Active Directory & SAP

Active Directory & SAP
ユーザー管理統合ソリューション
マイクロソフト株式会社
エンタープライズパートナービジネス
推進本部
1.シングルサインオン
ソリューション
1-1.通常のパターン
w2kuser→r3user
・・・・・
SAP
Apps
SAP GUI for
Windows
+ add-on
Windows
⑤アクセス
許可
Kernel 4.x ~
+ add-on
③”w2kuser”としてアクセス
③”w2kuser”としてアクセス
②”w2kuser”としての
セッションチケット発行
①”w2kuser”として
ログオン→TGT取得
④マッピングテーブル
でユーザーマッピング
NT4/
Active Directory
ドメイン
コントローラ
MS
Apps
SAPのベーシスがカーネル4.x以降であれば、
(ITSやWorkplace、PASを導入することなく)
サーバー&クライアントにアドオンを追加する
だけでシングルサインオンが実現する。
インストールガイドの入手
• SAP サービスマーケットプレイス - インストールガイド
– http://service.sap.com/netweaver
R/3 4.x でのシングルサインオン設定(1)
• R/3 サーバの ...\usr\sap\<sid>\sys\exe\run に gssapi32.dll
(カーネルCDに同梱) をコピーする
R/3 4.x でのシングルサインオン設定(2)
• t-cd: RZ10 からガイドの通り、インスタンスプロファイルにパラメータを
追加し、R/3 をリブートする
Kksapsv5: R/3サーバーホスト名
C11: SID
R/3 4.x でのシングルサインオン設定(3)
• クライアントPCの…\Program Files\SAPpc\SAPGUIの中に
gssapi32.dll をコピーする
R/3 4.x でのシングルサインオン設定(4)
• クライアント PC のコントロールパネル・システム・詳細タブ・環境変数
ボタンから SNC_LIB のエントリを追加し、ローカルに存在する
gssapi32.dll の絶対パスを入力し、一度ログオンし直す
R/3 4.x でのシングルサインオン設定(5)
• SAPLogon メニューで Property/ Advanced ボタンから Secure
Network preference のラジオボタンをオンにし、ガイドの通り UserID
を入力する
R/3 4.x でのシングルサインオン設定(6)
• t-cd: SU01 からマッピングしたいユーザーを指定し、SNCタ
ブにガイドの通り入力(以上で完了)
FAREAST: 所属するドメイン名
1-2.ITS & Workplace + “PAS”
④マッピングテーブル
でユーザーマッピング
“PAS”: “Pluggable Authentication Service”
winuser→r3user
・・・・・
③”winuser”と
してアクセス
ITS 4.6D~
& Workplace
& “PAS”
IE (SAP GUI
for HTML)
Windows
⑤”r3user”
として
アクセス
⑥アクセス
許可
SAP
Basis
③”winuser”としてアクセス
②”winuser”としての
セッションチケット発行
①”winuser”として
ログオン→TGT取得
SAP
Apps
NT4/
Active Directory
ドメイン
コントローラ
MS
Apps
ITSとWorkplaceに”PAS”を
導入することで、システム全体に対して
ログオンが1回で済むようになる。
2.ユーザー同期ソリューション
2-1.連携アプリケーション
②R/3からBAPIを介して
登録ユーザーを取得し、
NT4/AD ドメインコント
ローラへADSIを介して
ユーザーを同期する
アプリケーションを起動
SAP
Apps
① R/3上でユーザー
”r3user”を登録
Basis 4.0B~
“DCOM
Connector”
BAPI
.NET アプリ
ケーション
ADSI
③ ドメインコントローラ上
にユーザー”winuser”が
自動登録
NT4/
Active Directory
ドメイン
コントローラ
SAPにユーザー登録(編集、削除)した
タイミングで、ディレクトリにも自動的に
同期がなされる
2-2.BizTalk
SAP
Apps
③R/3から登録ユーザー
情報を受信したタイミングで、
Basis
NT4/AD ドメインコントローラ
ALE
へADSIを介して
ユーザーを同期するよう
BizTalkを構成、稼動
MSMQ
① R/3上でユーザー
”r3user”を登録
② ALE機能を利用して
登録ユーザー情報を
IDoc形式で宛先へ送信
(管理者の事前設定有、
送信は自動でなされる)
BizTalk &
Adapter
for SAP
ADSI
④ ドメインコントローラ上
にユーザー”winuser”が
自動登録
NT4/
Active Directory
ドメイン
コントローラ
SAPにユーザー登録(編集、削除)した
タイミングで、ディレクトリにも自動的に
同期がなされる
2-3.WAS 6.2~ + Active Directory
SAP
Apps
WAS 6.20
“LDAP
Connector”
① R/3上でユーザー
”r3user”を登録
②LDAP Connectorが
データ加工(“w2kuser”)
③LDAP Connector
がLDAPプロトコルにより
Active Directoryに対し
ユーザーを同期
(”w2kuser”を登録)
LDAP
④ ドメインコントローラ上
にユーザー”winuser”が
自動登録
Active
Directory
SAPにユーザー登録(編集、削除)した
タイミングで、ディレクトリにも自動的に
同期がなされる
連携アプリケーション
提案にあたっての考慮事項(1)
• ベーシス環境はバージョン 4.0B 以降
– .NET Connector が稼動する条件
– 既存ユーザーに対して提案が可能
• ディレクトリ環境は何でもよい
• 開発環境には Visual Studio .NET を利用する
– ABAP でのプログラミングは必須ではない
• R/3 の API である BAPI の調査(&自作)が必要
– どの BAPI が要件を満たすか?引数、戻り値は?
– 適当な BAPI がない場合自分で BAPI を作成
• ディレクトリ API である ADSI の習得が必要
• 更新時エラーのハンドリングに考慮が必要
BizTalk 提案にあたっての
考慮事項(1)
• ベーシス環境はバージョン不問
– IDoc が吐き出せればOK
– 既存ユーザーに対して提案が可能
• ディレクトリ環境は何でもよい
• BizTalk には SAP 用のアダプタがあり、SAP から
BizTalk への送信はノープログラミングで構成可能
• SAP からの Outbound であればほとんどのケース
で既製の IDoc で事が足りる
– IDoc の自作は必要ない
BizTalk 提案にあたっての
考慮事項(2)
• SAP から BizTalk への送信に際して
– SAP において IDoc を吐き出す設定(ALE機能)
• IDoc の調査は必要
– BizTalk において IDoc を受信する設定
• BizTalk からディレクトリへの送信に際して
– BizTalk において ADSI をコールする COM アプ
リケーションを起動する
• ADSI の習得は必要
– Visual Studio 6.0, .NET などで開発
WAS6.2 提案にあたっての考慮事項
• トポロジーがシンプル
– ゲートウエイを挟まない
– SAP WAS, Active Directory 双方によるLDAPプロトコル
サポートの賜物
– マッピングなどは LDAP Connector が担当
• ベーシス環境は WAS 6.20 以降を必要とし、提案
のターゲットが新規導入ユーザーに限定される
• ディレクトリ環境は Active Directory が前提