a month ago
KeycloakとSAP BTPをSAMLで連携してシングルサインオンを実装したいと考えています。
下記の記事を見る限り、KeycloakとSAP BTPがあれば連携可能と解釈しましたが
前提条件としてIASテナントは不要なのでしょうか?
https://community.sap.com/t5/technology-blogs-by-members/keycloak-identity-provision-and-authenticat...
SAP ID Serviceは標準的なログインしかサポートしておらず、
今回のような特殊な認証にはIASが必要だと認識していたので質問させていただきました。
ご存じの方がいましたらご回答よろしくお願いいたします。
4 weeks ago
Corporate Identity Provider が Keycloak であれば、
App -> IAS (proxy) -> Keycloak の構成がおすすめです。
ビジネスユーザは Keycloak のパスワードだけ覚えておけばいいです。社外のユーザは Corporate Identity Provider の Keycloak に登録しない運用をする場合が多く、IAS に登録して運用します。
このように将来的な、社内ユーザ、社外ユーザの管理、企業の M&A に対応できるように2階層にしておくと柔軟な運用ができます。
運用で重要なポイントは、シングルサインオンだけでなく、ロールのマッピングです。通常 Identity Provider で Group 属性を管理して、BTP 側で管理しているアプリのロールにマッピングします。
次に重要なポイントは SAML でなくOpenID Connect が業界デフォルトになってきたという点で、業界の動向も捉えて正しい設計をする事です。
https://help.sap.com/whats-new/cf0cb2cb149647329b5d02aa96303f56?Component=Authorization+and+Trust+Ma...
4 weeks ago
ご回答ありがとうございます。
また、添付の記事から年内をもってBTPとのSAML連携が廃止される旨、理解いたしました。
有益な情報ありがとうございます。
4 weeks ago
App on BTP - (OpenID Connect) - IAS - (SAML) - Keycloak の構成は可能です。
SAP Cloud Identity Services での SAML トラストから OpenID Connect トラストへの移行
4 weeks ago
ありがとうございます。
追加で質問させていただきたいのですが
IAS - Keycloak 間はOIDCでも連携可能でしょうか?
4 weeks ago
可能です。やってみたら、コミュニティへフィードバックしてみてください。