見出し画像

【動画からレポ】chillSAPの技術部屋 (おしゃれ技術イベント) S/4HANAとSSO

2021年6月2日に開催されたSAPのユーザーコミュニティ「ChillSAP」のオンラインイベント「chillSAPの技術部屋 (おしゃれ技術イベント)」が開催されました。昨日は基調講演の梅田拓也先生による「ハードウェアを知らない子どもたち」のレポートを書きましたが、ことのほか素晴らしい内容でしたので、ChillSAPもくもく会のネタとして次のセッションにもやってみようと思います。

アーカイブ動画はこちらです

このセミナーのスピーカーはいかりだいすけさん。日経SIerのインフラエンジニアの方です。

本日のテーマ

画像1

テーマ
・S/4HANA オンプレエディションにおけるシングルサインオンの実装

対象者
・SAP Basis+認証技術の基礎地磁気はある
・SAP でのシングルサインオン実装経験が無い

1.シングルサインオンって?

シングルサインオン

画像2


・ユーザー認証方式のひとつ
・ユーザーが1回の認証のみ実行すると複数のシステムにログインできる
・ユーザの利便性向上、パスワードリセット作業コスト低減
・セキュリティリスクの低減


2.SAPシステムでよくあるシングルサインオンパターン

これまでのパターン

画像3

・Microsoft ActiveDirectoryのドメイン認証を利用
・ひとつの企業ネットワーク・ドメインの中での認証

これからのパターン

画像4

・オンプレのS/4HANAだけでなくSAP提供のSaaS(SAC,Aribaなど)、それ以外のクラウドサービスとの連携が求められる


3.S/4 HANAではいろんなシングルサインオンのやり方がある

これまで
同一ドメイン+SAPGUI、WebGUI+Windows Kerberos認証、X.509

これから
異なるドメイン+Fiori/WebGUI+フェデレーション型認証

フェデレーション認証のスタンダード SAML


4.とっつきにくいシングルサインオンの入り口の突破方法

画像5

①最低限必要な技術の習得
・SAMLの使用の理解 独特な用語、処理シーケンスと画面遷移
参考ブログ(BeeXさん)
・S/4 HANAへのSAML設定手順の把握
 × SAPオフィシャルマニュアル
  ボリューム多い、作業手順がわかりにくい
   〇SAPのオフィシャルブログ
  ブログや動画で具体的な手順
  代表的な認証サービス(AzureAD、AWS IAM)を利用したSSO設定手順

②手を動かす
 ・SSO検証用のS/4HANA環境を準備する。県境環境のコスト
 個人的にはハードル高い
・SimpleSAMLphp (フリーのSAMLサービスライブラリ)
・PJ現場でPoC/実機検証をやらせてもらう(会社/顧客しだい)

③足りない知識を補う・追加する


5.やってみよう! SAMLでS/4HANAにシングルサインオン

システム構成(モデルケース)

画像6

画面遷移
 最初にユーザがSPにアクセスし、認証処理を起動する

画像7

シーケンス図(SP-Initiated SSO:Redirect/POST Bindingsの場合)

画像8

設計・準備
・Idp/SPそれぞれの設定に必要な情報をあらかじめ決めておく
・互いのメタデータを交換することで自動設定
 一部の情報はメタデータに含まれないので個別設定が必要
・ユーザ属性とマッピング

画像9


 NameIDとして何の情報をSPに連携するか? NameIDFormatは?
 →実際にSAMLレスポンスを受け取ってみないとわからないことがある

・S/4HANAのユーザにマッピングする
 IdPから連携されるNameIDをS/4HANAのユーザプロファイルのどの属性でマッピングするかを決めておく

画像10

6.さいごに

・SAP関連のシステム開発において、既にSSOは「当たり前の要件」
・Basisコンサルとして認証要件の実現のためのスキルはより重要になるがまだ必須スキルという認識は薄い
→チャンスととらえてスキルアップ

<ChillSAP>

<FaceBook>





この記事が気に入ったらサポートをしてみませんか?