Microsoft Entra ID を SAP Cloud Platform Identity Authentication と統合する

  • 9 分

SAP Cloud Platform Identity Authentication と Microsoft Entra ID を統合すると、次のような利点があります。

  • SAP Cloud Platform Identity Authentication にアクセスできるユーザーをMicrosoft Entra ID で制御できます。
  • ユーザーは、Microsoft Entra アカウントで SAP Cloud Platform Identity Authentication に自動的にサインインできるようになります。
  • 1 つの中央サイト (Azure Portal) でアカウントを管理できます。

Microsoft Entra ID への SAP Cloud Platform Identity Authentication の統合を構成するには、最初に、SAP Cloud Platform Identity Authentication を Microsoft Entra アプリケーション ギャラリーから一連のマネージド SaaS アプリに追加します。

Microsoft Entra ID ベースのシングル サインオンを構成してテストする

次に、以下の一連の手順を使用して、Microsoft Entra ID ベースの SSO を構成してテストする必要があります。

  1. Microsoft Entra のシングル サインオンを構成して、ユーザーがこの機能を使用できるようにします。
  2. SAP Cloud Platform Identity Authentication のシングル サインオンを構成して、アプリケーション側でのシングルサインオンの設定を構成します。
  3. Microsoft Entra ユーザーを SAP Cloud Platform Identity Authentication に割り当てます。

Microsoft Entra シングル サインオンの構成

  1. Azure portal の [SAP Cloud Platform Identity Authentication application integration](SAP Cloud Platform Identity Authentication アプリケーション統合) ページで、[シングル サインオン] を選びます。

  2. [シングル サインオン方式の選択] ページで、[SAML/WS-Fed] モードを選んで、シングル サインオンを有効にします。

  3. [SAML によるシングル サインオンのセットアップ] ページで、[編集] アイコンを選んで、[基本的な SAML 構成] ダイアログを開きます。

  4. [基本的な SAML 構成] セクションで、次の作業を行います。

    • IDP 開始モードを構成するには、SAP Cloud Platform IAS テナント識別子 (エンティティ ID) と対応する応答 URL (Assertion Consumer Service URL) を指定します。
    • SP 開始モードでアプリケーションを構成するには、[追加の URL を設定します] を選んで、サインオン URL を指定します。

これらの値を取得するには、SAP Cloud Platform Identity Authentication クライアント サポート チームに連絡してください。

SAP Cloud Platform Identity Authentication アプリケーションは、特定の形式で構成された SAML アサーションを受け入れます。 givenname、surname、emailaddress、name、一意のユーザー ID など、このアプリケーションに関連するクレームを構成します。 これらの属性の値は、アプリケーション統合ページの [ユーザー属性] セクションで管理できます。

SAP Cloud Platform Identity Authentication のシングル サインオンを構成する

アプリケーション用に SSO を構成するために、SAP Cloud Platform Identity Authentication 管理コンソールに移動します。 [Identity Providers](ID プロバイダー) で、[Corporate Identity Providers](企業 ID プロバイダー) タイルを選択します。 [追加] ボタンを選択して、Microsoft Entra 企業 ID プロバイダーを作成します。 [SAML 2.0] で、[SAML 2.0 Configuration](SAML 2.0 構成) を選択します。

Microsoft Entra メタデータ XML ファイルをアップロードするか、手動で次のフィールドを設定します。

  • [Name](名前): 企業 ID プロバイダーのエンティティ ID。
  • [Single Sign-On Endpoint URL](シングル サインオン エンドポイント URL): 認証要求を受信する ID プロバイダー シングル サインオン エンドポイントの URL。 [Binding](バインド) では、それぞれのシングル サインオン エンドポイントに対応するものを選択します。
  • [Single Logout Endpoint URL](シングル ログアウト エンドポイント URL): ログアウト メッセージを受信する ID プロバイダーのシングル ログアウト エンドポイントの URL。 [Binding](バインド) では、それぞれのシングル ログアウト エンドポイントに対応するものを選択します。
  • [Signing Certificate](署名証明書): ID 認証に送信される SAML プロトコル メッセージにデジタル署名するために ID プロバイダーによって使用される、base64 でエンコードされた証明書です。

Microsoft Entra ユーザーを割り当てる

  1. Azure portal で、[エンタープライズ アプリケーション] を選び、[すべてのアプリケーション] を選んでから、[SAP Cloud Platform Identity Authentication] を選びます。

  2. アプリケーションの一覧で、 [SAP Cloud Platform Identity Authentication] を選択します。

  3. Azure portal で、[ユーザーおよびグループ] を選びます。

  4. [ユーザーの追加] ボタンを選び、[割り当ての追加] ダイアログでアプリケーションに割り当てるユーザーとグループを選びます。

  5. SAML アサーションで任意のロール値を想定している場合は、[ロールの選択] ダイアログで一覧からユーザーに適したロールを選び、画面の下部にある [選択] ボタンをクリックします。 [割り当ての追加] ダイアログで、 [割り当て] ボタンを選択します。

    Note

    SAP Cloud Platform Identity Authentication でユーザーを作成する必要はありません。 Microsoft Entra ユーザー ストアに存在するユーザーは、SSO 機能を使用できます。 SAP Cloud Platform Identity Authentication は、ID フェデレーション オプションをサポートしています。 このオプションにより、アプリケーションは、企業の ID プロバイダーによって認証されたユーザーが SAP Cloud Platform Identity Authentication のユーザー ストアに存在するかどうかを確認できます。 既定では、ID フェデレーション オプションは無効になっています。 ID フェデレーションが有効になっていると、SAP Cloud Platform Identity Authentication にインポートされているユーザーのみがアプリケーションにアクセスできます。

  6. 結果を確認するには、アクセス パネルで SAP Cloud Platform Identity Authentication のタイルを選びます。 SSO を設定した SAP Cloud Platform Identity Authentication に自動的にサインインされます。