Active Directory & SAPユーザー管理統合ソリューショ

ンマイクロソフト株式会社

エンタープライズパートナービジネス推進本部

１．シングルサインオンソリューション

Windows

１－１．通常のパターン

Kernel 4.x ～+ add-on

SAPApps

NT4/Active Directory

ドメインコントローラ

SAP GUI for Windows+ add-on

”① w2kuser” として　ログオン→ TGT 取得

”② w2kuser” としての　セッションチケット発行

”③ w2kuser” としてアクセス

⑤ アクセス許可

MSApps

”③ w2kuser” としてアクセス

w2kuser→r3user・・・・・

④ マッピングテーブルでユーザーマッピング

SAPのベーシスがカーネル 4.x以降であれば、（ ITSやWorkplace、 PASを導入することなく）サーバー＆クライアントにアドオンを追加するだけでシングルサインオンが実現する。

インストールガイドの入手• SAP サービスマーケットプレイス - インストールガイ

ド– http://service.sap.com/netweaver 　

R/3 4.x でのシングルサインオン設定（１）

• R/3 サーバの ...\usr\sap\<sid>\sys\exe\run に gssapi32.dll（カーネル CD に同梱） をコピーする

R/3 4.x でのシングルサインオン設定（２）

• t-cd: RZ10 からガイドの通り、インスタンスプロファイルにパラメータを追加し、 R/3 をリブートする

Kksapsv5: R/3 サーバーホスト名

C11: SID

R/3 4.x でのシングルサインオン設定（３）

• クライアント PC の… \Program Files\SAPpc\SAPGUI の中に gssapi32.dll をコピーする

R/3 4.x でのシングルサインオン設定（４）

• クライアント PC のコントロールパネル・システム・詳細タブ・環境変数ボタンから SNC_LIB のエントリを追加し、ローカルに存在する gssapi32.dll の絶対パスを入力し、一度ログオンし直す

R/3 4.x でのシングルサインオン設定（５）

• SAPLogon メニューで Property/ Advanced ボタンから Secure Network preference のラジオボタンをオンにし、ガイドの通り UserIDを入力する

R/3 4.x でのシングルサインオン設定（６）

• t-cd: SU01 からマッピングしたいユーザーを指定し、SNC タブにガイドの通り入力（以上で完了）

FAREAST: 所属するドメイン名

Windows

１－２． ITS & Workplace + “PAS”

SAPBasis

SAPApps

NT4/ Active Directory

ドメインコントローラ

IE (SAP GUIfor HTML)

”① winuser” として　ログオン→ TGT 取得

”② winuser” としての　セッションチケット発行

”③ winuser” としてアクセス

⑥ アクセス許可

MSApps

”③ winuser” としてアクセス

”⑤ r3user”としてアクセス

ITSとWorkplaceに” PAS”を導入することで、システム全体に対してログオンが 1回で済むようになる。

ITS 4.6D~& Workplace

& “PAS”

winuser→r3user・・・・・

④ マッピングテーブルでユーザーマッピング

“PAS”: “Pluggable Authentication Service”

２．ユーザー同期ソリューション

２－１．連携アプリケーション

Basis 4.0B ～“DCOM

Connector”

SAPApps

NT4/ Active Directory

ドメインコントローラ

SAPにユーザー登録（編集、削除）したタイミングで、ディレクトリにも自動的に

同期がなされる

① R/3 上でユーザー” r3user” を登録

.NET アプリケーション

②R/3 から BAPI を介して登録ユーザーを取得し、

NT4/AD ドメインコントローラへ ADSI を介してユーザーを同期するアプリケーションを起動

BAPI

ADSI

③ ドメインコントローラ上にユーザー” winuser” が自動登録

２－２． BizTalk

BasisALE

SAPApps

NT4/ Active Directory

ドメインコントローラ

SAPにユーザー登録（編集、削除）したタイミングで、ディレクトリにも自動的に

同期がなされる

① R/3 上でユーザー” r3user” を登録

BizTalk & Adapter for SAP

③R/3 から登録ユーザー情報を受信したタイミングで、NT4/AD ドメインコントローラへ ADSI を介してユーザーを同期するようBizTalk を構成、稼動

② ALE 機能を利用して登録ユーザー情報をIDoc 形式で宛先へ送信（管理者の事前設定有、送信は自動でなされる）

MSMQ

ADSI

④ ドメインコントローラ上にユーザー” winuser” が自動登録

２－３． WAS 6.2~ + Active Directory

WAS 6.20“LDAP

Connector”

SAPApps

ActiveDirectory

SAPにユーザー登録（編集、削除）したタイミングで、ディレクトリにも自動的に

同期がなされる

① R/3 上でユーザー” r3user” を登録

②LDAP Connector がデータ加工(“w2kuser”)

③LDAP Connectorが LDAP プロトコルによりActive Directory に対しユーザーを同期（” w2kuser” を登録）LDAP

④ ドメインコントローラ上にユーザー” winuser” が自動登録

連携アプリケーション提案にあたっての考慮事項（１）

• ベーシス環境はバージョン 4.0B 以降– .NET Connector が稼動する条件– 既存ユーザーに対して提案が可能

• ディレクトリ環境は何でもよい• 開発環境には Visual Studio .NET を利用する

– ABAP でのプログラミングは必須ではない• R/3 の API である BAPI の調査（＆自作）が必

要– どの BAPI が要件を満たすか？引数、戻り値は？– 適当な BAPI がない場合自分で BAPI を作成

• ディレクトリ API である ADSI の習得が必要• 更新時エラーのハンドリングに考慮が必要

BizTalk 提案にあたっての考慮事項（１）

• ベーシス環境はバージョン不問– IDoc が吐き出せれば OK– 既存ユーザーに対して提案が可能

• ディレクトリ環境は何でもよい• BizTalk には SAP 用のアダプタがあり、 SAP

から BizTalk への送信はノープログラミングで構成可能

• SAP からの Outbound であればほとんどのケースで既製の IDoc で事が足りる– IDoc の自作は必要ない

BizTalk 提案にあたっての考慮事項（２）

• SAP から BizTalk への送信に際して– SAP において IDoc を吐き出す設定（ ALE 機

能）• IDoc の調査は必要

– BizTalk において IDoc を受信する設定• BizTalk からディレクトリへの送信に際して

– BizTalk において ADSI をコールする COM アプリケーションを起動する

• ADSI の習得は必要

– Visual Studio 6.0, .NET などで開発

WAS6.2 提案にあたっての考慮事項

• トポロジーがシンプル– ゲートウエイを挟まない– SAP WAS, Active Directory 双方による LDAP プロト

コルサポートの賜物– マッピングなどは LDAP Connector が担当

• ベーシス環境は WAS 6.20 以降を必要とし、提案のターゲットが新規導入ユーザーに限定される

• ディレクトリ環境は Active Directory が前提