🍎

SAP コネクタの拡張シングル サインオン認証オプションのパブリック プレビューを発表

2024/08/26に公開

こちらの記事は以下のブログを参考にしています。
https://www.microsoft.com/en-us/power-platform/blog/power-apps/announcing-public-preview-of-expanded-single-sign-on-authentication-options-for-sap-connectors/

SAP ERP コネクタおよび SAP OData コネクタの拡張シングル サインオン認証サポートがパブリックプレビューで利用可能になったことをお知らせします。

SAP OData コネクタ: Microsoft Azure API Management によるシングル サインオン

現在パブリックプレビュー中のSAP OData コネクタでは、基本認証、匿名認証、API キー認証に加えて、Microsoft Azure API Managementを通じて利用できるシングル サインオンもサポートされるようになりました。Microsoft Entra ID (旧 Azure AD) を ID プロバイダーとして使用することで、SAP Gateway、S/4HANA Cloud、RISE などの SAP サービスへの SAP プリンシパルの伝播が可能になります。ソリューションの中核となるのは、実績のある OAuth2SAMLBearer フローです。組織は、SAP 環境の保護とコンプライアンスを維持しながら、ローコード開発のメリットを活用できます。このようにして、Microsoft と SAP エコシステムにまたがるローコード ソリューションのユーザーは、Microsoft Entra ID ID から名前付き SAP バックエンド ユーザーにマッピングされます。SAP 認証は完全に保持されます。

さらに、Azure API Management レベルでこの課題を解決すると、さまざまなコンシューマー ソリューションへのアプローチを拡張できるようになります。開発者ごとに車輪の再発明を行う必要がなくなります。

Azure API Management リポジトリのポリシーについては、こちらを参照してください。

Azure API Management を介した OAuth2 の詳細については、「Microsoft Power Platform の SAP プリンシパル伝達とSSOを有効にする」を参照してください。

パブリックプレビュー期間中は、Entra ID を使用して SAP OData コネクタ経由で SAP データにアクセスする Microsoft Power Automate クラウド フローを作成する機能を確認し、フィードバックを提供することをお勧めします。

この機能は、Microsoft Power Apps および Power Automate のすべてのリージョンで利用できます。

SAP ERP コネクタ: 証明書を使用した Microsoft Entra ID

SAP ERP コネクタの新しい認証タイプ、証明書ベースのシングル サインオン (SSO)のリリースを発表できることを嬉しく思います。基本認証、Kerberos 経由の Microsoft Entra ID、および Windows 認証の既存のサポートを基に、この最新の拡張機能では証明書を使用した Microsoft Entra IDが導入され、セキュリティがさらに強化され、業界標準および SAP 推奨事項に準拠しています。

この新しい認証方法により、ユーザーは Microsoft Entra ID 資格情報を利用して SAP システム内の機密データにアクセスできるため、複数のユーザー名とパスワードを覚える必要がなくなります。X.509 証明書を使用することで、ユーザー ID を安全に検証する信頼できる環境が確立され、機密情報を保護しながらログイン プロセスを合理化できます。

証明書認証を備えた Microsoft Entra ID の重要な機能はプリンシパル伝播であり、これによりビジネス ユーザーは固有の SAP ユーザー資格情報を使用して SAP システムとやり取りできるようになります。このアプローチにより、サービス プリンシパルがユーザーに代わって行動する必要がなくなり、重要な監査ポリシー要件を満たすことができます。

証明書ベースの SSO は、認証にデジタル証明書を利用することで、セキュリティとユーザーの利便性を高めます。証明書は、従来のユーザー名とパスワードの組み合わせに比べて、より強力な検証形式を提供し、侵害されにくい暗号化技術を活用します。各証明書はユーザーに一意に関連付けられ、信頼できる機関によって発行されるため、許可された個人のみがシステムにアクセスできるようになります。さらに、証明書は自動的に期限切れになるように設定できるため、最新かつ有効な資格情報のみが使用されることが保証され、セキュリティがさらに強化されます。

セットアップの要件

証明書ベースの SSO を実装するには、次のコンポーネントが必要です。

  • オンプレミス データ ゲートウェイ: Microsoft Power Platform の接続ブリッジ ソフトウェア。
  • S ユーザー アカウント: SAP NCo およびその他のサポート コンテンツ/ダウンロードに必要です。
  • SAP Connector for Microsoft .NET (NCo) : SAP 接続を確立するために不可欠です。
  • SAP 暗号化ライブラリ: OPDG 用に SAP および Windows VM にインストールして検証します。
  • 公開鍵インフラストラクチャ ソリューション: 証明書の管理に必要です。
  • SAP GUI がインストールされている: SAP 構成に必要です。
  • SAP 管理者アカウント: 管理タスクに必要です。

証明書を使用した Microsoft Entra ID の構成に関する詳細情報については、Microsoft Learn のドキュメントを参照してください。

証明書を使用した Microsoft Entra ID - データ フロー図

この機能は、2024 年 8 月 14 日より、Power Apps および Power Automate のすべてのリージョンで利用できるようになります。

近日公開予定(2024年第3四半期/第4四半期)

SAP ERP コネクタ

  • RFC v3アクション: RFC v2 アクションは廃止され、現在プレビュー中の新しい v3 バージョンが採用されます。数字を処理するためのローカリゼーション修正が含まれています。
  • SAP セットアップ アシスタント: SAP セットアップ アシスタントは、顧客とパートナーをステップバイステップのプロセスでガイドすることで、SAP と Microsoft Power Platform 間の接続のセットアップを簡素化するように設計されています。このアシスタントは、必要な各コンポーネントの手順、自動化、およびテストを提供します。
    RFC v3 と SAP セットアップアシスタントは、2024 年第 3 四半期後半に一般公開される予定です。

SAP OData コネクタ

パブリック プレビュー期間中に皆様のフィードバックに耳を傾け、コネクタにいくつかの機能強化を加えました。SAP OData コネクタは、2024 年第 4 四半期に一般提供される予定です。一般提供時には、Azure API Management によるシングル サインオンのサポートに加えて、次のサポートが予定されています。

  • Microsoft Azure 仮想ネットワーク: プライベート仮想ネットワークとのやり取りのサポートを有効にし、Microsoft Azure 上のゲートウェイ マシンとソフトウェアを使用する必要性を排除します。
  • Microsoft Power Fx : 自然言語を使用して OData クエリを生成する機能を提供する Power Fx クエリのネイティブ サポート。
  • SAP 統合スイートの API 管理機能を使用したシングル サインオン: OAuth フローを介して SAP OData サービスへの SSO 認証を可能にします。SAP API 管理を組み合わせることで、お客様は SAP Business Technology Platform を使用して統合と OAuth フローに必要な内容に合わせて APIM ポリシーを設定し、SAP Cloud Connector を使用して SAP システムに接続できます。

SAP と Microsoft Power Platform の将来

SAP と Microsoft Power Platform は、Microsoft が継続的に投資している分野です。詳細については、次の便利なリソースを参照してください。

Microsoft (有志)

Discussion