【動画からレポ】chillSAPの技術部屋 (おしゃれ技術イベント) S/4HANAとSSO
2021年6月2日に開催されたSAPのユーザーコミュニティ「ChillSAP」のオンラインイベント「chillSAPの技術部屋 (おしゃれ技術イベント)」が開催されました。昨日は基調講演の梅田拓也先生による「ハードウェアを知らない子どもたち」のレポートを書きましたが、ことのほか素晴らしい内容でしたので、ChillSAPもくもく会のネタとして次のセッションにもやってみようと思います。
アーカイブ動画はこちらです
このセミナーのスピーカーはいかりだいすけさん。日経SIerのインフラエンジニアの方です。
本日のテーマ
テーマ
・S/4HANA オンプレエディションにおけるシングルサインオンの実装
対象者
・SAP Basis+認証技術の基礎地磁気はある
・SAP でのシングルサインオン実装経験が無い
1.シングルサインオンって?
シングルサインオン
・ユーザー認証方式のひとつ
・ユーザーが1回の認証のみ実行すると複数のシステムにログインできる
・ユーザの利便性向上、パスワードリセット作業コスト低減
・セキュリティリスクの低減
2.SAPシステムでよくあるシングルサインオンパターン
これまでのパターン
・Microsoft ActiveDirectoryのドメイン認証を利用
・ひとつの企業ネットワーク・ドメインの中での認証
これからのパターン
・オンプレのS/4HANAだけでなくSAP提供のSaaS(SAC,Aribaなど)、それ以外のクラウドサービスとの連携が求められる
3.S/4 HANAではいろんなシングルサインオンのやり方がある
これまで
同一ドメイン+SAPGUI、WebGUI+Windows Kerberos認証、X.509
これから
異なるドメイン+Fiori/WebGUI+フェデレーション型認証
フェデレーション認証のスタンダード SAML
4.とっつきにくいシングルサインオンの入り口の突破方法
①最低限必要な技術の習得
・SAMLの使用の理解 独特な用語、処理シーケンスと画面遷移
→参考ブログ(BeeXさん)
・S/4 HANAへのSAML設定手順の把握
× SAPオフィシャルマニュアル
ボリューム多い、作業手順がわかりにくい
〇SAPのオフィシャルブログ
ブログや動画で具体的な手順
代表的な認証サービス(AzureAD、AWS IAM)を利用したSSO設定手順
②手を動かす
・SSO検証用のS/4HANA環境を準備する。県境環境のコスト
個人的にはハードル高い
・SimpleSAMLphp (フリーのSAMLサービスライブラリ)
・PJ現場でPoC/実機検証をやらせてもらう(会社/顧客しだい)
③足りない知識を補う・追加する
5.やってみよう! SAMLでS/4HANAにシングルサインオン
システム構成(モデルケース)
画面遷移
最初にユーザがSPにアクセスし、認証処理を起動する
シーケンス図(SP-Initiated SSO:Redirect/POST Bindingsの場合)
設計・準備
・Idp/SPそれぞれの設定に必要な情報をあらかじめ決めておく
・互いのメタデータを交換することで自動設定
一部の情報はメタデータに含まれないので個別設定が必要
・ユーザ属性とマッピング
NameIDとして何の情報をSPに連携するか? NameIDFormatは?
→実際にSAMLレスポンスを受け取ってみないとわからないことがある
・S/4HANAのユーザにマッピングする
IdPから連携されるNameIDをS/4HANAのユーザプロファイルのどの属性でマッピングするかを決めておく
6.さいごに
・SAP関連のシステム開発において、既にSSOは「当たり前の要件」
・Basisコンサルとして認証要件の実現のためのスキルはより重要になるがまだ必須スキルという認識は薄い
→チャンスととらえてスキルアップ
<ChillSAP>
<FaceBook>