Active Directory & SAP ユーザー管理統合ソリューション マイクロソフト株式会社 エンタープライズパートナービジネス 推進本部
1.シングルサインオン ソリューション
1-1.通常のパターン SAP Apps Windows MS Apps w2kuser→r3user ・・・・・ ④マッピングテーブル でユーザーマッピング SAP Apps ⑤アクセス 許可 Kernel 4.x ~ + add-on SAP GUI for Windows + add-on ③”w2kuser”としてアクセス Windows ③”w2kuser”としてアクセス MS Apps ②”w2kuser”としての セッションチケット発行 ①”w2kuser”として ログオン→TGT取得 NT4/ Active Directory ドメイン コントローラ SAPのベーシスがカーネル4.x以降であれば、 (ITSやWorkplace、PASを導入することなく) サーバー&クライアントにアドオンを追加する だけでシングルサインオンが実現する。
インストールガイドの入手 SAP サービスマーケットプレイス - インストールガイド http://service.sap.com/netweaver
R/3 4.x でのシングルサインオン設定(1) R/3 サーバの ...\usr\sap\<sid>\sys\exe\run に gssapi32.dll (カーネルCDに同梱) をコピーする
R/3 4.x でのシングルサインオン設定(2) t-cd: RZ10 からガイドの通り、インスタンスプロファイルにパラメータを 追加し、R/3 をリブートする Kksapsv5: R/3サーバーホスト名 C11: SID
R/3 4.x でのシングルサインオン設定(3) クライアントPCの…\Program Files\SAPpc\SAPGUIの中に gssapi32.dll をコピーする
R/3 4.x でのシングルサインオン設定(4) クライアント PC のコントロールパネル・システム・詳細タブ・環境変数 ボタンから SNC_LIB のエントリを追加し、ローカルに存在する gssapi32.dll の絶対パスを入力し、一度ログオンし直す
R/3 4.x でのシングルサインオン設定(5) SAPLogon メニューで Property/ Advanced ボタンから Secure Network preference のラジオボタンをオンにし、ガイドの通り UserID を入力する
R/3 4.x でのシングルサインオン設定(6) t-cd: SU01 からマッピングしたいユーザーを指定し、SNCタブにガイドの通り入力(以上で完了) FAREAST: 所属するドメイン名
1-2.ITS & Workplace + “PAS” ④マッピングテーブル でユーザーマッピング “PAS”: “Pluggable Authentication Service” winuser→r3user ・・・・・ SAP Apps ⑥アクセス 許可 ③”winuser”と してアクセス ITS 4.6D~ & Workplace & “PAS” SAP Basis IE (SAP GUI for HTML) ⑤”r3user” として アクセス Windows ③”winuser”としてアクセス MS Apps ②”winuser”としての セッションチケット発行 ①”winuser”として ログオン→TGT取得 NT4/ Active Directory ドメイン コントローラ ITSとWorkplaceに”PAS”を 導入することで、システム全体に対して ログオンが1回で済むようになる。
2.ユーザー同期ソリューション
SAPにユーザー登録(編集、削除)した タイミングで、ディレクトリにも自動的に 同期がなされる 2-1.連携アプリケーション SAP Apps ① R/3上でユーザー ”r3user”を登録 ②R/3からBAPIを介して 登録ユーザーを取得し、 NT4/AD ドメインコントローラへADSIを介して ユーザーを同期する アプリケーションを起動 Basis 4.0B~ “DCOM Connector” BAPI .NET アプリ ケーション ADSI NT4/ Active Directory ドメイン コントローラ SAPにユーザー登録(編集、削除)した タイミングで、ディレクトリにも自動的に 同期がなされる ③ ドメインコントローラ上にユーザー”winuser”が 自動登録
SAPにユーザー登録(編集、削除)した タイミングで、ディレクトリにも自動的に 同期がなされる 2-2.BizTalk SAP Apps ① R/3上でユーザー ”r3user”を登録 ③R/3から登録ユーザー 情報を受信したタイミングで、 NT4/AD ドメインコントローラへADSIを介して ユーザーを同期するよう BizTalkを構成、稼動 Basis ALE ② ALE機能を利用して 登録ユーザー情報を IDoc形式で宛先へ送信 (管理者の事前設定有、送信は自動でなされる) MSMQ BizTalk & Adapter for SAP ADSI NT4/ Active Directory ドメイン コントローラ SAPにユーザー登録(編集、削除)した タイミングで、ディレクトリにも自動的に 同期がなされる ④ ドメインコントローラ上にユーザー”winuser”が 自動登録
2-3.WAS 6.2~ + Active Directory SAP Apps ① R/3上でユーザー ”r3user”を登録 WAS 6.20 “LDAP Connector” ②LDAP Connectorがデータ加工(“w2kuser”) ③LDAP Connector がLDAPプロトコルにより Active Directoryに対しユーザーを同期 (”w2kuser”を登録) LDAP Active Directory SAPにユーザー登録(編集、削除)した タイミングで、ディレクトリにも自動的に 同期がなされる ④ ドメインコントローラ上にユーザー”winuser”が 自動登録
連携アプリケーション 提案にあたっての考慮事項(1) ベーシス環境はバージョン 4.0B 以降 .NET Connector が稼動する条件 既存ユーザーに対して提案が可能 ディレクトリ環境は何でもよい 開発環境には Visual Studio .NET を利用する ABAP でのプログラミングは必須ではない R/3 の API である BAPI の調査(&自作)が必要 どの BAPI が要件を満たすか?引数、戻り値は? 適当な BAPI がない場合自分で BAPI を作成 ディレクトリ API である ADSI の習得が必要 更新時エラーのハンドリングに考慮が必要
BizTalk 提案にあたっての 考慮事項(1) ベーシス環境はバージョン不問 IDoc が吐き出せればOK 既存ユーザーに対して提案が可能 ディレクトリ環境は何でもよい BizTalk には SAP 用のアダプタがあり、SAP からBizTalk への送信はノープログラミングで構成可能 SAP からの Outbound であればほとんどのケースで既製の IDoc で事が足りる IDoc の自作は必要ない
BizTalk 提案にあたっての 考慮事項(2) SAP から BizTalk への送信に際して SAP において IDoc を吐き出す設定(ALE機能) IDoc の調査は必要 BizTalk において IDoc を受信する設定 BizTalk からディレクトリへの送信に際して BizTalk において ADSI をコールする COM アプリケーションを起動する ADSI の習得は必要 Visual Studio 6.0, .NET などで開発
WAS6.2 提案にあたっての考慮事項 トポロジーがシンプル ゲートウエイを挟まない SAP WAS, Active Directory 双方によるLDAPプロトコルサポートの賜物 マッピングなどは LDAP Connector が担当 ベーシス環境は WAS 6.20 以降を必要とし、提案のターゲットが新規導入ユーザーに限定される ディレクトリ環境は Active Directory が前提