SAP 環境における Active Directory 導入のメリット
Download
Report
Transcript SAP 環境における Active Directory 導入のメリット
SAP 環境における
Active Directory 導入のメリット
マイクロソフト株式会社
SAP/Microsoft コンピテンスセンター
Active Directory の役割
認証エンジン
どこからでも
どんなアプリケーションでも
File, Print, Exchange, ポータル、SAP
(※)・・
(※) SAP のプラットフォームが Windows
の場合
セキュアに認証&シングルサインオン
会社のデスク、LAN 無、社外(出先、自宅
等)・・
業界標準の Kerberos技術
パスワード入力は1回だけ
認証以外にも
認証
Active Directory
通常の
接続
無線 LAN
接続
社外からの
VPN接続
ダイヤル
アップ接続
シングル
サインオン
ファイル
サーバ
プリント Exchange
サーバ
サーバ
SharePoint
サーバ
SAP R/3
サーバ
Active Directory のメリット
SAP を含めたシングルサインオンが可能
SAP の OS プラットフォームを
Windows Server にしておく事が前提条
件
ファイル、メールだけでなく SAP に対して
も、
追加の認証をユーザーに強要する事なくア
クセスさせることが可能
ユーザーの使い勝手が向上
企業システムのセキュリティ向上にも効果
Active Directory 以外のディレクトリを
導入した場合、通常 SAP に対しては別途
ユーザーIDとパスワードの入力が必要
Active Directory のメリット
業界標準の Kerberos 認証技術をいち早
く
サポートしている
非常にセキュア、情報漏えいのリスク無し
NTLM (NT における認証技術)よりも高い
パフォーマンス
認証以外にも様々なソリューションが利用
可能
特にセキュリティ設定管理
セキュリティパッチの迅速な導入
セキュアな設定を徹底的に強要
R/3 4.x でのシングルサインオン設定
(1)
R/3 サーバの ...\usr\sap\<sid>\sys\exe\run に
gssapi32.dll (カーネルCDに同梱) をコピーする
R/3 4.x でのシングルサインオン設定
(2)
t-cd: RZ10 からガイドの通り、インスタンスプロファ
イルにパラメータを追加し、R/3 をリブートする
Kksapsv5: R/3サーバーホスト名
C11: SID
R/3 4.x でのシングルサインオン設定
(3)
クライアントPCの
…\Program Files\SAPpc\SAPGUIの中に
gssapi32.dll をコピーする
R/3 4.x でのシングルサインオン設定
(4)
クライアント PC のコントロールパネル・システム・
詳細タブ・環境変数ボタンから SNC_LIB のエントリ
を追加し、
ローカルに存在する gssapi32.dll の絶対パスを入力
し、
一度ログオンし直す
R/3 4.x でのシングルサインオン設定
(5)
SAPLogon メニューで Property/ Advanced ボタ
ンから Secure Network preference のラジオボタ
ンをオンにし、ガイドの通り UserID を入力する
R/3 4.x でのシングルサインオン設定
(6)
t-cd: SU01 からマッピングしたいユーザーを指定し、
SNCタブにガイドの通り入力(以上で完了)
FAREAST: 所属するドメイン名
①ADユーザ
として認証
AD
ユーザ
情報
Active Directory
③ADユーザ→SAPユーザへ
マッピング
④SAPユーザとしてSAP利用
②AD
ユーザとして
アクセス
AD&SAPユーザ情報、
マッピングテーブルのメンテは?
ADユーザ
&SAPユーザ
マッピング
テーブル
SAP
ユーザ
情報
SAP サーバ
(ユーザー管理)
Active Directory &
SAPユーザー管理・同期ソリュー
ション
Active Directory
も SAP ユーザー管理
も、業界標準の LDAP 技術を実装
双方のユーザー情報の自動的な同期が可能
マッピングの仕方を定義しておく
ユーザーIDの命名法や電話番号の持ち方など
作りこみは殆どなし
マッピングテーブル作成の部分のみ、単純な
ABAP アプリケーションを開発
AD
ユーザ
情報
Active Directory
ユーザー情報
の同期(LDAP)
SAP
ユーザ
情報
ADユーザ
&SAPユーザ
マッピング
テーブル
SAP サーバ
(ユーザー管理)
Active Directory + SAP ユーザー管
理 + SAP HR 統合管理
以下3つの管理を統合、自動的な同期
Active Directory における、ネットワー
ク
ユーザー ID の管理
SAP “SU01”における、SAP ユーザー ID
の管理
SAP HR における、社員の管理
管理者はどこか一つをメンテナンスすれ
ばよい
LDAP技術
Active Directory
SAP同期
機能
SAP R/3 サーバ
(ユーザー管理)
SAP R/3 サーバ
(HR)
まとめ
Active Directory は、SAP システムと
の認証統合が可能です
その際、SAP システムのプラットフォー
ムを
Windows Server にしておく必要があ
る点をご留意下さい