Technology Blogs by SAP
Learn how to extend and personalize SAP applications. Follow the SAP technology blog for insights into SAP BTP, ABAP, SAP Analytics Cloud, SAP HANA, and more.
cancel
Showing results for 
Search instead for 
Did you mean: 
masahiroo
Product and Topic Expert
Product and Topic Expert
2,974
こんにちは!

今回のブログでは、SAP GUI for Windows のためのシングルサインオンソリューション SAP Secure Login Service for SAP GUI をご紹介します。

概要


SAP Secure Login Service for SAP GUI は、SAP GUI for Windows を使用する場合に多要素認証 (MFA) およびシングルサインオンを可能にするクラウドサービスです。

オンプレミスでのシングルサインオンソリューションである SAP Single Sign-On の後継ソリューションでもあります。

★ SAP Single Sign-On については、このブログの最後に概要を記載します。

メリット


複数のパスワードを使用しなくてもユーザの生産性が向上し、データが保護されます。SAP GUI 向け SAP Secure Login Service では、強力な認証方法がアイデンティティプロバイダなどのセントラル認証ソリューションと統合されます。

  • リーンクラウドサービス

  • SAP GUI ユーザのためのシンプルで安全なアクセス

  • 既存の認証インフラストラクチャとの統合

  • 迅速な導入と総所有コストの削減


なぜ、SAP GUI for Windows でのシングルサインオンに専用のソリューションが必要なのか?


SAP GUI for Windows および SAP GUI for Java は、SAP NetWeaver Application Server ABAP との通信に SAP 固有のプロトコルに依存しています。このプロトコルは HTTP ベースではないため、SAML や OpenID Connect などのシングルサインオンテクノロジはサポートされません。

従って、SAP GUI for Windows および SAP GUI for Java でのシングルサインには、専用のソリューション SAP Secure Login Service for SAP GUI が必要になります。

一方、SAP GUI for HTML は、HTTP を含む Web テクノロジーに基づいています。そのため、アイデンティティプロバイダを使用して SAP GUI for HTML のシングルサインオンを実装できます。SAP Secure Login Service for SAP GUI は必要ありません。

SAP Single Sign-On ソリューションとの比較


SAP Single Sign-On は、オンプレミスランドスケープでの認証とシングルサインオンを強化するためのベストプラクティスソリューションです。利用シナリオによりますが、SAP NetWeaver Application Server Java での多要素認証などの機能に依存し、これは、2027 年末のメインストリーム・メンテナンス期間が終了します。

SAP Secure Login Service for SAP GUI は、SAP Single Sign-On の成功コンセプトに基づいて構築され、クラウド指向の方法で提供されます。クラウドサービスを使用し、SAP NetWeaver AS Java に依存しません。すなわち、SAP NetWeaver AS Java は不要です。クラウドベースのアイデンティティプロバイダとの簡単な統合に重点を置いています。

主な利用シナリオ


ベーシックなシナリオ - Kerberos に基づくシングルサインオン


概要

  • デスクトップログイン時の Microsoft Windows ドメインへのユーザ認証に基づき、追加の認証は必要ありません。

  • Microsoft Active Directory は、SAP ビジネスアプリケーションが ID 証明として受け入れる Kerberos セキュリティトークンを提供します。


前提

  • Windows ドメインの一部である Microsoft Windows および Apple macOS デバイスでサポートされます。

  • クライアントが企業ネットワークにアクセスできる必要があります。

  • ユーザは Active Directory のアカウントを持つ必要があります。


メリット

  • 迅速な導入、TCO の削減、クラウドへの接続が不要

  • SAP GUI デスクトップクライアントのシングルサインオン


シングルサインオンのプロセスフローは下図のようになります。



X.509 証明書に基づくシングルサインオン


概要

  • ユーザは、短期間有効な X.509 証明書を取得するためにアイデンティティプロバイダに認証されます。

  • カスタマは、SAP Cloud Identity Services を認証アイデンティティプロバイダとして使用するか、またはコーポレートアイデンティティプロバイダへのプロキシとして設定することができます。

  • 認証の要素およびポリシーは、アイデンティティプロバイダの設定によって異なります。


  • 認証が正常に終了すると、SAP Secure Login Service によって短期間有効な X.509 証明書がエンドユーザのデスクトップのセキュアログインクライアントにプロビジョニングされます。

  • セキュアログインクライアントにより、SAP GUI クライアントは X.509 証明書を使用してユーザを自動的に認証することで ABAP サーバにアクセスできるようになります。


  • X.509 証明書の有効性は設定可能であり、デフォルトは 12 時間です。

  • ユーザがデスクトップクライアントからログアウトすると、証明書が自動的に削除されます。


シングルサインオンのプロセスフローは下図のようになります。


多要素認証を設定した場合の画面のフローは以下のようです。




参考情報


Help



Discovery Center







補足: SAP Single Sign-On の主な機能について


以下は、過去、別サイトに投稿したブログからの抜粋です。該当サイトが近く閉鎖されることから記録として残すために、転載しています。灰色の文字が元のブログから、黒字が今回追記した箇所を示しています。

SAP Single Sign-Onは、3つの主要なシナリオをサポートします。

1) SAPビジネスアプリケーションのためのシングルサインオン

※ このシナリオは、SAP Secure Login Service for SAP GUI の「ベーシックなシナリオ - Kerberos に基づくシングルサインオン」と同じであり、利用する技術的なコンポーネントも同一です。


2) 異機種環境でのシングルサインオン

※ このシナリオは、SAP Secure Login Service for SAP GUI の「X.509 証明書に基づくシングルサインオン」によってカバーされます。


3) クラウドベース、企業間シナリオでのシングルサインオン

※ このシナリオは、SAP Cloud Identity Services の Identity Authentication によってカバーされます。


以下に各シナリオの詳細を記載します。

1). SAPビジネスアプリケーションのためのシングルサインオン


Kerberos認証トークンを利用して、SAP S/4HANA、SAP Business Suiteのためのシングルサインオンをセットアップできます。 ユーザーはPCを起動する時に、PCのWindowsドメインにサインオンすることで一度だけログオンします。その後の認証プロセスは、SAP Single Sign-OnとMicrosoft Active Directoryによって提供されるKerberosトークンメカニズムに委ねられます。ユーザーのフロントエンドは、例えば、SAP GUI for WindowsやWebブラウザです。このシナリオでは追加のサーバーは不要です。導入もシンプルで、セキュリティと運用コストに関しての効果を短期間で得ることができます。

capture-2

2). 異機種環境でのシングルサインオン


SAP Single Sign-On は、X.509デジタル証明書をサポートします。X.509デジタル証明書は実証されたインターネット標準であり、最近の多くのビジネスソフトウェア製品によってサポートされています。企業独自の公開鍵インフラストラクチャ(PKI)を設定してX.509証明書を発行するか、SAP Single Sign-OnのコンポーネントであるSecure Login Serverに短命の証明書を発行させることができます。Secure Login Serverを使用すると、証明書失効リストなどの固有の管理プロセスが必要な本格的なPKIを設定することなく、同じレベルのセキュリティを享受することができます。このシナリオを有効にすると、SAPソフトウェアだけでなく、SAP以外の多くのアプリケーションにも一度のログオンでアクセスできるようになります。

capture-3

3). クラウドベース、企業間シナリオでのシングルサインオン


KerberosとX.509証明書は、企業の世界でシングルサインオンの多くの利用ケースをカバーしています。しかし、企業間またはクラウド間で信頼関係を構築しようとする企業も増えています。 そのような場合は、SAP Single Sign-OnのコンポーネントであるIdentity Providerを利用して、SAML(Security Assertion Markup Language)2.0によるシングルサインオンを構築できます。SAML 2.0は、IDデータが企業の境界を超えて転送された場合でも、Webベースのシングルサインオンを利用可能にし、セキュリティで保護された認証を保証するインターネット標準の技術です。

capture-4