SAPのSSO技術についてSAP Portalを例に説明します

この記事ではSAPシステムのSSO(シングルサインオン)に関して、SAP PortalをSSOの認証基盤として利用したシステム構成例を見ながら説明していきます。

たくさんの付箋紙がはられているPCを見ることがあります、内容を見ると何かの文字列でした。どうもどこかのシステムのパスワードのようです...このようなことはそんなに珍しいことではありません。

「ユーザＩＤとパスワードを入力して、SAPシステムへログオン」

この作業は、ユーザがSAPシステムを使うたびに行われているものです。

頻度が高い作業だからこそ、問題の発生も多くなります。キーボードの打ち間違いによりSAPユーザがロックされてしまうこともあります。ERP、BIなど複数のシステムを利用している場合、システム毎のパスワードを覚えきれずにパスワードを忘れてしまうかもしれません。

結果として、エンドユーザは覚えやすいパスワードを使ったり、付箋紙に書いたパスワードをPCに貼り付けたりすることになります。これは、エンドユーザからすると作業の効率化ですが、セキュリティリスクにもなるでしょう。

SSOは、このような問題に対する効果的なソリューションです。

SSOが導入されている環境では、エンドユーザは1度のユーザ・パスワード入力で、複数のシステムへログオンできるようになります。「ユーザIDとパスワードを入力する」という直接業務に関係無い手間が大幅に少なくなります。

また、ログオンポイントが統一されることにより、セキュリティの管理が効率化されます。

このように、SSOはメリットの多いソリューションです。次からは、SAPシステムでSSOがどのように実現できるか見ていきましょう。

SAPで利用可能なSSO技術

まず、SAPシステムにおいてSSOで利用される認証技術を並べてみます。

表を見てわかるように、認証技術毎に制限や特性があるので、システム環境毎のネットワーク構成、ユーザマスタ構成などを考慮しながら、利用する認証技術を選択していく必要があります。

[SMART_CONTENT]

SSO構成例①

次は、システム構成例を見ながら説明していきます。ここで挙げるのはSAP Portalを利用したSSO構成例です。

SAP Portalの裏にSAP ABAPシステムを複数置く構成が最も多いと思います。SSOのためにだけ、SAP Portalを利用している場合もあります。（それだけSSOの効果があるということです）

シンプルな構成ですが、ERPシステムのインスタンスが業務毎に分かれていたり、一人のユーザが複数のシステムにログオンしなければならない環境では、このような一部分のSSO構成でも効果があります。

SSO構成例②

もう少し大きなシステム構成で、SAP Portalを認証技術の基盤として活用した構成を見てみます。

SAP Portalを通してSAPシステム以外にもSSOができる構成になります。ポイントを以下にあげていきます。

• PCへのログオン時にユーザ・パスワードを1回だけ入力することで、その後は認証作業をすることなくSAP Portalにアクセス可能です
• SAP Portalを通して、他のシステムにも追加認証無しでログオンできます
• 社内・社外のWEBアプリは、前述の表にはない（SAPの標準機能にはない）認証機能が必要な場合もあります。この場合も、SAP Portal上に認証機能を追加開発することができます
• 他のユーザマスタの情報をSAP Portalと連携させることもできます
• インターネット上のクラウドサービスへのSSOする場合は、SAMLを使うのが一般的です

このブログを見に来る方は、SAPシステムに馴染みが深いと思うので、イメージをお伝えするために馴染みのあるであろう、SAP Portalを中心とした構成を例にあげました。

SSOを構成するためにSAP Portalが必須というわけではありません。認証基盤に使える製品は他にもいろいろとあります。

例えば最近だと、Office 365の採用増加に伴い、ADFSを認証基盤として利用するプロジェクトも増えてきています。もちろん、SAPでもADFSと連携したSSOが実現可能です。

また、SSOを導入する際には、同時にIDの管理方針なども検討する必要があります。これは、一般的にはIDM(Identity Management)やIAM(Identity and Access Management)と呼ばれる分野です。この記事では「SAPシステム」の「SSO」と範囲を絞って書いてきたのですが、最後に補足させていただきます。

まとめ

SAP製品の中でもSuccess FactorsやAribaなどインターネット上のサービスとして提供されているものが出てきています。SAP外では、Office 365やGoogle Apps、SalesForceなどを使っているお客様も数年前と比較してとても増えているように感じます。

今後、自社ネットワーク外の製品・サービスを組み合わせて使うことがますます増えてくるでしょう。使うサービスが増える度に、利用者に新しいログオン情報を覚えてもらうのは難しいかと思います。

ユーザの利便性向上、セキュリティ向上、運用・監査工数削減という、SSO導入のメリットはさらに大きくなっていくと感じます。

実際に、SSOを導入していない状態から、SSOを導入すると想像以上の便利さに驚きます。

システムは利用されてこそ意味がありますが、誰にも利用されていないシステムをいくつも見たことがあります。

認証作業はたかが数秒の作業ですが、実はシステム利用の障害になっていることもあると思います。SSOでその障害を一つ取り除くことができるかもしれません。