初心者のためのSAP Single Sign-On

今回のブログでは、SAPのシングルサインオンソリューションSAP Single Sign-Onをご紹介します。

シングルサインオンの必要性

シングルサインオンが導入されていないと、ユーザーは、毎日、個別のシステムごとにユーザー名とパスワードを入力してログオンしなければなりません。ストレスのたまる時間ロスになり、生産性に支障をきたす可能性があります。その一方で、多くの企業のセキュリティ基準は、数字、大文字、特殊文字の複雑な組み合わせのパスワードという制約を強制します。ユーザーは、これらの複雑なパスワードを覚えることはできないため、どこかに書き留めておくことが行われますが、そのようなリストを置き忘れたり、誤った場所に複製する可能性があります。これは、企業とその従業員を高いセキュリティリスクに晒します。

シングルサインオンを導入することによって、一度だけのログオンで、個別のシステムすべてにアクセスできるという利便性をユーザーに提供できます。パスワードは企業のパスワードポリシーに準拠して管理され、企業のセキュリティは高まります。ヘルプデスクへのパスワードリセット依頼が減り、ITコストが大幅に削減されます。

シングルサインオンについて会話する場合に、よく上がってくる質問は、１つのパスワードだけの管理によるリスクです。万一、その１つのパスワードが漏えいした場合は、システムすべてがリスクに晒される可能性があります。総合的なメリット・デメリットを踏まえて判断する必要がありますが、シングルサインオンを好む企業の数は増加傾向です。

次の質問として、社員が一時的に席を外した際に、別の人がSAP ERPのようなビジネスアプリケーションにもアクセスできてしまうという指摘もあります。これは一つの例ですが、企業のIT環境やシステムによっては、PCへの最初のログオンによってすべてのシステムにアクセスできるのではなく、再度のログオンを必要とするという要件が存在します。前者が文字通りのシングルサインオンであり、後者は前者への対比としてマルチプルサインオンと言えます。また、セキュリティを強化するために、ワンタイムパスワードを利用した2要素認証が利用されることもあります。

SAP Single Sign-Onは、上記の認証方式　－シングルサインオン、マルチプルサインオン、2要素認証を可能にします。

SAP Single Sign-On: サポートされる認証モード

SAP Single Sign-Onの主な機能

SAP Single Sign-Onは、３つの主要なシナリオをサポートします；

1. SAPビジネスアプリケーションのためのシングルサインオン
2. 異機種環境でのシングルサインオン
3. クラウドベース、企業間シナリオでのシングルサインオン

1). SAPビジネスアプリケーションのためのシングルサインオン

Kerberos認証トークンを利用して、SAP S/4HANA、SAP Business Suiteのためのシングルサインオンをセットアップできます。 ユーザーはPCを起動する時に、PCのWindowsドメインにサインオンすることで一度だけログオンします。その後の認証プロセスは、SAP Single Sign-OnとMicrosoft Active Directoryによって提供されるKerberosトークンメカニズムに委ねられます。ユーザーのフロントエンドは、例えば、SAP GUI for WindowsやWebブラウザです。このシナリオでは追加のサーバーは不要です。導入もシンプルで、セキュリティと運用コストに関しての効果を短期間で得ることができます。

2). 異機種環境でのシングルサインオン

SAP Single Sign-On は、X.509デジタル証明書をサポートします。X.509デジタル証明書は実証されたインターネット標準であり、最近の多くのビジネスソフトウェア製品によってサポートされています。企業独自の公開鍵インフラストラクチャ（PKI）を設定してX.509証明書を発行するか、SAP Single Sign-OnのコンポーネントであるSecure Login Serverに短命の証明書を発行させることができます。Secure Login Serverを使用すると、証明書失効リストなどの固有の管理プロセスが必要な本格的なPKIを設定することなく、同じレベルのセキュリティを享受することができます。このシナリオを有効にすると、SAPソフトウェアだけでなく、SAP以外の多くのアプリケーションにも一度のログオンでアクセスできるようになります。

3). クラウドベース、企業間シナリオでのシングルサインオン

KerberosとX.509証明書は、企業の世界でシングルサインオンの多くの利用ケースをカバーしています。しかし、企業間またはクラウド間で信頼関係を構築しようとする企業も増えています。 そのような場合は、SAP Single Sign-OnのコンポーネントであるIdentity Providerを利用して、SAML（Security Assertion Markup Language）2.0によるシングルサインオンを構築できます。SAML 2.0は、IDデータが企業の境界を超えて転送された場合でも、Webベースのシングルサインオンを利用可能にし、セキュリティで保護された認証を保証するインターネット標準の技術です。

 適切な機能を選択

前記の３つのシナリオは選択、組み合わせて利用することができます。シンプルなKerberosのシナリオから始めて迅速な投資回収を獲得することは理にかなっています。ビジネス要件があれば、X.509やSAML技術ベースで、別のシステムにもシングルサインオンを有効にできます。これらの技術はシームレスに統合可能であり、ユーザーは技術の違いには気づきません。SAP Single Sign-On は、スモールスタートと必要に応じた独自スピードでの成長を可能にする柔軟性を提供します。

その他の機能

iOS用 SAP Authenticator

SAP Single Sign-Onは以下の機能もサポートしています。

2要素認証（2FA: Two-Factor Authentication)

ワンタイムパスワード（OTP: One Time Password）を生成するモバイルアプリ SAP Authenticator（iOS、Android、Windows Phoneサポート）が提供されています。これによって、2要素認証を実現できます。e-mailやSMSによるランダムなパスコードの送信による2要素認証の実現も可能です。

モバイルシングルサイン

SAP Authenticatorを利用して、モバイルデバイス上でのブラウザベースのアプリケーション、SAP Fiori Clientへのシングルサインオンが可能です。

モバイルシングル

リスクベース認証

アクセス方法やユーザーの属性などによって、より細やかなアクセス制御が求められる場合があります。例えば、社外からのアクセスの場合のみ2要素認証を必須とし社内ネットワークからであれば不要とする、あるいは、ユーザが管理者グループに属していれば社外からのアクセスも認めるが、そうでなければ不可とするなどのコントロールを行うなどです。これをサポートするのがリスクベース認証です。

コンテキストに基づくリスクベース認証

SAP Single Sign-On によるメリット

セキュリティ

• １つの強力なパスワードでの信頼性の高い認証、オプションとしての2要素認証
• ポストイットなどによるパスワードリストの排除
• すべてのパスワードは集中的に保護されて管理

コスト削減

• ユーザーは一つのパスワードだけを覚えれば良い
• マニュアル認証、パスワードリセット、ヘルプデスクへの依頼の削減
• サーバー側のセキュリティ機能を効率的にセットアップし管理するための機能

シンプルさ

• 短期間の導入プロジェクト、クイックなROI
• 多数のシステムへのパスワード配信、保護、リセットは不要
• 多数のシステム間でのパスワードポリシー管理は不要

まとめ

今回のブログでは、SAPのオンプレミスにおけるシングルサインオンソリューションSAP Single Sign-Onについて、必要性、主要シナリオ、メリットをご紹介しました。SAP Single Sign-Onのご検討の第一歩となれば幸いです。

今回ご紹介したSAP Single Sign-Onに加えて、SAPは、オンプレミスでのID管理ソリューションSAP Identity Management、クラウド環境でのID認証ソリューションSAP HANA Cloud Platform Identity Authentication、クラウド環境でのIDプロビジョニングソリューションSAP HANA Cloud Platform Identity Provisioningも提供しており、オンプレミスからクラウドまで、包括的なセキュリティソリューションのポートフォリオをご提供しております。

ご質問はチャットやWebからも受け付けております。お気軽にお問い合わせください。

●お問い合わせ先
チャットで質問する
Web問い合わせフォーム
電話: 0120-554-881（受付時間：平日 9:00～18:00）