SAP Procurement ソリューションの認証を構成する

SAP ERP コネクター は、複数の人々がアプリケーションに一度にアクセスして使用できるように設計されているため、接続は共有されません。 ユーザーの資格情報は接続で提供され、SAP システムへの接続に必要な追加の詳細 (サーバーの詳細、セキュリティ構成など) はアクションの一部として提供されます。

シングル サインオン (SSO) を有効にすると、SAP で構成されたユーザー レベルのアクセス許可を順守しながら、SAP からのデータを簡単に更新できます。 簡素化された ID およびアクセス管理に対して SSO を設定するには、いくつかの方法があります。

SAP ERP コネクタは、次の認証タイプをサポートしています:

詳細情報:

• Microsoft Entraドキュメント
• SAP ID およびアクセス管理 (IAM) ヘルプ ポータル

手順 1: Kerberos の制約付き委任を構成する

Kerberos の制約付き委任 (KCD) は、資格情報を何度も要求することなく、管理者によって許可されたリソースへの安全なユーザー アクセスまたはサービス アクセスを提供します。 Kerberos の制約付き委任は、Windows および Microsoft Entra ID 認証に構成する必要があります。

サービス プリンシパル名 (SPN) (SetSPN) を使用して、ゲートウェイ Windows サービスをドメイン アカウントとして実行します。

構成タスク:

1. ゲートウェイ サービス アカウントの SPN を構成します。 ドメイン 管理者 として、Windowsに付属しており、委任を有効にする Setspn ツール を使用します。

2. ゲートウェイのコミュニケーション設定を調整します。 アウトバウンド Microsoft Entra ID 接続を有効にし、通信を確保するためにファイアウォールとポートの設定を確認します。

3. 標準の Kerberos の制約付き委任を構成します。 ドメイン 管理者 として、サービスのドメイン アカウントを構成して、アカウントが単一のドメインで実行されるように制限します。

4. ゲートウェイ コンピューターでゲートウェイ サービス アカウントのローカル ポリシー権限を付与します。

5. Windows 認証およびアクセス グループにゲートウェイ サービス アカウントを追加します。

6. ゲートウェイ コンピューターでユーザー マッピングの構成パラメーターを設定します。

7. ゲートウェイ サービス アカウントをドメイン アカウントに変更します。 標準のインストールでは、ゲートウェイは、既定のコンピューターのローカル サービス アカウント、NT Service\PBIEgwServiceとして実行されます。 SSO の Kerberos チケットを容易にするために、ドメイン アカウントとして実行する必要があります。

詳細情報:

• Kerberos の制約付き委任の概要
• オンプレミス データ ソースへの Kerberos ベースの SSO を構成する

手順 2: CommonCryptoLib (sapcrypto.dll) を使用できるよう SAP ERP を構成する

SSO を使用して SAP サーバーにアクセスするには、次のことを確認してください:

• SAP サーバーの SNC (Secure Network Communication) ライブラリとして CommonCryptoLib を使用して、Kerberos SSO を構成する場合です。
• SNC 名は CN で始まります。

1. SAP スタート パッドから 64 ビット版の CommonCryptoLib (sapcrypto.dll) バージョン 8.5.25 またはそれ以降を ダウンロード し、自分のゲートウェイ コンピューター上のフォルダーにコピーします。

2. sapcrypto.dll をコピーしたのと同じディレクトリに、次の内容が含まれた sapcrypto.ini という名前のファイルを作成します。

   ccl/snc/enable_kerberos_in_client_role = 1

   .ini ファイルには、ゲートウェイ シナリオで SSO を有効にするために CommonCryptoLib が必要とする構成情報が含まれています。 パス (c:\sapcryptolib\ など) には sapcrypto.ini と sapcrypto.dll の両方が含まれることを確認してください。 .dll と .ini ファイルは同じ場所に存在する必要があります。

3. .ini ファイルと .dll ファイルの両方に 認証されたユーザー グループへのアクセス許可を付与します。 サービス ユーザーが偽装するゲートウェイ サービス ユーザーと Active Directory (AD) ユーザーの両方に、両方のファイルに対する 読み取り および 実行 アクセス許可が必要です。

4. CCL_PROFILE システム環境変数を作成し、その値をパス sapcrypto.ini に設定します。

5. ゲートウェイ サービスを再起動します。

詳細: CommonCryptoLib を使用して SAP BW への SSO に Kerberos シングル サインオンを使用する

手順 3: Azure AD および Windows 認証に対する SAP SNC を有効にする

SAP ERP コネクタは、SAP の Secure Network Communication (SNC) を有効にすることで、Microsoft Entra ID および Windows Server AD 認証をサポートします。 SNC は、部セキュリティ製品へのインターフェイスを提供する SAP システム アーキテクチャのソフトウェア レイヤーで、SAP 環境への安全なシングル サインオンを確立できるようにします。 次のプロパティ ガイダンスはセットアップに役立ちます。

ユーザーの SAP SNC 名は、ユーザーの Active Directory 完全修飾ドメイン名と同じである必要があります。 たとえば、p:CN=JANEDOE@REDMOND.CORP.CONTOSO.COM は JANEDOE@REDMOND.CORP.CONTOSO.COM に等しいとします。

手順 4: アクションを許可するよう SAP サーバーとユーザー アカウントを設定する

リモート ファンクション コール (RFC)、ビジネス アプリケーション プログラミング インターフェイス、中間ドキュメント (IDOC) などのアクションタイプごとに、サポートされるユーザーアカウントの種類と最低限必要な権限については、SAP Note 460089 - 外部 RFC プログラムのための最小限の認可プロファイル をご覧ください。

SAP ユーザー アカウントは、次の操作のために RFC_Metadata 関数グループとそれぞれの関数モジュールにアクセスする必要があります:

関連するコンテンツ

• [SAP シングル サインオン](https://help.sap.com/docs/SAP_SINGLE_SIGN-ON
• SAP シングル サインオンの安全なログイン実装ガイド
• SAP ID およびアクセス管理 (IAM) ヘルプ ポータル
• SAP ERP コネクタ
• Azure Logic Apps SAP コネクタ
• データ消失防止 (DLP) ポリシー
• ハイブリッド アーキテクチャ デザイン

次のステップ

SAP Procurement テンプレートのインストール

参照

SAP Procurement テンプレートを使い始める