Technology Blogs by SAP
Learn how to extend and personalize SAP applications. Follow the SAP technology blog for insights into SAP BTP, ABAP, SAP Analytics Cloud, SAP HANA, and more.
cancel
Showing results for 
Search instead for 
Did you mean: 
masahiroo
Product and Topic Expert
Product and Topic Expert
こんにちは!

今回のブログでは、クラウド時代にふさわしい SAP が提供する IDとアクセス管理(いわゆる IAM、Identity and Access Management)のためのソリューションをご紹介します。

ソリューションポートフォリオ


企業ユーザのための IDとアクセス管理ソリューションは、以下の3つの領域において、クラウドでの提供サービスと、従来からのオンプレミスソリューションで構成されます。


 

クラウドソリューション


SAP Cloud Identity Services


SAP Cloud Identity Services では、ユーザ認証およびプロビジョニングの基本機能が提供されます。SAP Cloud Identity Services は、Identity Authentication と Identity Provisioning の 2 つの主要コンポーネントで構成されています。


詳細については、ヘルプ「SAP Cloud Identity Services」を参照ください。

SAP Cloud Identity Services - Identity Provisioning


SAP Cloud Identity Services - Identity Provisioning は、ID ライフサイクルプロセスを管理するための SCIM ベースのクラウドサービスです。このサービスにより、アイデンティティライフサイクルプロセスが自動化され、さまざまなクラウドおよびオンプレミスのビジネスアプリケーションへの ID とその権限のプロビジョニングが容易になります。


詳細については、ヘルプ SAP Cloud Identity Provisioning、SAP Discovery Center でのサービスカタログ SAP Cloud Identity Services - Identity Provisioning を参照ください。

SAP Cloud Identity Services - Identity Authentication


SAP Cloud Identity Services, Identity Authentication は、SAP クラウドおよびオンプレミスアプリケーションの安全な認証およびシングルサインオンのためのパブリッククラウドサービスです。これは、アイデンティティプロバイダ自体として機能することも、顧客の既存のシングルサインオンインフラストラクチャと統合するためのプロキシとして使用することもできます。


詳細については、ヘルプ SAP Cloud Identity Services - Identity Authentication、SAP Discovery Center でのサービスカタログ SAP Cloud Identity Services - Identity Authentication を参照ください。



SAP Cloud Identity Access Governance


SAP Cloud Identity Access Governance は、シンプルでシームレスな適応型のビジネス主導の継続的なアクセス分析、ユーザプロビジョニング、およびロール設計により、管理者、監査人、およびビジネスユーザのアクセスガバナンスとコンプライアンスの複雑さとコストを削減します。IAG は、動的なロールエンジニアリングに機械学習を活用しています。

詳細については、ブログ「SAP Cloud Identity Access Governance (IAG) の概要」、ヘルプ SAP Cloud Identity Access Governance を参照ください。

SAP Secure Login Service for SAP GUI


SAP Secure Login Service for SAP GUI では、SAP GUI for Windows における安全な認証およびシングルサインオンが提供されます。

詳細については、ブログ「SAP GUI for Windows のためのシングルサインオンソリューションのご紹介」、ヘルプ SAP Secure Login Service for SAP GUI を参照ください。

 

オンプレミスソリューション


SAP Identity Management


SAP Identity Management は、オンプレミス環境のSAP、SAP以外のアプリケーションのためのIDMソリューションです。

詳細については、このブログの最後の概要、あるいはヘルプ SAP Identity Management を参照ください。

SAP Access Control


SAP Access Control では、アクセスリスク違反を検出、修正、および最終的に防止するプロセス、ロール管理アクティビティの標準化、プロビジョニングプロセスとユーザアクセスレビュープロセスの自動化、およびスーパーユーザアクティビティのエンドツーエンドの可視性の提供が含まれます。

詳細については、ブログ「SAP Access Control の概要」、ヘルプ SAP Access Control を参照ください。

SAP Single Sign-On


SAP Single Sign-On は、オンプレミスのシングルサインオンソリューションです。

詳細については、ブログ「SAP GUI for Windows のためのシングルサインオンソリューションのご紹介」、ヘルプ SAP Single Sign-On を参照ください。




補足: SAP Identity Management の主な機能について


以下は、過去、別サイトに投稿したブログからの抜粋です。該当サイトが近く閉鎖されることから記録として残すために、転載しています。灰色の文字が元のブログから、黒字が今回追記した箇所を示しています。

SAP Identity Managementとは?


SAP Identity Management によって、企業は、複雑で異機種混在のシステム環境において、ユーザーIDとそのIDへの権限の割当を集中管理できます。例えば、複数のシステムに分散した、本社、関連会社、契約社員のユーザーIDを一元管理できます。

SAP Cloud Identity Services により、本社、関連会社、契約社員を含むユーザID を一元管理できます。

SAPおよびSAP以外のアプリケーションにユーザーIDと権限割当を自動的に配信できます。また、SAP Access Controlソリューションと連携することで、職務分掌に適合したコンプライアンス対応のID管理を実現できます。

SAP Cloud Identity Services - Identity Provisioning、あるいは、SAP Cloud Identity Services - Identity Provisioning と SAP Cloud Identity Access Governance との組み合わせにより、SAPおよびSAP以外のアプリケーションにユーザーIDと権限割当を自動的に配信でき、SAP Cloud Identity Access Governance を利用して職務分掌に適合したコンプライアンス対応をサポートできます。

ワークフロー、レポート、セルフサービス機能を提供します。SAPのシングルサインオンソリューションと連携することで、ITシステム全体に対するシングルサインを、アクセスセキュリティを確保したうえで安全に提供できます。

SAP Cloud Identity Access Governance により、ワークフロー、レポート、セルフサービスの権限申請をサポートできます。SAP Cloud Identity Services - Identity Authentication により、ITシステム全体に対するブラウザベースでのシングルサインオンを実現できます。SAP GUI for Windows でのシングルサインオンに対しては、SAP Secure Login Service for SAP GUI がこれをサポートします。


capture-1

図: SAP Identity Management の主な機能




SAP Identity Managementの差別化要因



  • SAPアプリケーションとの技術的連携

    • SAP S/4HANA、SAP Business Suite、SAP HANA、SAP BusinessObjects、SAP SuccessFactorsを含むSAPアプリケーションとの連携



  • ビジネスプロセスレベルの連携

    • SAP HCM、SAP SuccessFactorsとの連携(従業員情報)

    • SAP CRMとの連携(ビジネスパートナー情報)



  • SAP Access Controlとの連携 -> コンプライアンス(職務分掌)

  • 多くのSAPおよびSAP以外とのコネクタを標準装備(例: Active Directory、Outlook、Lotus Notes、データベース、ファイル、他)


SAP Identity Managementの利用シナリオ


統制されたID管理の代表例としてユーザーによるロール(権限)割当申請のシナリオと、ビジネスプロセスの効率化に有効な人事ビジネスプロセスとの連携によるプロビジョニングのシナリオを紹介します。
(1) ユーザーによるロール(権限)割当申請のシナリオ


  1. ユーザーがSAP Identity Managementにログインし、Web UIを使って、ロール割当を申請

  2. SAP Identity Managementのワークフロー機能により、マネージャーにワークフローのタスクが通知され、マネージャーは申請を承認
    (3から6はオプション)

  3. SAP Identity ManagementはSAP Access Controlのリスク分析へ依頼を転送

  4. SAP Access Controlはリスクを分性(職務分掌に適合することをチェック)

  5. リスクがある場合は適切な担当者が緩和処置を実行

  6. SAP Access ControlはリスクステータスをSAP Identity Managementに転送

  7. SAP Identity Managementは、ターゲットシステムへ配信(例えば、SAP ERPの請求処理ロールの申請のケースでは、SAP ERPのユーザIDに請求処理ロールを割当てる。ユーザーIDが未登録であればそのIDを登録する。)

  8. SAP Identity Managementは、ユーザーとマネージャーへメールで完了を通知




capture-3

図: ロール割当申請から配信までのプロセスフロー




(2)人事プロセス主導のIDとロール割当のシナリオ(採用時)


  1. 採用前フェーズ: 人事は、ポジションや入社日などの彼女の社員データを入力

  2. イベント起動で個人データを抽出

  3. SAP HCMでのポジションに基づき、IDMは、ビジネスロール “Marketing Specialist” を自動的に割当て

  4. 彼女の上司が割当を承認

  5. 仕事の初日: 関連システムにロールと権限情報を配信




capture-4

図: ビジネスプロセス主導のID管理(採用時)




SAP Identity Managementのコネクタ


SAP Identity Managementの標準コネクタの一覧を示します。多くのコネクタが提供されていることを確認いただけると思います。これら以外に、パートナー企業から提供されているコネクタもあります。必要に応じて、コネクタを独自に開発することも可能です。


capture-5

図: SAP Identity Management のコネクタ一覧