Tokyo Discussions
都市の垣根なく、日本語でQ&Aできます
cancel
Showing results for 
Search instead for 
Did you mean: 

KeycloakとSAP BTP間をSSO連携する際のIASの要否

kaori_oiwa
Explorer
0 Kudos
266

KeycloakとSAP BTPをSAMLで連携してシングルサインオンを実装したいと考えています。
下記の記事を見る限り、KeycloakとSAP BTPがあれば連携可能と解釈しましたが
前提条件としてIASテナントは不要なのでしょうか?
https://community.sap.com/t5/technology-blogs-by-members/keycloak-identity-provision-and-authenticat...

SAP ID Serviceは標準的なログインしかサポートしておらず、
今回のような特殊な認証にはIASが必要だと認識していたので質問させていただきました。
ご存じの方がいましたらご回答よろしくお願いいたします。

5 REPLIES 5

masa_139
Product and Topic Expert
Product and Topic Expert
230

Corporate Identity Provider が Keycloak であれば、
App -> IAS (proxy) -> Keycloak の構成がおすすめです。
ビジネスユーザは Keycloak のパスワードだけ覚えておけばいいです。社外のユーザは Corporate Identity Provider の Keycloak に登録しない運用をする場合が多く、IAS に登録して運用します。
このように将来的な、社内ユーザ、社外ユーザの管理、企業の M&A に対応できるように2階層にしておくと柔軟な運用ができます。

運用で重要なポイントは、シングルサインオンだけでなく、ロールのマッピングです。通常 Identity Provider で Group 属性を管理して、BTP 側で管理しているアプリのロールにマッピングします。

次に重要なポイントは SAML でなくOpenID Connect が業界デフォルトになってきたという点で、業界の動向も捉えて正しい設計をする事です。
https://help.sap.com/whats-new/cf0cb2cb149647329b5d02aa96303f56?Component=Authorization+and+Trust+Ma...


0 Kudos
205

ご回答ありがとうございます。
また、添付の記事から年内をもってBTPとのSAML連携が廃止される旨、理解いたしました。
有益な情報ありがとうございます。

masa_139
Product and Topic Expert
Product and Topic Expert
198

App on BTP - (OpenID Connect) - IAS - (SAML) - Keycloak の構成は可能です。
SAP Cloud Identity Services での SAML トラストから OpenID Connect トラストへの移行

 

0 Kudos
167

ありがとうございます。
追加で質問させていただきたいのですが
IAS - Keycloak 間はOIDCでも連携可能でしょうか?

masa_139
Product and Topic Expert
Product and Topic Expert
140

可能です。やってみたら、コミュニティへフィードバックしてみてください。