チュートリアル:SAP NetWeaver と Azure Active Directory のシングル サインオン (SSO) 統合Tutorial: Azure Active Directory Single sign-on (SSO) integration with SAP NetWeaver

このチュートリアルでは、SAP NetWeaver と Azure Active Directory (Azure AD) を統合する方法について説明します。In this tutorial, you'll learn how to integrate SAP NetWeaver with Azure Active Directory (Azure AD). Azure AD と SAP NetWeaver を統合すると、次のことができます。When you integrate SAP NetWeaver with Azure AD, you can:

  • SAP NetWeaver にアクセスできるユーザーを Azure AD で制御します。Control in Azure AD who has access to SAP NetWeaver.
  • ユーザーが自分の Azure AD アカウントを使用して SAP NetWeaver に自動的にサインインできるようにします。Enable your users to be automatically signed-in to SAP NetWeaver with their Azure AD accounts.
  • 1 つの中央サイト (Azure Portal) で自分のアカウントを管理できます。Manage your accounts in one central location - the Azure portal.

SaaS アプリと Azure AD の統合の詳細については、「Azure Active Directory でのアプリケーションへのシングル サインオン」を参照してください。To learn more about SaaS app integration with Azure AD, see What is application access and single sign-on with Azure Active Directory.

前提条件Prerequisites

開始するには、次が必要です。To get started, you need the following items:

  • Azure AD サブスクリプション。An Azure AD subscription. サブスクリプションがない場合は、無料アカウントを取得できます。If you don't have a subscription, you can get a free account.
  • SAP NetWeaver でのシングル サインオン (SSO) が有効なサブスクリプション。SAP NetWeaver single sign-on (SSO) enabled subscription.
  • SAP NetWeaver V7.20 以降が必要SAP NetWeaver V7.20 required atleast

シナリオの説明Scenario description

SAP NetWeaver では、SAML (SP Initiated SSO) と OAuth の両方がサポートされます。SAP NetWeaver supports both SAML (SP initiated SSO) and OAuth. このチュートリアルでは、テスト環境で Azure AD の SSO を構成してテストします。In this tutorial, you configure and test Azure AD SSO in a test environment.

注意

自分の組織の要件に応じて SAML または OAuth でアプリケーションを構成してください。Configure the application either in SAML or in OAuth as per your organizational requirement.

Azure AD への SAP NetWeaver の統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に SAP NetWeaver を追加する必要があります。To configure the integration of SAP NetWeaver into Azure AD, you need to add SAP NetWeaver from the gallery to your list of managed SaaS apps.

  1. 職場または学校アカウントか、個人の Microsoft アカウントを使用して、Azure portal にサインインします。Sign in to the Azure portal using either a work or school account, or a personal Microsoft account.
  2. 左のナビゲーション ウィンドウで [Azure Active Directory] サービスを選択します。On the left navigation pane, select the Azure Active Directory service.
  3. [エンタープライズ アプリケーション] に移動し、 [すべてのアプリケーション] を選択します。Navigate to Enterprise Applications and then select All Applications.
  4. 新しいアプリケーションを追加するには、 [新しいアプリケーション] を選択します。To add new application, select New application.
  5. [ギャラリーから追加する] セクションで、検索ボックスに、「SAP NetWeaver」と入力します。In the Add from the gallery section, type SAP NetWeaver in the search box.
  6. 結果パネルから [SAP NetWeaver] を選択し、アプリを追加します。Select SAP NetWeaver from results panel and then add the app. お使いのテナントにアプリが追加されるのを数秒待機します。Wait a few seconds while the app is added to your tenant.

SAP NetWeaver の Azure AD シングル サインオンの構成とテストConfigure and test Azure AD single sign-on for SAP NetWeaver

B.Simon というテスト ユーザーを使用して、SAP NetWeaver に対する Azure AD SSO を構成してテストします。Configure and test Azure AD SSO with SAP NetWeaver using a test user called B.Simon. SSO が機能するには、Azure AD ユーザーと SAP NetWeaver の関連ユーザーの間で、リンク関係が確立されている必要があります。For SSO to work, you need to establish a link relationship between an Azure AD user and the related user in SAP NetWeaver.

SAP NetWeaver で Azure AD SSO を構成してテストするには、次の構成要素を完了する必要があります。To configure and test Azure AD SSO with SAP NetWeaver, complete the following building blocks:

  1. Azure AD SSO の構成 - ユーザーがこの機能を使用できるようにします。Configure Azure AD SSO to enable your users to use this feature.
    1. Azure AD のテスト ユーザーの作成 - B.Simon で Azure AD のシングル サインオンをテストします。Create an Azure AD test user to test Azure AD single sign-on with B.Simon.
    2. Azure AD テスト ユーザーの割り当て - B.Simon が Azure AD シングル サインオンを使用できるようにします。Assign the Azure AD test user to enable B.Simon to use Azure AD single sign-on.
  2. SAML を使用した SAP NetWeaver の構成 - アプリケーション側で SSO 設定を構成します。Configure SAP NetWeaver using SAML to configure the SSO settings on application side.
    1. SAP NetWeaver のテスト ユーザーの作成 - SAP NetWeaver で B.Simon に対応するユーザーを作成し、Azure AD の B.Simon にリンクさせます。Create SAP NetWeaver test user to have a counterpart of B.Simon in SAP NetWeaver that is linked to the Azure AD representation of user.
  3. SSO のテスト - 構成が機能するかどうかを確認します。Test SSO to verify whether the configuration works.
  4. SAP NetWeaver の OAuth 向け構成 - アプリケーション側で OAuth 設定を構成します。Configure SAP NetWeaver for OAuth to configure the OAuth settings on application side.

Azure AD SSO の構成Configure Azure AD SSO

このセクションでは、Azure portal 上で Azure AD のシングル サインオンを有効にします。In this section, you enable Azure AD single sign-on in the Azure portal.

SAP NetWeaver で Azure AD シングル サインオンを構成するには、次の手順に従います。To configure Azure AD single sign-on with SAP NetWeaver, perform the following steps:

  1. 新しい Web ブラウザー ウィンドウを開き、SAP NetWeaver 企業サイトに管理者としてサインインします。Open a new web browser window and sign into your SAP NetWeaver company site as an administrator

  2. http および https サービスがアクティブであり、SMICM T-Code で適切なポートが割り当てられていることを確認します。Make sure that http and https services are active and appropriate ports are assigned in SMICM T-Code.

  3. SAP システム (T01) のビジネス クライアントにサインオンします。SSO が必要であり、HTTP セキュリティ セッション管理をアクティブ化します。Sign on to business client of SAP System (T01), where SSO is required and activate HTTP Security session Management.

    a.a. トランザクション コードの SICF_SESSIONS に移動します。Go to Transaction code SICF_SESSIONS. すべての関連プロファイル パラメーターと現在の値が表示されます。It displays all relevant profile parameters with current values. 次のように表示されます。They look like below:-

    login/create_sso2_ticket = 2
    login/accept_sso2_ticket = 1
    login/ticketcache_entries_max = 1000
    login/ticketcache_off = 0  login/ticket_only_by_https = 0 
    icf/set_HTTPonly_flag_on_cookies = 3
    icf/user_recheck = 0  http/security_session_timeout = 1800
    http/security_context_cache_size = 2500
    rdisp/plugin_auto_logout = 1800
    rdisp/autothtime = 60
    

    注意

    組織の要件に合わせて上記のパラメーターを調整します。上記のパラメーターは参考用にのみ示してあります。Adjust above parameters as per your organization requirements, Above parameters are given here as indication only.

    b.b. 必要に応じて SAP システムのインスタンスまたは既定プロファイルでパラメーターを調整し、SAP システムを再起動します。If necessary adjust parameters, in the instance/default profile of SAP system and restart SAP system.

    c.c. 関連するクライアントをダブルクリックして、HTTP セキュリティ セッションを有効にします。Double-click on relevant client to enable HTTP security session.

    証明書のダウンロードのリンク

    d.d. 以下の SICF サービスをアクティブ化します。Activate below SICF services:

    /sap/public/bc/sec/saml2
    /sap/public/bc/sec/cdc_ext_service
    /sap/bc/webdynpro/sap/saml2
    /sap/bc/webdynpro/sap/sec_diag_tool (This is only to enable / disable trace)
    
  4. SAP システム [T01/122] のビジネス クライアントでトランザクション コード SAML2 に移動します。Go to Transaction code SAML2 in business client of SAP system [T01/122]. ブラウザーでユーザー インターフェイスが開きます。It will open a user interface in a browser. この例では、SAP ビジネス クライアントとして 122 を想定しています。In this example, we assumed 122 as SAP business client.

    証明書のダウンロードのリンク

  5. ユーザー インターフェイスに入るためのユーザー名とパスワードを指定し、 [Edit](編集) をクリックします。Provide your username and password to enter in user interface and click Edit.

    証明書のダウンロードのリンク

  6. プロバイダー名 を T01122 から http://T01122 に変更し、 [保存] をクリックします。Replace Provider Name from T01122 to http://T01122 and click on Save.

    注意

    既定ではプロバイダー名は <sid><client> という形式ですが、Azure AD では <protocol>://<name> という形式の名前が想定されています。プロバイダー名は https://<sid><client> のままにして、Azure AD で複数の SAP NetWeaver ABAP エンジンを構成できるようにすることをお勧めします。By default provider name come as <sid><client> format but Azure AD expects name in the format of <protocol>://<name>, recommending to maintain provider name as https://<sid><client> to allow multiple SAP NetWeaver ABAP engines to configure in Azure AD.

    証明書のダウンロードのリンク

  7. サービス プロバイダーのメタデータの生成:- SAML 2.0 ユーザー インターフェイスで [Local Provider](ローカル プロバイダー)[Trusted Providers](信頼できるプロバイダー) の設定の構成が完了したら、次のステップでは、サービス プロバイダーのメタデータ ファイルを生成します (これには、すべての設定、認証コンテキスト、および SAP での他の構成が含まれます)。Generating Service Provider Metadata:- Once we are done with configuring the Local Provider and Trusted Providers settings on SAML 2.0 User Interface, the next step would be to generate the service provider’s metadata file (which would contain all the settings, authentication contexts and other configurations in SAP). このファイルを生成したら、それを Azure AD にアップロードする必要があります。Once this file is generated we need to upload this in Azure AD.

    証明書のダウンロードのリンク

    a.a. [Local Provider](ローカル プロバイダー) タブに移動します。Go to Local Provider tab.

    b.b. [Metadata](メタデータ) をクリックします。Click on Metadata.

    c.c. 生成されたメタデータ XML ファイルをコンピューターに保存し、それを Azure portal の [基本的な SAML 構成] セクションにアップロードして、 [識別子][応答 URL] の値を自動的に設定します。Save the generated Metadata XML file on your computer and upload it in Basic SAML Configuration section to autopopulate the Identifier and Reply URL values in Azure portal.

これらの手順に従って、Azure portal で Azure AD SSO を有効にします。Follow these steps to enable Azure AD SSO in the Azure portal.

  1. Azure portalSAP NetWeaver アプリケーション統合ページで、 [管理] セクションを探して、 [シングル サインオン] を選択します。In the Azure portal, on the SAP NetWeaver application integration page, find the Manage section and select Single sign-on.

  2. [シングル サインオン方式の選択] ページで、 [SAML] を選択します。On the Select a Single sign-on method page, select SAML.

  3. [SAML でシングル サインオンをセットアップします] ページで、 [基本的な SAML 構成] の編集/ペン アイコンをクリックして設定を編集します。On the Set up Single Sign-On with SAML page, click the edit/pen icon for Basic SAML Configuration to edit the settings.

    基本的な SAML 構成を編集する

  4. [基本的な SAML 構成] セクションで、アプリケーションを IDP 開始モードで構成する場合は、次の手順を実行します。On the Basic SAML Configuration section, if you wish to configure the application in IDP initiated mode, perform the following step:

    a.a. [メタデータ ファイルをアップロードする] をクリックして、前に取得したサービス プロバイダー メタデータ ファイルをアップロードします。Click Upload metadata file to upload the Service Provider metadata file, which you have obtained earlier.

    b.b. フォルダー ロゴをクリックしてメタデータ ファイルを選択し、 [アップロード] をクリックします。Click on folder logo to select the metadata file and click Upload.

    c.c. メタデータ ファイルが正常にアップロードされると、次に示すように、識別子応答 URL の値が、 [基本的な SAML 構成] セクションのテキスト ボックスに自動的に設定されます。After the metadata file is successfully uploaded, the Identifier and Reply URL values get auto populated in Basic SAML Configuration section textbox as shown below:

    d.d. [サインオン URL] ボックスに、https://<your company instance of SAP NetWeaver> という形式で URL を入力します。In the Sign-on URL text box, type a URL using the following pattern: https://<your company instance of SAP NetWeaver>

    注意

    ユーザーのインスタンスに対して構成された応答 URL に誤りがあるというエラーはほとんどレポートされていません。We have seen few customers reporting an error of incorrect Reply URL configured for their instance. もしそのようなエラーが発生した場合は、回避策として、次の PowerShell スクリプトを使用してください。ご使用のインスタンスに対して正しい応答 URL を設定することができます。If you receive any such error, you can use following PowerShell script as a work around to set the correct Reply URL for your instance.:

    Set-AzureADServicePrincipal -ObjectId $ServicePrincipalObjectId -ReplyUrls "<Your Correct Reply URL(s)>"
    

    ServicePrincipal Object ID は最初に自分で設定しておくことができるほか、ここで渡すこともできます。ServicePrincipal Object ID is to be set by yourself first or you can pass that also here.

  5. SAP NetWeaver アプリケーションでは、特定の形式の SAML アサーションを使用するため、カスタム属性マッピングを SAML トークン属性の構成に追加する必要があります。SAP NetWeaver application expects the SAML assertions in a specific format, which requires you to add custom attribute mappings to your SAML token attributes configuration. 次のスクリーンショットには、既定の属性一覧が示されています。The following screenshot shows the list of default attributes. [編集] アイコンをクリックして、[ユーザー属性] ダイアログを開きます。Click Edit icon to open User Attributes dialog.

    image

  6. [ユーザー属性] ダイアログの [ユーザーの要求] セクションで、上の図のように SAML トークン属性を構成し、次の手順を実行します。In the User Claims section on the User Attributes dialog, configure SAML token attribute as shown in the image above and perform the following steps:

    a.a. [編集] アイコンをクリックして、 [ユーザー要求の管理] ダイアログを開きます。Click Edit icon to open the Manage user claims dialog.

    image

    image

    b.b. [変換] の一覧で、ExtractMailPrefix() を選択します。From the Transformation list, select ExtractMailPrefix().

    c.c. [パラメーター 1] の一覧で、user.userprinicipalname を選択します。From the Parameter 1 list, select user.userprinicipalname.

    d.d. [Save] をクリックします。Click Save.

  7. [SAML でシングル サインオンをセットアップします] ページの [SAML 署名証明書] セクションで、 [フェデレーション メタデータ XML] を探して [ダウンロード] を選択し、証明書をダウンロードしてコンピューターに保存します。On the Set up Single Sign-On with SAML page, in the SAML Signing Certificate section, find Federation Metadata XML and select Download to download the certificate and save it on your computer.

    証明書のダウンロードのリンク

  8. [SAP NetWeaver の設定] セクションで、要件に従って適切な URL をコピーします。On the Set up SAP NetWeaver section, copy the appropriate URL(s) based on your requirement.

    構成 URL のコピー

Azure AD のテスト ユーザーの作成Create an Azure AD test user

このセクションでは、Azure portal 内で B.Simon というテスト ユーザーを作成します。In this section, you'll create a test user in the Azure portal called B.Simon.

  1. Azure portal の左側のウィンドウから、 [Azure Active Directory][ユーザー][すべてのユーザー] の順に選択します。From the left pane in the Azure portal, select Azure Active Directory, select Users, and then select All users.
  2. 画面の上部にある [新しいユーザー] を選択します。Select New user at the top of the screen.
  3. [ユーザー] プロパティで、以下の手順を実行します。In the User properties, follow these steps:
    1. [名前] フィールドに「B.Simon」と入力します。In the Name field, enter B.Simon.
    2. [ユーザー名] フィールドに「username@companydomain.extension」と入力します。In the User name field, enter the username@companydomain.extension. たとえば、「 B.Simon@contoso.com 」のように入力します。For example, B.Simon@contoso.com.
    3. [パスワードを表示] チェック ボックスをオンにし、 [パスワード] ボックスに表示された値を書き留めます。Select the Show password check box, and then write down the value that's displayed in the Password box.
    4. Create をクリックしてください。Click Create.

Azure AD テスト ユーザーの割り当てAssign the Azure AD test user

このセクションでは、SAP NetWeaver へのアクセスを許可することで、B.Simon が Azure シングル サインオンを使用できるようにします。In this section, you'll enable B.Simon to use Azure single sign-on by granting access to SAP NetWeaver.

  1. Azure portal で [エンタープライズ アプリケーション] を選択し、 [すべてのアプリケーション] を選択します。In the Azure portal, select Enterprise Applications, and then select All applications.

  2. アプリケーションの一覧で [SAP NetWeaver] を選択します。In the applications list, select SAP NetWeaver.

  3. アプリの概要ページで、 [管理] セクションを見つけて、 [ユーザーとグループ] を選択します。In the app's overview page, find the Manage section and select Users and groups.

    [ユーザーとグループ] リンク

  4. [ユーザーの追加] を選択し、 [割り当ての追加] ダイアログで [ユーザーとグループ] を選択します。Select Add user, then select Users and groups in the Add Assignment dialog.

    [ユーザーの追加] リンク

  5. [ユーザーとグループ] ダイアログの [ユーザー] の一覧から [B.Simon] を選択し、画面の下部にある [選択] ボタンをクリックします。In the Users and groups dialog, select B.Simon from the Users list, then click the Select button at the bottom of the screen.

  6. SAML アサーション内に任意のロール値が必要な場合、 [ロールの選択] ダイアログでユーザーに適したロールを一覧から選択し、画面の下部にある [選択] をクリックします。If you're expecting any role value in the SAML assertion, in the Select Role dialog, select the appropriate role for the user from the list and then click the Select button at the bottom of the screen.

  7. [割り当ての追加] ダイアログで、 [割り当て] をクリックします。In the Add Assignment dialog, click the Assign button.

SAML を使用した SAP NetWeaver の構成Configure SAP NetWeaver using SAML

  1. SAP システムにサインインし、トランザクション コード SAML2 に移動します。Sign in to SAP system and go to transaction code SAML2. 新しいブラウザー ウィンドウで SAML 構成画面が開きます。It opens new browser window with SAML configuration screen.

  2. 信頼できる ID プロバイダー (Azure AD) のエンド ポイントを構成するには、 [Trusted Providers](信頼できるプロバイダー) タブに移動します。For configuring End points for trusted Identity provider (Azure AD) go to Trusted Providers tab.

    Configure single sign-on

  3. [Add](追加) をクリックして、コンテキスト メニューから [Upload Metadata File](メタデータ ファイルのアップロード) を選択します。Press Add and select Upload Metadata File from the context menu.

    Configure single sign-on

  4. Azure portal からダウンロードしたメタデータ ファイルをアップロードします。Upload metadata file, which you have downloaded from the Azure portal.

    Configure single sign-on

  5. 次の画面で、エイリアス名を入力します。In the next screen type the Alias name. たとえば「aadsts」と入力し、 [Next](次へ) をクリックして続行します。For example, aadsts and press Next to continue.

    Configure single sign-on

  6. [Digest Algorithm](ダイジェスト アルゴリズム)[SHA-256] であることを確認します。何も変更する必要はありません。 [Next](次へ) をクリックします。Make sure that your Digest Algorithm should be SHA-256 and don’t require any changes and press Next.

    Configure single sign-on

  7. [Single Sign-On Endpoints](シングル サインオン エンドポイント) では [HTTP POST] を使用し、 [Next](次へ) をクリックして続行します。On Single Sign-On Endpoints, use HTTP POST and click Next to continue.

    Configure single sign-on

  8. [Single Logout Endpoints](シングル ログアウト エンドポイント) では [HTTPRedirect] を選択し、 [Next](次へ) をクリックして続行します。On Single Logout Endpoints select HTTPRedirect and click Next to continue.

    Configure single sign-on

  9. [Artifact Endpoints](アーティファクト エンドポイント) では、 [Next](次へ) をクリックして続行します。On Artifact Endpoints, press Next to continue.

    Configure single sign-on

  10. [Authentication Requirements](認証要件) では、 [Finish](完了) をクリックします。On Authentication Requirements, click Finish.

    Configure single sign-on

  11. [Trusted Providers](信頼できるプロバイダー) > [Identity Federation](ID フェデレーション) タブ (画面下部) に移動します。Go to tab Trusted Provider > Identity Federation (from bottom of the screen). [編集] をクリックします。Click Edit.

    Configure single sign-on

  12. [Identity Federation](ID フェデレーション) タブ (下のウィンドウ) で [Add](追加) をクリックします。Click Add under the Identity Federation tab (bottom window).

    Configure single sign-on

  13. ポップアップ ウィンドウで [Supported NameID formats](サポートされる名前 ID 形式) から [Unspecified](未指定) を選択し、[OK] をクリックします。From the pop-up window, select Unspecified from the Supported NameID formats and click OK.

    Configure single sign-on

  14. [user ID Source](ユーザー ID ソース)[user ID mapping mode](ユーザー ID マッピング モード) の値によって、SAP ユーザーと Azure AD 要求の間のリンクが決まることに注意してください。Note that user ID Source and user ID mapping mode values determine the link between SAP user and Azure AD claim.

    シナリオ: SAP ユーザーから Azure AD ユーザーへのマッピング。Scenario: SAP User to Azure AD user mapping.

    a.a. SAP の NameID 詳細スクリーンショット。NameID details screenshot from SAP.

    Configure single sign-on

    b.b. Azure AD からの必要な要求の説明のスクリーンショット。Screenshot mentioning Required claims from Azure AD.

    Configure single sign-on

    シナリオ: SU01 で構成済みのメール アドレスに基づいて SAP ユーザー ID を選択する。Scenario: Select SAP user ID based on configured email address in SU01. このケースでは、SSO を必要とする各ユーザーの su01 でメール ID を構成する必要があります。In this case email ID should be configured in su01 for each user who requires SSO.

    a.a. SAP の NameID 詳細スクリーンショット。NameID details screenshot from SAP.

    Configure single sign-on

    b.b. Azure AD からの必要な要求の説明のスクリーンショット。screenshot mentioning Required claims from Azure AD.

    Configure single sign-on

  15. [Save](保存) をクリックし、 [Enable](有効) をクリックして ID プロバイダーを有効にします。Click Save and then click Enable to enable identity provider.

    Configure single sign-on

  16. メッセージが表示されたら、 [OK] をクリックします。Click OK once prompted.

    Configure single sign-on

    SAP NetWeaver のテスト ユーザーの作成Create SAP NetWeaver test user

    このセクションでは、SAP NetWeaver で B.simon というユーザーを作成します。In this section, you create a user called B.simon in SAP NetWeaver. 社内の SAP 専門家チームまたは組織の SAP パートナーと協力して、SAP NetWeaver プラットフォームにユーザーを追加してください。Please work your in house SAP expert team or work with your organization SAP partner to add the users in the SAP NetWeaver platform.

SSO のテストTest SSO

  1. ID プロバイダー Azure AD がアクティブになったら、次の URL にアクセスして SSO を確認します (ユーザー名とパスワードの入力は求められません)Once the identity provider Azure AD was activated, try accessing below URL to check SSO (there will no prompt for username & password)

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    (または) 下記の URL を使用します(or) use the URL below

    https://<sapurl>/sap/bc/bsp/sap/it00/default.htm

    注意

    sapurl は実際の SAP のホスト名に置き換えます。Replace sapurl with actual SAP hostname.

  2. 上記の URL により、下の画面に移動するはずです。The above URL should take you to below mentioned screen. 下のページに移動できる場合、Azure AD の SSO のセットアップは正常に行われています。If you are able to reach up to the below page, Azure AD SSO setup is successfully done.

    Configure single sign-on

  3. ユーザー名とパスワードの入力を求められた場合は、次の URL を使用してトレースを有効にして問題を診断してくださいIf username & password prompt occurs, please diagnose the issue by enable the trace using below URL

    https://<sapurl>/sap/bc/webdynpro/sap/sec_diag_tool?sap-client=122&sap-language=EN#

SAP NetWeaver の OAuth 向け構成Configure SAP NetWeaver for OAuth

  1. SAP によって文書化されたプロセスが「NetWeaver Gateway サービスの有効化と OAuth 2.0 スコープの作成」に記載されています。SAP Documented process is available at the location: NetWeaver Gateway Service Enabling and OAuth 2.0 Scope Creation

  2. SPRO に移動し、 [Activate and Maintain services](サービスのアクティブ化と管理) を探します。Go to SPRO and find Activate and Maintain services.

    Configure single sign-on

  3. この例では、OAuth を使用した OData サービス DAAG_MNGGRP を Azure AD SSO に接続します。In this example we want to connect the OData service: DAAG_MNGGRP with OAuth to Azure AD SSO. テクニカル サービス名の検索を使用して、DAAG_MNGGRP というサービスを探し、まだアクティブ ([ICF nodes](ICF ノード) タブで green 状態を確認) になっていない場合はアクティブ化します。Use the technical service name search for the service DAAG_MNGGRP and activate if not yet active, already (look for green status under ICF nodes tab). システム エイリアス (サービスが実際に実行される接続先バックエンド システム) が正しいことを確認してください。Ensure if system alias (the connected backend system, where the service actually running) is correct.

    Configure single sign-on

    • 次に、最上部にあるボタン バーの [OAuth] ボタンをクリックし、scope を割り当てます (既定の名前をそのまま使用してください)。Then click pushbutton OAuth on the top button bar and assign scope (keep default name as offered).
  4. この例のスコープは DAAG_MNGGRP_001 です。これは、番号を自動的に追加することによってサービス名から生成されます。For our example the scope is DAAG_MNGGRP_001, it is generated from the service name by automatically adding a number. レポート /IWFND/R_OAUTH_SCOPES は、スコープの名前の変更または作成を手動で行うために使用できます。Report /IWFND/R_OAUTH_SCOPES can be used to change name of scope or create manually.

    Configure single sign-on

    注意

    soft state status is not supported というメッセージは問題ないので無視してかまいません。Message soft state status is not supported – can be ignored, as no problem. 詳細については、こちらを参照してください。For more details, refer here

OAuth 2.0 クライアントのサービス ユーザーを作成するCreate a service user for the OAuth 2.0 Client

  1. OAuth2 では、service ID を使用してエンドユーザーのアクセス トークンを代わりに取得します。OAuth2 uses a service ID to get the access token for the end-user on its behalf. OAuth の設計上の重要な制限として、OAuth 2.0 Client ID は、OAuth 2.0 クライアントがアクセス トークンを要求する際のログインに使用される username と一致している必要があります。Important restriction by OAuth design: the OAuth 2.0 Client ID must be identical with the username the OAuth 2.0 client uses for login when requesting an Access Token. そのため、この例では OAuth 2.0 クライアントを CLIENT1 という名前で登録したうえで、同じ名前 (CLIENT1) のユーザーが SAP システムに存在することを前提条件とし、また照会元のアプリケーションでそのユーザーが使用されるように構成します。Therefore, for our example, we are going to register an OAuth 2.0 client with name CLIENT1, and as a prerequisite a user with the same name (CLIENT1) must exist in the SAP system and that user we will configure to be used by the referred application.

  2. OAuth クライアントを登録する際は、SAML Bearer Grant type を使用します。When registering an OAuth Client we use the SAML Bearer Grant type.

    注意

    詳細については、こちらの「SAML ベアラー付与タイプでの OAuth 2.0 クライアントの登録」を参照してくださいFor more details, refer OAuth 2.0 Client Registration for the SAML Bearer Grant Type here

  3. tcod: SU01 で、CLIENT1 というユーザーを System type として作成してパスワードを割り当て、保存します。必要に応じてその資格情報を API プログラマに提供します。API プログラマはそれをユーザー名と共に、呼び出し元のコードに書き込む必要があります。tcod: SU01 / create user CLIENT1 as System type and assign password, save it as need to provide the credential to the API programmer, who should burn it with the username to the calling code. プロファイルやロールを割り当てる必要はありません。No profile or role should be assigned.

新しい OAuth 2.0 クライアント ID を作成ウィザードで登録するRegister the new OAuth 2.0 Client ID with the creation wizard

  1. 新しい OAuth 2.0 クライアントを登録するために、トランザクション SOAUTH2 を開始します。To register a new OAuth 2.0 client start transaction SOAUTH2. このトランザクションは、既に登録されている OAuth 2.0 クライアントについての概要を表示します。The transaction will display an overview about the OAuth 2.0 clients that were already registered. この例では CLIENT1 という名前の新しい OAuth クライアントのために、 [Create](作成) を選択してウィザードを開始します。Choose Create to start the wizard for the new OAuth client named as CLIENT1in this example.

  2. T-Code: SOAUTH2 に移動して説明を入力し、 [next](次へ) をクリックします。Go to T-Code: SOAUTH2 and Provide the description then click next.

    Configure single sign-on

    Configure single sign-on

  3. あらかじめ追加されている [SAML2 IdP - Azure AD] をドロップダウン リストから選択して保存します。Select the already added SAML2 IdP – Azure AD from the dropdown list and save.

    Configure single sign-on

    Configure single sign-on

    Configure single sign-on

  4. [Scope Assignment](スコープ割り当て) の下の [Add](追加) をクリックして、前に作成されたスコープ (DAAG_MNGGRP_001) を追加します。Click on Add under scope assignment to add the previously created scope: DAAG_MNGGRP_001

    Configure single sign-on

    Configure single sign-on

  5. [finish](完了) をクリックします。Click finish.

その他のリソースAdditional resources