Active Directory & SAP ユーザー管理統合ソリューション マイクロソフト株式会社 エンタープライズパートナービジネス 推進本部 1.シングルサインオン ソリューション 1-1.通常のパターン w2kuser→r3user ・・・・・ SAP Apps SAP GUI for Windows + add-on Windows ⑤アクセス 許可 Kernel 4.x ~ + add-on ③”w2kuser”としてアクセス ③”w2kuser”としてアクセス ②”w2kuser”としての セッションチケット発行 ①”w2kuser”として ログオン→TGT取得 ④マッピングテーブル でユーザーマッピング NT4/ Active Directory ドメイン コントローラ MS Apps SAPのベーシスがカーネル4.x以降であれば、 (ITSやWorkplace、PASを導入することなく) サーバー&クライアントにアドオンを追加する だけでシングルサインオンが実現する。 インストールガイドの入手 • SAP サービスマーケットプレイス - インストールガイド – http://service.sap.com/netweaver R/3 4.x でのシングルサインオン設定(1) • R/3 サーバの ...\usr\sap\<sid>\sys\exe\run に gssapi32.dll (カーネルCDに同梱) をコピーする R/3 4.x でのシングルサインオン設定(2) • t-cd: RZ10 からガイドの通り、インスタンスプロファイルにパラメータを 追加し、R/3 をリブートする Kksapsv5: R/3サーバーホスト名 C11: SID R/3 4.x でのシングルサインオン設定(3) • クライアントPCの…\Program Files\SAPpc\SAPGUIの中に gssapi32.dll をコピーする R/3 4.x でのシングルサインオン設定(4) • クライアント PC のコントロールパネル・システム・詳細タブ・環境変数 ボタンから SNC_LIB のエントリを追加し、ローカルに存在する gssapi32.dll の絶対パスを入力し、一度ログオンし直す R/3 4.x でのシングルサインオン設定(5) • SAPLogon メニューで Property/ Advanced ボタンから Secure Network preference のラジオボタンをオンにし、ガイドの通り UserID を入力する R/3 4.x でのシングルサインオン設定(6) • t-cd: SU01 からマッピングしたいユーザーを指定し、SNCタ ブにガイドの通り入力(以上で完了) FAREAST: 所属するドメイン名 1-2.ITS & Workplace + “PAS” ④マッピングテーブル でユーザーマッピング “PAS”: “Pluggable Authentication Service” winuser→r3user ・・・・・ ③”winuser”と してアクセス ITS 4.6D~ & Workplace & “PAS” IE (SAP GUI for HTML) Windows ⑤”r3user” として アクセス ⑥アクセス 許可 SAP Basis ③”winuser”としてアクセス ②”winuser”としての セッションチケット発行 ①”winuser”として ログオン→TGT取得 SAP Apps NT4/ Active Directory ドメイン コントローラ MS Apps ITSとWorkplaceに”PAS”を 導入することで、システム全体に対して ログオンが1回で済むようになる。 2.ユーザー同期ソリューション 2-1.連携アプリケーション ②R/3からBAPIを介して 登録ユーザーを取得し、 NT4/AD ドメインコント ローラへADSIを介して ユーザーを同期する アプリケーションを起動 SAP Apps ① R/3上でユーザー ”r3user”を登録 Basis 4.0B~ “DCOM Connector” BAPI .NET アプリ ケーション ADSI ③ ドメインコントローラ上 にユーザー”winuser”が 自動登録 NT4/ Active Directory ドメイン コントローラ SAPにユーザー登録(編集、削除)した タイミングで、ディレクトリにも自動的に 同期がなされる 2-2.BizTalk SAP Apps ③R/3から登録ユーザー 情報を受信したタイミングで、 Basis NT4/AD ドメインコントローラ ALE へADSIを介して ユーザーを同期するよう BizTalkを構成、稼動 MSMQ ① R/3上でユーザー ”r3user”を登録 ② ALE機能を利用して 登録ユーザー情報を IDoc形式で宛先へ送信 (管理者の事前設定有、 送信は自動でなされる) BizTalk & Adapter for SAP ADSI ④ ドメインコントローラ上 にユーザー”winuser”が 自動登録 NT4/ Active Directory ドメイン コントローラ SAPにユーザー登録(編集、削除)した タイミングで、ディレクトリにも自動的に 同期がなされる 2-3.WAS 6.2~ + Active Directory SAP Apps WAS 6.20 “LDAP Connector” ① R/3上でユーザー ”r3user”を登録 ②LDAP Connectorが データ加工(“w2kuser”) ③LDAP Connector がLDAPプロトコルにより Active Directoryに対し ユーザーを同期 (”w2kuser”を登録) LDAP ④ ドメインコントローラ上 にユーザー”winuser”が 自動登録 Active Directory SAPにユーザー登録(編集、削除)した タイミングで、ディレクトリにも自動的に 同期がなされる 連携アプリケーション 提案にあたっての考慮事項(1) • ベーシス環境はバージョン 4.0B 以降 – .NET Connector が稼動する条件 – 既存ユーザーに対して提案が可能 • ディレクトリ環境は何でもよい • 開発環境には Visual Studio .NET を利用する – ABAP でのプログラミングは必須ではない • R/3 の API である BAPI の調査(&自作)が必要 – どの BAPI が要件を満たすか?引数、戻り値は? – 適当な BAPI がない場合自分で BAPI を作成 • ディレクトリ API である ADSI の習得が必要 • 更新時エラーのハンドリングに考慮が必要 BizTalk 提案にあたっての 考慮事項(1) • ベーシス環境はバージョン不問 – IDoc が吐き出せればOK – 既存ユーザーに対して提案が可能 • ディレクトリ環境は何でもよい • BizTalk には SAP 用のアダプタがあり、SAP から BizTalk への送信はノープログラミングで構成可能 • SAP からの Outbound であればほとんどのケース で既製の IDoc で事が足りる – IDoc の自作は必要ない BizTalk 提案にあたっての 考慮事項(2) • SAP から BizTalk への送信に際して – SAP において IDoc を吐き出す設定(ALE機能) • IDoc の調査は必要 – BizTalk において IDoc を受信する設定 • BizTalk からディレクトリへの送信に際して – BizTalk において ADSI をコールする COM アプ リケーションを起動する • ADSI の習得は必要 – Visual Studio 6.0, .NET などで開発 WAS6.2 提案にあたっての考慮事項 • トポロジーがシンプル – ゲートウエイを挟まない – SAP WAS, Active Directory 双方によるLDAPプロトコル サポートの賜物 – マッピングなどは LDAP Connector が担当 • ベーシス環境は WAS 6.20 以降を必要とし、提案 のターゲットが新規導入ユーザーに限定される • ディレクトリ環境は Active Directory が前提
© Copyright 2024 ExpyDoc