Active Directory & SAP ユーザー管理統合ソリューション

Active Directory & SAPユーザー管理統合ソリューションマイクロソフト株式会社エンタープライズパートナービジネス推進本部

１．シングルサインオンソリューション

１－１．通常のパターン w2kuser→r3user・・・・・ ④マッピングテーブルでユーザーマッピング SAPApps ⑤アクセス許可 Kernel 4.x ～+ add-on SAP GUI for Windows+ add-on ③”w2kuser”としてアクセス Windows ③”w2kuser”としてアクセス MSApps ②”w2kuser”としての　セッションチケット発行 ①”w2kuser”として　ログオン→TGT取得 NT4/Active Directoryドメインコントローラ SAPのベーシスがカーネル4.x以降であれば、（ITSやWorkplace、PASを導入することなく）サーバー＆クライアントにアドオンを追加するだけでシングルサインオンが実現する。

インストールガイドの入手 • SAP サービスマーケットプレイス - インストールガイド • http://service.sap.com/netweaver

R/3 4.x でのシングルサインオン設定（１） • R/3 サーバの ...\usr\sap\<sid>\sys\exe\run に gssapi32.dll（カーネルCDに同梱）をコピーする

R/3 4.x でのシングルサインオン設定（２） • t-cd: RZ10 からガイドの通り、インスタンスプロファイルにパラメータを追加し、R/3 をリブートする Kksapsv5: R/3サーバーホスト名 C11: SID

R/3 4.x でのシングルサインオン設定（３） • クライアントPCの…\Program Files\SAPpc\SAPGUIの中に gssapi32.dll をコピーする

R/3 4.x でのシングルサインオン設定（４） • クライアント PC のコントロールパネル・システム・詳細タブ・環境変数ボタンから SNC_LIB のエントリを追加し、ローカルに存在する gssapi32.dll の絶対パスを入力し、一度ログオンし直す

R/3 4.x でのシングルサインオン設定（５） • SAPLogon メニューで Property/ Advanced ボタンから Secure Network preference のラジオボタンをオンにし、ガイドの通り UserIDを入力する

R/3 4.x でのシングルサインオン設定（６） • t-cd: SU01 からマッピングしたいユーザーを指定し、SNCタブにガイドの通り入力（以上で完了） FAREAST: 所属するドメイン名

１－２．ITS & Workplace + “PAS” ④マッピングテーブルでユーザーマッピング “PAS”: “Pluggable Authentication Service” winuser→r3user・・・・・ SAPApps ⑥アクセス許可 ③”winuser”としてアクセス ITS 4.6D~& Workplace &“PAS” SAPBasis IE (SAP GUIfor HTML) ⑤”r3user”としてアクセス Windows ③”winuser”としてアクセス MSApps ②”winuser”としての　セッションチケット発行 ①”winuser”として　ログオン→TGT取得 NT4/ Active Directoryドメインコントローラ ITSとWorkplaceに”PAS”を導入することで、システム全体に対してログオンが1回で済むようになる。

２．ユーザー同期ソリューション

２－１．連携アプリケーション SAPApps ① R/3上でユーザー”r3user”を登録 ②R/3からBAPIを介して登録ユーザーを取得し、NT4/AD ドメインコントローラへADSIを介してユーザーを同期するアプリケーションを起動 Basis 4.0B～ “DCOMConnector” BAPI .NET アプリケーション ADSI NT4/ Active Directoryドメインコントローラ SAPにユーザー登録（編集、削除）したタイミングで、ディレクトリにも自動的に同期がなされる ③ ドメインコントローラ上にユーザー”winuser”が自動登録

２－２．BizTalk SAPApps ① R/3上でユーザー”r3user”を登録 ③R/3から登録ユーザー情報を受信したタイミングで、NT4/AD ドメインコントローラへADSIを介してユーザーを同期するようBizTalkを構成、稼動 BasisALE ② ALE機能を利用して登録ユーザー情報をIDoc形式で宛先へ送信（管理者の事前設定有、送信は自動でなされる） MSMQ BizTalk & Adapter for SAP ADSI NT4/ Active Directoryドメインコントローラ SAPにユーザー登録（編集、削除）したタイミングで、ディレクトリにも自動的に同期がなされる ④ ドメインコントローラ上にユーザー”winuser”が自動登録

２－３．WAS 6.2~ + Active Directory SAPApps ① R/3上でユーザー”r3user”を登録 WAS 6.20 “LDAPConnector” ②LDAP Connectorがデータ加工(“w2kuser”) ③LDAP ConnectorがLDAPプロトコルによりActive Directoryに対しユーザーを同期（”w2kuser”を登録） LDAP ActiveDirectory SAPにユーザー登録（編集、削除）したタイミングで、ディレクトリにも自動的に同期がなされる ④ ドメインコントローラ上にユーザー”winuser”が自動登録

連携アプリケーション提案にあたっての考慮事項（１）連携アプリケーション提案にあたっての考慮事項（１） • ベーシス環境はバージョン 4.0B 以降 • .NET Connector が稼動する条件 • 既存ユーザーに対して提案が可能 • ディレクトリ環境は何でもよい • 開発環境には Visual Studio .NET を利用する • ABAP でのプログラミングは必須ではない • R/3 の API である BAPI の調査（＆自作）が必要 • どの BAPI が要件を満たすか？引数、戻り値は？ • 適当な BAPI がない場合自分で BAPI を作成 • ディレクトリ API である ADSI の習得が必要 • 更新時エラーのハンドリングに考慮が必要

BizTalk 提案にあたっての考慮事項（１） • ベーシス環境はバージョン不問 • IDoc が吐き出せればOK • 既存ユーザーに対して提案が可能 • ディレクトリ環境は何でもよい • BizTalk には SAP 用のアダプタがあり、SAP からBizTalk への送信はノープログラミングで構成可能 • SAP からの Outbound であればほとんどのケースで既製の IDoc で事が足りる • IDoc の自作は必要ない

BizTalk 提案にあたっての考慮事項（２） • SAP から BizTalk への送信に際して • SAP において IDoc を吐き出す設定（ALE機能） • IDoc の調査は必要 • BizTalk において IDoc を受信する設定 • BizTalk からディレクトリへの送信に際して • BizTalk において ADSI をコールする COM アプリケーションを起動する • ADSI の習得は必要 • Visual Studio 6.0, .NET などで開発

WAS6.2 提案にあたっての考慮事項 • トポロジーがシンプル • ゲートウエイを挟まない • SAP WAS, Active Directory 双方によるLDAPプロトコルサポートの賜物 • マッピングなどは LDAP Connector が担当 • ベーシス環境は WAS 6.20 以降を必要とし、提案のターゲットが新規導入ユーザーに限定される • ディレクトリ環境は Active Directory が前提

Active Directory & SAP ユーザー管理統合ソリューション