP ECC に既存のユーザーが存在する場合は、それらの既存のユーザー向けのアプリケーション ロールの割り当てを作成する必要があります。 アプリケーション ロールの割り当てを一括で作成する方法について詳しくは、Microsoft Entra ID でのアプリケーションの既存ユーザーの管理に関する記事をご覧ください。

それ以外の場合、アプリケーションの現在のユーザーが存在しなければ、アプリケーションがプロビジョニングされるテスト ユーザーを Microsoft Entra から選択します。

  1. 選択したユーザーに、SAP ECC スキーマの必須属性にマップされるすべてのプロパティがあることを確認します。

  2. Microsoft Entra 管理センターで [エンタープライズ アプリケーション] を選びます。

  3. [オンプレミスの ECMA アプリ] アプリケーションを選択します。

  4. 左側のウィンドウの [管理] で、 [ユーザーとグループ] を選択します。

  5. [Add user/group](ユーザーまたはグループの追加) を選択します。

    ユーザーの追加を示すスクリーンショット。

  6. [ユーザー][選択なし] を選択します。

    [選択なし] を示すスクリーンショット。

  7. 右側からユーザーを選択し、 [選択] ボタンを選択します。

    [ユーザーの選択] を示すスクリーンショット。

  8. [割り当て] を選択します。

    ユーザーの割り当てを示すスクリーンショット。

11. プロビジョニングをテストする

属性がマップされ、ユーザーが割り当てられたので、ユーザーの 1 人でオンデマンド プロビジョニングをテストできます。

  1. Microsoft Entra 管理センターで [エンタープライズ アプリケーション] を選びます。

  2. [オンプレミスの ECMA アプリ] アプリケーションを選択します。

  3. 左側で プロビジョニング を選択します。

  4. [Provision on demand] (オンデマンドでプロビジョニングする) を選択します。

  5. テスト ユーザーのものを検索し、 [プロビジョニング] を選択します。

    プロビジョニングのテストを示すスクリーンショット。

  6. 数秒後に、ターゲット システムでユーザーが正常に作成されましたというメッセージが表示され、ユーザー属性の一覧が表示されます。

12. ユーザーのプロビジョニングを開始する

  1. オンデマンド プロビジョニングが成功したら、プロビジョニングの構成ページに戻ります。 スコープが割り当てられたユーザーとグループのみに確実に設定されているようにし、プロビジョニングを [オン] にして、 [保存] を選択します。

    プロビジョニングの開始を示すスクリーンショット。

  2. プロビジョニング サービスが開始されるまで最大 40 分待機します。 プロビジョニング ジョブが完了した後、テストが終了している場合は、次のセクションで説明されているように、プロビジョニングの状態を [オフ] に変更し、[保存] を選択できます。 これにより、プロビジョニング サービスは今後実行されなくなります。

プロビジョニング エラーのトラブルシューティング

エラーが表示された場合は、[プロビジョニング ログの表示] を選択します。 [状態] が [失敗] になっている行をログで確認し、その行を選択します。

詳細については、[トラブルシューティングと推奨事項] タブに移動します。

次のステップ