BeeX Technical BlogSAPの認証をOktaでシングルサインオンができるように設定する

はじめに

SAP環境で、IdPであるOktaを認証基盤として、シングルサインオンができるように設定してみました。

今回は、エンドポイントをFioriとして、シングルサインオンができるように設定します。
 
 

準備

作業環境

SAP:
・CALでSAP環境を構築します。
・SAP GuiでSAPアカウントを作成します。(Fioriにログインできることを確認。)
・アカウントの項目の中に、E-mail(Oktaのユーザアカウント)を設定します。

Okta:
・Okta環境に登録し、カスタムドメインを設定してテナントを構築します。
・管理者権限のあるアカウントで作業を行います。
・Okta側のユーザアカウント(メールアカウントになります。)を作成します。
※注意点
設定はそれぞれの組織にあった最適、固有の値を設定してください。(環境やバージョンによって、表示や動作が異なることがあります。また状況によっては、手順を変える必要がある場合があります。)
 
 

設定

設定について

SAP側でのSAMLの有効化、準備

SAP Guiでトランザクションコード 「SAML2」を入力します。
SAP NetWeaverの画面が開く。SAPの管理権限のアカウントでログインします。

 
「SAML 2.0サポートの有効化」⇒「SAML 2.0ローカルプロバイダーの作成」を選択します。

任意のプロバイダー名を入力、終了を選択します。
 
 

以下のように「SAML 2.0 Configuration of ABAP System:」の画面が表示されます。


 
 

SAPローカルプロバイダーのSAML2.0 メタデータファイルをダウンロード

「SAML 2.0 Configuration of ABAP System:」 の画面上の「Metadata」を選択して、メタデータをダウンロードします。(.xmlファイル形式で保存。)

 
 
保存したXMLファイルの中身をメモ帳等で確認します。・entityID=`S/4HANA` 等。
 
 
 

Okta側の設定

Oktaテナントの管理コンソールに管理者としてログインし、Applicationsの「Create App Integration」をクリックします。

 
 
「SAML 2.0」を選択して、Nextをクリックします。

 
 
任意のApp nameを入力して、Nextをクリックし、Configure SAMLの設定画面に移行します。

 
 
Configure SAML画面で以下のように入力しNextをクリックします。(必要最小限の設定。)
・Single sign on URL⇒Fioriのエンドポイント(URL)を入力します。(Fioriの場合)
・Audience URI(SP Entity ID)⇒SAP部分からダウンロードしたメタデータにあったEntity IDを入力します。
・Name ID format⇒EmailAddressを入力します。
・Application username⇒「Email」を選択します。(「Okta username」でも可)

 
 
FeedBack画面へ移り、質問が出てくるので、選択しFinishをクリック。(Finishクリック後、Okta側のアプリケーションは自動的にActiveとなる。)


 
 
Sign Onの項目から、「Identity Provider metadata」をクリックし、メタデータをブラウザー上で表示します。(*ブラウザーによっては正確に表示されない場合があります。)

 
 
 

 再びSAP側の設定

「SAML 2.0 Configuration of ABAP System:」 の画面上の「Trasted Providers」を選択し、Okta側で保存したメタデータファイルをSAP側にアップロードします。(Add⇒Upload Metadata Fileを選択)

 
 
メタデータファイルを選択し、アップデートします。

 
 
ファイルをアップロードすると次の画面に移行するのでこのままNextをクリックします。(1.~3.の項目はメタデータの内容により設定されるようです。)

 
 
以下の画面になり、「SHA-1」⇒「SHA-256」に変更(他はdefault値)して、Nextをクリックします。

 
 
以下の画面になり、Nextをクリックします。

 
 
以下の画面になり、Nextをクリックします。

 
 
以下の画面になり、Nextをクリックします。

 
 
以下の画面になり、「Finish」をクリックします。


 
 
以下の画面になります。

 
 
Enableをクリックする前に、Editをクリックして、Name ID Formatの設定を実施してください。(このままEnableをクリックするとName ID Formatが設定されていない為、エラーとなります。)

 
 
Addをクリック、Support Name ID Formatとして、「E-mail」を選択し、OKをクリックします。

 
 
Name ID FormatにE-mailが追加されるので、この状態で、Saveします。

 
 
Enableをクリックします。

 
 
OKをクリックします。

 
 
Active状態(■⇒🔷)になります。

 
 
 

Okta側の設定

ユーザ、グループとOktaアプリケーションの紐づけ設定について

・Okta側のDirectory⇒GroupsでSSOを実施するグループを作成し、対象ユーザアカウントを登録します。
・Add Groupをクリックし、nameとgroup discriptionを入れて add groupをクリックします。
・Manage Peopleをクリックし、対象のアカウントを登録します。
・アプリケーションをActiveにして、Appsから対象のアプリケーションを登録します。
 
 

SSOの確認

以下のどちらかの手順で確認を実施します。

・Oktaにログインして、タイルをクリックします。
・エンドポイントの対象URLにアクセスすると、Oktaの画面にリダイレクトされ、認証情報を入力します。
 
 

以下の画面になり、SAPのユーザアカウントにログオンできていることが確認できます。

 
 
 

さいごに

SAPのSSO(Fiori)をOkta側で行うための設定をご紹介しました。

Okta側の設定でMFAの設定を組み合わせることも可能です。こちらは別の機会に記載したいと思います。

カテゴリ

タグ

BeeX Technical Blogについてのお問い合わせ

BeeX Technical Blogのエントリにご質問が御座いましたらお気軽にお問合せください。

お電話でのお問い合わせ

☎ 03-6260-6240

受付時間 平日9:30〜18:00

フォームでのお問い合わせ

お問い合わせフォーム