Microsoft Entra ID と SAP Fiori の統合
SAP Fiori と Microsoft Entra ID の統合には、次の利点があります。
- Microsoft Entra ID を使用して、SAP Fiori にアクセスできるユーザーを制御できます。
- ユーザーは、Microsoft Entra アカウントを使用して、SAP Fiori に自動的にサインインできます (シングル サインオン)。
- 1 つの中央サイト (Azure Portal) でアカウントを管理できます。
SAP Fiori と Microsoft Entra の統合を構成するには、次のものが必要です。
- Microsoft Entra サブスクリプション。
- シングル サインオンが有効な SAP Fiori のサブスクリプション。
- SAP Fiori 7.20 以降が必要です。
ギャラリーからの SAP Fiori を追加する
SAP Fiori と Microsoft Entra ID を統合するには、まず、SaaS アプリケーション ギャラリーからマネージド SaaS アプリのリストに、SAP Fiori を追加する必要があります。
SAP Fiori で Microsoft Entra シングル サインオンを構成する
シングル サインオンを機能させるには、Microsoft Entra ユーザーと SAP Fiori の関連するユーザーの間にリンクされた関係を確立する必要があります。 次のタスクを実行してください。
- Microsoft Entra シングル サインオンを構成して、ユーザーがこの機能を使用できるようにします。
- SAP Fiori のシングル サインオンを構成します。
- Microsoft Entra のユーザーを SAP Fiori アプリケーションに割り当てます。
- Microsoft Entra ユーザー アカウントにリンクされた SAP Fiori ユーザーを作成します。
Microsoft Entra シングル サインオンの構成
新しい Web ブラウザー ウィンドウを開き、SAP Fiori 企業サイトに管理者としてサインインします。 http および https サービスがアクティブであり、トランザクション コード SMICM に適切なポートが割り当てられていることを確認します。
シングル サインオンが必要な、SAP システム T01 の SAP Business Client にサインインします。 次に、HTTP セキュリティ セッション管理を有効にします。 トランザクション コード SICF_SESSIONS に移動し、プロファイルのパラメーターを確認します。 組織の要件に基づいてパラメーターを調整し、SAP システムを再起動します。
以下の SICF サービスをアクティブ化します。
- /sap/public/bc/sec/saml2
- /sap/public/bc/sec/cdc_ext_service
- /sap/bc/webdynpro/sap/saml2
- /sap/bc/webdynpro/sap/sec_diag_tool (これは、トレースの有効化と無効化のみを行います)
SAP システム [T01/122] の Business Client でトランザクション コード SAML2 に移動します。 新しいブラウザー ウィンドウで構成 UI が開きます。 ユーザー名とパスワードを入力して、 [Log on](ログオン) を選択します。
[Provider Name](プロバイダー名) ボックスで、T01122 を
<http://T01122>
に置き換えて、[Save](保存) を選びます。注意
既定では、プロバイダー名は _sid-client_ という形式です。 Microsoft Entra ID では、protocol://name 形式の名前が必要です。 Microsoft Entra ID で複数の SAP Fiori ABAP エンジンを構成できるように、https:// _sid-client_ というプロバイダー名を維持することをお勧めします。
[Local Provider](ローカル プロバイダー) タブの [Metadata](メタデータ) を選びます。 [SAML 2.0 Metadata](SAML 2.0 メタデータ) ダイアログ ボックスで、生成されたメタデータ XML ファイルをダウンロードし、コンピューターに保存します。
Azure portal の [SAP Fiori application integration](SAP Fiori アプリケーション統合) ペインで、[シングル サインオン] を選びます。
[シングル サインオン方式の選択] ウィンドウで、 [SAML] または [SAML/WS-Fed] モードを選択して、シングル サインオンを有効にします。
[SAML でシングル サインオンをセットアップします] ウィンドウで、 [編集] (鉛筆アイコン) を選択して [基本的な SAML 構成] ウィンドウを開きます。
[基本的な SAML 構成] セクションで、[メタデータ ファイルをアップロードする] を選び、[メタデータ ファイルをアップロードする] オプションを使って、前にダウンロードしたメタデータ ファイルをアップロードします。
メタデータ ファイルが正常にアップロードされると、 [基本的な SAML 構成] ウィンドウの [識別子] と [応答 URL] の値が自動的に入力されます。 [サインオン URL] ボックスに、次のパターンの URL を入力します: https://[会社の SAP Fiori のインスタンス]。
SAP Fiori アプリケーションは、特定の形式の SAML アサーションを受け入れます。 givenname、surname、emailaddress、name、一意のユーザー識別子 を含むクレーム。 それらの値を管理するには、[SAML によるシングル サインオンのセットアップ] ペインで、[編集] を選びます。
[ユーザー属性とクレーム] ペインで、SAML トークンの属性を構成します。 その後、次の手順を完了します。
- [編集] を選択し、 [ユーザー要求の管理] ウィンドウを開きます。
- [変換] の一覧で、ExtractMailPrefix() を選択します。
- [パラメーター 1] の一覧で、user.userprinicipalname を選択します。
[SAML でシングル サインオンをセットアップします] ウィンドウの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] の横の [ダウンロード] を選択します。
要件に基づいてダウンロード オプションを選択します。 お使いのコンピューターに証明書ファイルを保存します。
[SAP Fiori のセットアップ] セクションで、要件に基づいて次の URL をコピーします。
- ログイン URL
- Microsoft Entra 識別子
- ログアウト URL
SAP Fiori シングル サインオンの構成
SAP システムにサインインし、トランザクション コード SAML2 に移動します。 新しいブラウザー ウィンドウで SAML 構成ページが開かれます。
信頼されている ID プロバイダー (Microsoft Entra ID) のエンドポイントを構成するには、[信頼できるプロバイダー] タブを選択します。
[Add](追加) を選択し、コンテキスト メニューの [Upload Metadata File](メタデータ ファイルのアップロード) を選択します。
Azure portal でダウンロードしたメタデータ ファイルをアップロードします。
次のページで、[Alias](エイリアス) ボックスに任意のエイリアス名を入力します。
[Digest Algorithm](ダイジェスト アルゴリズム) ボックスの値が SHA-256 であることを確認してください。
[Single Sign-On Endpoints](シングル サインオン エンドポイント) で、[HTTP POST] を選びます。
[Single Logout Endpoints](シングル ログアウト エンドポイント) で、[HTTP Redirect](HTTP リダイレクト) を選びます。
[Artifact Endpoints]\(アーティファクト エンドポイント\) と [Authentication Requirements]\(認証要件\) は既定の設定をそのまま使います。
[Trusted Provider]\(信頼されたプロバイダー\) / [Identity Federation and Unspecified Supported NameID Formats]\(ID フェデレーションと未指定のサポートされている NameID 形式\) を選びます。
[ユーザー ID ソース] と [ユーザー ID マッピング モード] の値によって、SAP ユーザーと Microsoft Entra 要求の間のリンクが決まります。 サポートされているシナリオは 2 つあります。
- シナリオ 1: SAP ユーザーから Microsoft Entra ユーザーへのマッピング
- シナリオ 2: SU01 で構成したメール アドレスに基づいて、SAP ユーザー ID を選択します。 このケースでは、SSO を必要とする各ユーザーに対して、SU01 でメール ID を構成する必要があります。
Microsoft Entra ユーザーを割り当てる
Azure portal 上で [エンタープライズ アプリケーション] を選択し、[すべてのアプリケーション] を選択してから、[SAP Fiori] を選択します。
アプリケーションの一覧で [SAP Fiori] を選択します。
結果を確認するには、ID プロバイダー Microsoft Entra ID が SAP Fiori でアクティブ化された後、次のいずれかの URL にアクセスし、割り当て済みユーザーとしてシングル サインオンをテストしてみます (ユーザー名とパスワードの入力は求められないはずです)。