Active Directory と SAP シングル サインオン (Kerberos-SPNEGO) を統合する
SNC (Secure Network Communication) で SAP システムを構成することにより、Active Directory を SAP のシングル サインオンと統合できます。 SNC の主な目的は、NetWeaver ABAP アプリケーション サーバーと外部アプリケーション (SAP GUI を含む) の間の接続をセキュリティで保護することです。 SNC によって、シングル サインオンを有効にするために使用できる外部セキュリティ製品に対するインターフェイスが提供されます。
SAP SSO と Active Directory を統合する
SAP システムの構成: NetWeaver ABAP バージョン 7.31 以降では、SAP システムの構成ウィザード (トランザクション SNCWIZARD と SPNEGO) を使って SSO を構成します。 それより前のバージョンの NetWeaver ABAP では、または構成ウィザードにアクセスできない場合は、SSO を手動で構成できます。
- NetWeaver ABAP システムのサービス アカウントとして使用する新しい AD ユーザーを作成します (有効期限のないパスワードを使用することをお勧めします)。
- SETSPN を使って、前のステップで作成したユーザーのサービス プリンシパル名 (SPN) を登録します。
- CommonCryptoLib を SAP システムにインストールします。
- SECUDIR ディレクトリを設定します (SECUDIR ディレクトリは、CommonCryptoLib ライセンス チケット ファイルと PSE ファイルが存在するディレクトリです)。 ディレクトリを SECUDIR ディレクトリとして設定するには、SECUDIR という名前の新しい環境変数を作成し、それでディレクトリを指し示します。 例: \usr\sap[SID]\DVEBMGS00\sec
- SAP インスタンスで、sapcrypto.dll と新しく作成された SPN の場所を参照するプロファイル パラメーターを設定します。
- SAP インスタンスを再起動します。
- Kerberos ベースの SNC 用の Kerberos keytab ファイルと、対応する SAP Cryptolib PSE ファイルを作成します。
ユーザー マッピングを構成します。
- SAPGUI を使用して SAP インスタンスにサインインし、トランザクション SU01 を実行します。
- 名前フィールドに SAP ユーザー (または SSO 用にマップするユーザー) を入力し、[Edit](編集) を選びます。
- [SNC] タブを選び、前のタスクで構成した SNC 名を p:CN=UserPrincipalName@domain という形式で入力します。
クライアント コンピューターにセキュリティ保護されたログイン ソフトウェアをインストールします。
SNC 通信用に SAP GUI を構成します。
- [セキュリティで保護されたネットワーク設定] インターフェイスで、SNC 名を p:CN=ServicePrincipalName@domain という形式で入力します。
- 接続を開始します。 パスワードの入力を求められることなくサインインできるはずです。