目次
はじめに
SAP環境で、IdPであるOktaを認証基盤として、シングルサインオンができるように設定してみました。
今回は、エンドポイントをFioriとして、シングルサインオンができるように設定します。
準備
作業
SAP:
・CALでSAP環境を構築します。
・SAP GuiでSAPアカウントを作成します。(Fioriにログインできることを確認。)
・アカウントの項目の中に、E-mail(Oktaのユーザアカウント)を設定します。
Okta:
・Okta環境に登録し、カスタムドメインを設定してテナントを構築します。
・管理者権限のあるアカウントで作業を行います。
・Okta側のユーザアカウント(メールアカウントになります。)を作成します。
※注意点
設定はそれぞれの組織にあった最適、固有の値を設定してください。(環境やバージョンによって、表示や動作が異なることがあります。また状況によっては、手順を変える必要がある場合があります。)
設定
設定について
SAP側でのSAMLの有効化、準備
SAP Guiでトランザクションコード 「SAML2」を入力します。
SAP NetWeaverの画面が開く。SAPの管理権限のアカウントでログインします。
「SAML 2.0サポートの有効化」⇒「SAML 2.0ローカルプロバイダーの作成」を選択します。
任意のプロバイダー名を入力、終了を選択します。
以下のように「SAML 2.0 Configuration of ABAP System:」の画面が表示されます。
SAPローカルプロバイダーのSAML2.0 メタデータファイルをダウンロード
「SAML 2.0 Configuration of ABAP System:」 の画面上の「Metadata」を選択して、メタデータをダウンロードします。(.xmlファイル形式で保存。)
保存したXMLファイルの中身をメモ帳等で確認します。・entityID=`S/4HANA` 等。
Okta側の設定
Oktaテナントの管理コンソールに管理者としてログインし、Applicationsの「Create App Integration」をクリックします。
「SAML 2.0」を選択して、Nextをクリックします。
任意のApp nameを入力して、Nextをクリックし、Configure SAMLの設定画面に移行します。
Configure SAML画面で以下のように入力しNextをクリックします。(必要最小限の設定。)
・Single sign on URL⇒Fioriのエンドポイント(URL)を入力します。(Fioriの場合)
・Audience URI(SP Entity ID)⇒SAP部分からダウンロードしたメタデータにあったEntity IDを入力します。
・Name ID format⇒EmailAddressを入力します。
・Application username⇒「Email」を選択します。(「Okta username」でも可)
FeedBack画面へ移り、質問が出てくるので、選択しFinishをクリック。(Finishクリック後、Okta側のアプリケーションは自動的にActiveとなる。)
Sign Onの項目から、「Identity Provider metadata」をクリックし、メタデータをブラウザー上で表示します。(*ブラウザーによっては正確に表示されない場合があります。)
再びSAP側の設定
「SAML 2.0 Configuration of ABAP System:」 の画面上の「Trasted Providers」を選択し、Okta側で保存したメタデータファイルをSAP側にアップロードします。(Add⇒Upload Metadata Fileを選択)
メタデータファイルを選択し、アップデートします。
ファイルをアップロードすると次の画面に移行するのでこのままNextをクリックします。(1.~3.の項目はメタデータの内容により設定されるようです。)
以下の画面になり、「SHA-1」⇒「SHA-256」に変更(他はdefault値)して、Nextをクリックします。
以下の画面になり、Nextをクリックします。
以下の画面になり、Nextをクリックします。
以下の画面になり、Nextをクリックします。
以下の画面になり、「Finish」をクリックします。
以下の画面になります。
Enableをクリックする前に、Editをクリックして、Name ID Formatの設定を実施してください。(このままEnableをクリックするとName ID Formatが設定されていない為、エラーとなります。)
Addをクリック、Support Name ID Formatとして、「E-mail」を選択し、OKをクリックします。
Name ID FormatにE-mailが追加されるので、この状態で、Saveします。
Enableをクリックします。
OKをクリックします。
Active状態(■⇒🔷)になります。
Okta側の設定
ユーザ、グループとOktaアプリケーションの紐づけ設定について
・Okta側のDirectory⇒GroupsでSSOを実施するグループを作成し、対象ユーザアカウントを登録します。
・Add Groupをクリックし、nameとgroup discriptionを入れて add groupをクリックします。
・Manage Peopleをクリックし、対象のアカウントを登録します。
・アプリケーションをActiveにして、Appsから対象のアプリケーションを登録します。
SSOの確認
以下のどちらかの手順で確認を実施します。
・Oktaにログインして、タイルをクリックします。
・エンドポイントの対象URLにアクセスすると、Oktaの画面にリダイレクトされ、認証情報を入力します。
以下の画面になり、SAPのユーザアカウントにログオンできていることが確認できます。
さいごに
SAPのSSO(Fiori)をOkta側で行うための設定をご紹介しました。
Okta側の設定でMFAの設定を組み合わせることも可能です。こちらは別の機会に記載したいと思います。
- カテゴリー
この記事をシェアする
