SAP 環境における Active Directory 導入のメリット

SAP 環境における
Active Directory 導入のメリット
マイクロソフト株式会社
SAP/Microsoft コンピテンスセンター
Active Directory の役割

認証エンジン

どこからでも


どんなアプリケーションでも


File, Print, Exchange, ポータル、SAP
(※)・・
(※) SAP のプラットフォームが Windows
の場合
セキュアに認証&シングルサインオン



会社のデスク、LAN 無、社外(出先、自宅
等)・・
業界標準の Kerberos技術
パスワード入力は1回だけ
認証以外にも
認証
Active Directory
通常の
接続
無線 LAN
接続
社外からの
VPN接続
ダイヤル
アップ接続
シングル
サインオン
ファイル
サーバ
プリント Exchange
サーバ
サーバ
SharePoint
サーバ
SAP R/3
サーバ
Active Directory のメリット

SAP を含めたシングルサインオンが可能


SAP の OS プラットフォームを
Windows Server にしておく事が前提条
件
ファイル、メールだけでなく SAP に対して
も、
追加の認証をユーザーに強要する事なくア
クセスさせることが可能



ユーザーの使い勝手が向上
企業システムのセキュリティ向上にも効果
Active Directory 以外のディレクトリを
導入した場合、通常 SAP に対しては別途
ユーザーIDとパスワードの入力が必要
Active Directory のメリット

業界標準の Kerberos 認証技術をいち早
く
サポートしている



非常にセキュア、情報漏えいのリスク無し
NTLM (NT における認証技術)よりも高い
パフォーマンス
認証以外にも様々なソリューションが利用
可能

特にセキュリティ設定管理


セキュリティパッチの迅速な導入
セキュアな設定を徹底的に強要
R/3 4.x でのシングルサインオン設定
(1)

R/3 サーバの ...\usr\sap\<sid>\sys\exe\run に
gssapi32.dll (カーネルCDに同梱) をコピーする
R/3 4.x でのシングルサインオン設定
(2)

t-cd: RZ10 からガイドの通り、インスタンスプロファ
イルにパラメータを追加し、R/3 をリブートする
Kksapsv5: R/3サーバーホスト名
C11: SID
R/3 4.x でのシングルサインオン設定
(3)

クライアントPCの
…\Program Files\SAPpc\SAPGUIの中に
gssapi32.dll をコピーする
R/3 4.x でのシングルサインオン設定
(4)

クライアント PC のコントロールパネル・システム・
詳細タブ・環境変数ボタンから SNC_LIB のエントリ
を追加し、
ローカルに存在する gssapi32.dll の絶対パスを入力
し、
一度ログオンし直す
R/3 4.x でのシングルサインオン設定
(5)

SAPLogon メニューで Property/ Advanced ボタ
ンから Secure Network preference のラジオボタ
ンをオンにし、ガイドの通り UserID を入力する
R/3 4.x でのシングルサインオン設定
(6)

t-cd: SU01 からマッピングしたいユーザーを指定し、
SNCタブにガイドの通り入力(以上で完了)
FAREAST: 所属するドメイン名
①ADユーザ
として認証
AD
ユーザ
情報
Active Directory
③ADユーザ→SAPユーザへ
マッピング
④SAPユーザとしてSAP利用
②AD
ユーザとして
アクセス
AD&SAPユーザ情報、
マッピングテーブルのメンテは?
ADユーザ
&SAPユーザ
マッピング
テーブル
SAP
ユーザ
情報
SAP サーバ
(ユーザー管理)
Active Directory &
SAPユーザー管理・同期ソリュー
ション
 Active Directory
も SAP ユーザー管理
も、業界標準の LDAP 技術を実装
 双方のユーザー情報の自動的な同期が可能

マッピングの仕方を定義しておく


ユーザーIDの命名法や電話番号の持ち方など
作りこみは殆どなし

マッピングテーブル作成の部分のみ、単純な
ABAP アプリケーションを開発
AD
ユーザ
情報
Active Directory
ユーザー情報
の同期(LDAP)
SAP
ユーザ
情報
ADユーザ
&SAPユーザ
マッピング
テーブル
SAP サーバ
(ユーザー管理)
Active Directory + SAP ユーザー管
理 + SAP HR 統合管理

以下3つの管理を統合、自動的な同期




Active Directory における、ネットワー
ク
ユーザー ID の管理
SAP “SU01”における、SAP ユーザー ID
の管理
SAP HR における、社員の管理
管理者はどこか一つをメンテナンスすれ
ばよい
LDAP技術
Active Directory
SAP同期
機能
SAP R/3 サーバ
(ユーザー管理)
SAP R/3 サーバ
(HR)
まとめ
Active Directory は、SAP システムと
の認証統合が可能です
 その際、SAP システムのプラットフォー
ムを
Windows Server にしておく必要があ
る点をご留意下さい
