こちらの記事は以下のブログを参考にしています。
SAP ERP コネクタおよび SAP OData コネクタの拡張シングル サインオン認証サポートがパブリックプレビューで利用可能になったことをお知らせします。
SAP OData コネクタ: Microsoft Azure API Management によるシングル サインオン
現在パブリックプレビュー中のSAP OData コネクタでは、基本認証、匿名認証、API キー認証に加えて、Microsoft Azure API Managementを通じて利用できるシングル サインオンもサポートされるようになりました。Microsoft Entra ID (旧 Azure AD) を ID プロバイダーとして使用することで、SAP Gateway、S/4HANA Cloud、RISE などの SAP サービスへの SAP プリンシパルの伝播が可能になります。ソリューションの中核となるのは、実績のある OAuth2SAMLBearer フローです。組織は、SAP 環境の保護とコンプライアンスを維持しながら、ローコード開発のメリットを活用できます。このようにして、Microsoft と SAP エコシステムにまたがるローコード ソリューションのユーザーは、Microsoft Entra ID ID から名前付き SAP バックエンド ユーザーにマッピングされます。SAP 認証は完全に保持されます。
さらに、Azure API Management レベルでこの課題を解決すると、さまざまなコンシューマー ソリューションへのアプローチを拡張できるようになります。開発者ごとに車輪の再発明を行う必要がなくなります。
Azure API Management リポジトリのポリシーについては、こちらを参照してください。
Azure API Management を介した OAuth2 の詳細については、「Microsoft Power Platform の SAP プリンシパル伝達とSSOを有効にする」を参照してください。
パブリックプレビュー期間中は、Entra ID を使用して SAP OData コネクタ経由で SAP データにアクセスする Microsoft Power Automate クラウド フローを作成する機能を確認し、フィードバックを提供することをお勧めします。
この機能は、Microsoft Power Apps および Power Automate のすべてのリージョンで利用できます。
SAP ERP コネクタ: 証明書を使用した Microsoft Entra ID
SAP ERP コネクタの新しい認証タイプ、証明書ベースのシングル サインオン (SSO)のリリースを発表できることを嬉しく思います。基本認証、Kerberos 経由の Microsoft Entra ID、および Windows 認証の既存のサポートを基に、この最新の拡張機能では証明書を使用した Microsoft Entra IDが導入され、セキュリティがさらに強化され、業界標準および SAP 推奨事項に準拠しています。
この新しい認証方法により、ユーザーは Microsoft Entra ID 資格情報を利用して SAP システム内の機密データにアクセスできるため、複数のユーザー名とパスワードを覚える必要がなくなります。X.509 証明書を使用することで、ユーザー ID を安全に検証する信頼できる環境が確立され、機密情報を保護しながらログイン プロセスを合理化できます。
証明書認証を備えた Microsoft Entra ID の重要な機能はプリンシパル伝播であり、これによりビジネス ユーザーは固有の SAP ユーザー資格情報を使用して SAP システムとやり取りできるようになります。このアプローチにより、サービス プリンシパルがユーザーに代わって行動する必要がなくなり、重要な監査ポリシー要件を満たすことができます。
証明書ベースの SSO は、認証にデジタル証明書を利用することで、セキュリティとユーザーの利便性を高めます。証明書は、従来のユーザー名とパスワードの組み合わせに比べて、より強力な検証形式を提供し、侵害されにくい暗号化技術を活用します。各証明書はユーザーに一意に関連付けられ、信頼できる機関によって発行されるため、許可された個人のみがシステムにアクセスできるようになります。さらに、証明書は自動的に期限切れになるように設定できるため、最新かつ有効な資格情報のみが使用されることが保証され、セキュリティがさらに強化されます。
セットアップの要件
証明書ベースの SSO を実装するには、次のコンポーネントが必要です。
- オンプレミス データ ゲートウェイ: Microsoft Power Platform の接続ブリッジ ソフトウェア。
- S ユーザー アカウント: SAP NCo およびその他のサポート コンテンツ/ダウンロードに必要です。
- SAP Connector for Microsoft .NET (NCo) : SAP 接続を確立するために不可欠です。
- SAP 暗号化ライブラリ: OPDG 用に SAP および Windows VM にインストールして検証します。
- 公開鍵インフラストラクチャ ソリューション: 証明書の管理に必要です。
- SAP GUI がインストールされている: SAP 構成に必要です。
- SAP 管理者アカウント: 管理タスクに必要です。
証明書を使用した Microsoft Entra ID の構成に関する詳細情報については、Microsoft Learn のドキュメントを参照してください。
証明書を使用した Microsoft Entra ID - データ フロー図
この機能は、2024 年 8 月 14 日より、Power Apps および Power Automate のすべてのリージョンで利用できるようになります。
近日公開予定(2024年第3四半期/第4四半期)
SAP ERP コネクタ
- RFC v3アクション: RFC v2 アクションは廃止され、現在プレビュー中の新しい v3 バージョンが採用されます。数字を処理するためのローカリゼーション修正が含まれています。
- SAP セットアップ アシスタント: SAP セットアップ アシスタントは、顧客とパートナーをステップバイステップのプロセスでガイドすることで、SAP と Microsoft Power Platform 間の接続のセットアップを簡素化するように設計されています。このアシスタントは、必要な各コンポーネントの手順、自動化、およびテストを提供します。
RFC v3 と SAP セットアップアシスタントは、2024 年第 3 四半期後半に一般公開される予定です。
SAP OData コネクタ
パブリック プレビュー期間中に皆様のフィードバックに耳を傾け、コネクタにいくつかの機能強化を加えました。SAP OData コネクタは、2024 年第 4 四半期に一般提供される予定です。一般提供時には、Azure API Management によるシングル サインオンのサポートに加えて、次のサポートが予定されています。
- Microsoft Azure 仮想ネットワーク: プライベート仮想ネットワークとのやり取りのサポートを有効にし、Microsoft Azure 上のゲートウェイ マシンとソフトウェアを使用する必要性を排除します。
- Microsoft Power Fx : 自然言語を使用して OData クエリを生成する機能を提供する Power Fx クエリのネイティブ サポート。
- SAP 統合スイートの API 管理機能を使用したシングル サインオン: OAuth フローを介して SAP OData サービスへの SSO 認証を可能にします。SAP API 管理を組み合わせることで、お客様は SAP Business Technology Platform を使用して統合と OAuth フローに必要な内容に合わせて APIM ポリシーを設定し、SAP Cloud Connector を使用して SAP システムに接続できます。
SAP と Microsoft Power Platform の将来
SAP と Microsoft Power Platform は、Microsoft が継続的に投資している分野です。詳細については、次の便利なリソースを参照してください。
- SAP OData – コネクタ | Microsoft Learn
- SAP ERP – コネクタ | Microsoft Learn
- Microsoft Power Apps – AI を活用したアプリの構築 | Microsoft
- Microsoft Power Platform 向け SAP 調達テンプレート – Power Platform | Microsoft Learn
- Microsoft Power Platform を Azure 上の SAP に接続する – トレーニング | Microsoft Learn
- オンプレミス データ ゲートウェイをインストールして構成する
- Microsoft .NET 用 SAP コネクタ
Discussion