Microsoft Entra ID でシングルサインオン用に SAP Cloud Identity Services を構成する

この記事では、シングルサインオンのために SAP Cloud Identity Services とMicrosoft Entra IDを統合する方法について説明します。 SAP Cloud Identity Services を Microsoft Entra ID と統合すると、次のことができます。

ユーザーが SAP Cloud Identity Services に対して認証する方法をMicrosoft Entra ID制御します。
ユーザーが自分のMicrosoft Entra アカウントを使用して SAP Cloud Identity Services およびダウンストリーム SAP アプリケーションに自動的にサインインできるようにします。
1 つの場所でアカウントを管理します。

ヒント

推奨事項とベストプラクティスガイド「MICROSOFT ENTRA IDを使用して SAP プラットフォームとアプリケーションへのアクセスをセキュリティで保護する」に従ってセットアップを運用化します。

前提条件

この記事で説明するシナリオでは、次の前提条件が既にあることを前提としています。

アクティブなサブスクリプションを持つMicrosoft Entra ユーザーアカウント。アカウントをまだお持ちでない場合は、無料でアカウントを作成できます。
次のいずれかのロール:

SAP Cloud Identity Services テナント
管理者アクセス許可を持つ SAP Cloud Identity Services のユーザーアカウント。

Microsoft Entra IDにユーザーがまだ存在しない場合は、記事「SAPのソースアプリとターゲットアプリを用いたユーザーのプロビジョニングのためのMicrosoft Entra展開計画」から始めてください。この記事では、SAP SuccessFactors など、組織内のワーカーの一覧の権限のあるソースとMicrosoft Entraを接続する方法について説明します。また、Microsoft Entraを使用してこれらのワーカーの ID を設定し、SAP ECC や SAP S/4HANA などの 1 つ以上の SAP アプリケーションにサインインできるようにする方法についても説明します。

Microsoft Entra ID Governanceを使用して SAP ワークロードへのアクセスを管理する運用環境で SAP Cloud Identity Services へのシングルサインインを構成する場合は、先に進む前に、id ガバナンスのMicrosoft Entra IDを構成する前に、前提条件を確認してください。

シナリオの説明

この記事では、Microsoft Entra のシングルサインオンを SAP Cloud Identity Services に構成してテストします。

SAP Cloud Identity Services では、SAML を使用してサービスプロバイダー (SP) と ID プロバイダー (IDP) によって開始される SSO がサポートされます。 SAP Cloud Identity Services では OpenID Connect もサポートされていますが、このオプションについてはこの記事では説明しません。
SAP Cloud Identity Services では、Microsoft Entra IDからのユーザーとグループのプロビジョニングもサポートされています。詳細については、「自動ユーザープロビジョニング」を参照してください。

技術的な詳細の説明に入る前に、調べようとしている事柄の概念を理解する必要があります。 SAP Cloud Identity Services を使用すると、ID プロバイダーとしてMicrosoft Entra IDと直接統合された SAP 以外のアプリケーションと同じ SSO エクスペリエンスを使用して、SAP アプリケーションとサービス全体に SSO を実装できます。

SAP Cloud Identity Services は、ターゲットシステムとして他の SAP アプリケーションに対するプロキシ ID プロバイダーとして機能します。 Microsoft Entra IDは、このセットアップで主要な ID プロバイダーとして機能します。

次の図は、信頼関係を示しています。

SAP アプリケーション、SAP Cloud Identity Services、Microsoft Entra 間の信頼関係のアーキテクチャ図。

このセットアップにより、SAP Cloud Identity Services は、Microsoft Entra IDで 1 つ以上のアプリケーションとして構成されます。 Microsoft Entraは、SAP Cloud Identity Services で Corporate Identity Provider として構成されます。

この方法でシングルサインインを提供するすべての SAP アプリケーションとサービスは、その後、SAP Cloud Identity Services でアプリケーションとして構成されます。

SSO とプロビジョニングフローのアーキテクチャの図、SAP アプリケーション、SAP Cloud Identity Services、Microsoft Entra の間で。

Microsoft EntraでのSAP Cloud Identity Servicesアプリケーションロールへのユーザー割り当てによって、トークン発行はMicrosoft EntraによってSAP Cloud Identity Servicesに制御されます。特定の SAP アプリケーションとサービスへのアクセスを許可するための承認と、それらの SAP アプリケーションのロールの割り当ては、SAP Cloud Identity Services とアプリケーション自体で行われます。この承認は、Microsoft Entra IDからプロビジョニングされたユーザーとグループに基づいて行うことができます。

注

現在、その両者で Web SSO のみがテストされています。アプリ対API または API 対 API の通信に必要なフローは機能するものの、まだテストされていません。これらは、後続のアクティビティ中にテストされます。

ギャラリーからの SAP Cloud Identity Services の追加

Microsoft Entra IDへの SAP Cloud Identity Services の SAML 統合を構成するには、ギャラリーから管理対象 SaaS アプリの一覧に SAP Cloud Identity Services を追加する必要があります。

Microsoft Entra admin centerに少なくとも Cloud アプリケーション管理者としてサインインします。
Entra ID>Enterprise apps>New application に移動します。
[ギャラリーからの追加] セクションで、検索ボックスに「SAP Cloud Identity Services」と入力します。
結果パネルから SAP Cloud Identity Services を 選択し、アプリを追加します。お使いのテナントにアプリが追加されるのを数秒待機します。

または、エンタープライズアプリ構成ウィザードを使用することもできます。このウィザードでは、テナントにアプリケーションを追加したり、ユーザー/グループをアプリに追加したり、ロールを割り当てたり、SSO 構成を確認したりできます。 Microsoft 365 wizards.

SAP Cloud Identity Services のMicrosoft Entra SSO の構成とテスト

B.Simonします。 SSO を機能させるには、Microsoft Entra ユーザーと SAP Cloud Identity Services の関連ユーザーとの間にリンク関係を確立する必要があります。

SAP Cloud Identity Services Microsoft Entra SSO を構成してテストするには、次の手順に従います。

Microsoft Entra SSO を構成する - ユーザーがこの機能を使用できるようにします。
1. Microsoft Entra のテストユーザーの作成 - Microsoft Entra のシングルサインオンを B.Simon でテストします。
2. Microsoft Entra テストユーザーを割り当てる - B.Simon が Microsoft Entra シングルサインオンを使用できるようにします。
SAP Cloud Identity Services の SSO の構成 - アプリケーション側でシングルサインオン設定を構成します。
1. SAP Cloud Identity Services のテストユーザーの作成 - SAP Cloud Identity Services で B.Simon に相当するユーザーを作成し、Microsoft Entra のユーザーに関連付けます。
SSO のテスト - 構成が機能するかどうかを確認します。

SAP Cloud Identity Services フェデレーションメタデータを取得する

SAP Cloud Identity Services 管理コンソールにサインインします。 URL には、 https://<tenant-id>.accounts.ondemand.com/admin または https://<tenant-id>.trial-accounts.ondemand.com/adminというパターンがあります。
[ アプリケーションとリソース] で、[ テナント設定] を選択します。
[ シングルサインオン ] タブで、[ SAML 2.0 構成] を選択します。次に、[ メタデータファイルのダウンロード ] を選択して、SAP Cloud Identity Services のフェデレーションメタデータをダウンロードします。

Microsoft Entra SSO の構成

Microsoft Entra SSO を有効にするには、次の手順に従います。

Microsoft Entra admin centerに少なくとも Cloud アプリケーション管理者としてサインインします。
Entra ID>Enterprise アプリケーションに移動します。アプリケーションの名前 ( SAP Cloud Identity Services など) を入力します。アプリケーションを選択し、[ シングルサインオン] を選択します。
[ シングルサインオン方法の選択 ] ページで、[SAML] を選択 します。
[ 基本的な SAML 構成] セクションで、SAP Cloud Identity Services のサービスプロバイダーメタデータファイル がある場合は、次の手順を実行します。

a. [ メタデータファイルのアップロード] を選択します。

b。 フォルダーロゴを選択して、SAP からダウンロードしたメタデータファイルを選択し、[アップロード] を選択します。

c. メタデータファイルが正常にアップロードされると、[基本的な SAML 構成] セクションに 識別子 と 応答 URL の値が自動的に設定されます。

注

識別子と応答 URL の値が自動的に設定されない場合は、要件に従って値を手動で入力します。
さらに構成する場合は、[ SAML でシングルサインオンを設定 する] ページで、[ 基本的な SAML 構成 ] の鉛筆アイコンを選択して設定を編集します。

[ サインオン URL (省略可能)] テキストボックスに、特定のビジネスアプリケーションのサインオン URL を入力します。

注

この値を実際のサインオン URL で更新してください。詳細については、 SAP ナレッジベースの記事3128585を参照してください。ご質問がある場合は、 SAP Cloud Identity Services クライアントサポートチームにお問い合わせください。
SAP Cloud Identity Services アプリケーションでは、特定の形式の SAML アサーションが予測されるため、SAML トークン属性の構成にカスタム属性マッピングを追加する必要があります。次のスクリーンショットには、既定の属性一覧が示されています。
上記に加えて、SAP Cloud Identity Services アプリケーションでは、下に示すいくつかの追加の属性が SAML 応答で戻されることが予測されます。これらの属性も値が事前に設定されますが、要件に従ってそれらの値を確認することができます。

名前ソース属性

ファーストネーム User.givenname
[ SAML を使用した単一 Sign-On のセットアップ ] ページの [ SAML 署名証明書 ] セクションで、[ ダウンロード ] を選択し、要件に従って指定されたオプションから メタデータ XML をダウンロードし、コンピューターに保存します。
[ SAP Cloud Identity Services のセットアップ ] セクションで、要件に従って適切な URL をコピーします。

名前	ソース属性
ファーストネーム	User.givenname

Microsoft Entraのテストユーザーを作成して割り当てる

ユーザーアカウントの作成と割り当てのクイックスタートのガイドラインに従って、B.Simon というテストユーザーアカウントを作成します。

SAP Cloud Identity Services の SSO の構成

このセクションでは、SAP Cloud Identity Services 管理コンソールで企業 ID プロバイダーを作成します。詳細については、管理コンソールでの企業 IdP の作成を参照してください。

SAP Cloud Identity Services 管理コンソールにサインインします。 URL には、 https://<tenant-id>.accounts.ondemand.com/admin または https://<tenant-id>.trial-accounts.ondemand.com/adminというパターンがあります。
[ ID プロバイダー] で、[ 企業 ID プロバイダー] タイルを 選択します。
[ + 作成 ] を選択して ID プロバイダーを作成します。
[ID プロバイダーの作成] ダイアログボックスで次の手順を実行します。

a. [表示名] に有効な名前を付けます。

b。ドロップダウンから Microsoft ADFS/Entra ID (SAML 2.0) を選択します。

c. 作成を選択します。
[信頼] -> [SAML 2.0 構成] に移動します。 Metadata File のフィールドで、Browse を選択して、Microsoft Entra SSO 構成からダウンロードした Metadata XML ファイルをアップロードします。
[保存] を選択します。
以降は、もう 1 つの SAP アプリケーションに対して SSO を追加して有効にする場合にのみ行います。 「ギャラリーからの SAP Cloud Identity Services の追加」セクションの手順を繰り返します。
Entra 側の SAP Cloud Identity Services アプリケーション統合ページで、[ リンクされたサインオン] を選択します。
構成を保存します。
詳細については、integration with Microsoft Entra ID の SAP Cloud Identity Services に関するドキュメントを参照してください。

注

新しいアプリケーションでは、前の SAP アプリケーションのシングルサインオン構成が再利用されます。 SAP Cloud Identity Services 管理コンソールで、同じ会社の ID プロバイダーを使用していることを確認してください。

SAP Cloud Identity Services のテストユーザーの作成

SAP Cloud Identity Services でユーザーを作成する必要はありません。 Microsoft Entra ユーザーストアにいるユーザーは、SSO 機能を使用できます。

SAP Cloud Identity Services では、ID フェデレーションオプションがサポートされています。このオプションにより、アプリケーションは、会社の ID プロバイダーによって認証されたユーザーが、SAP Cloud Identity Services のユーザーストアに存在するかどうかを確認できます。

既定では、ID フェデレーションオプションは無効になっています。 ID フェデレーションが有効になっていると、SAP Cloud Identity Services にインポートされているユーザーのみがアプリケーションにアクセスできます。

SAP Cloud Identity Services との ID フェデレーションを有効または無効にする方法の詳細については、「SAP Cloud Identity Services のユーザーストアとの ID フェデレーションの構成」の「SAP Cloud Identity Services との ID フェデレーションを有効にする」を参照してください。

注

SAP Cloud Identity Services では自動ユーザープロビジョニングもサポートされています。自動ユーザープロビジョニングを構成する方法の詳細については、こちらをご覧ください。

SSO のテスト

このセクションでは、SP initiated および IDP initiated オプションを使用して、Microsoft Entra シングルサインオン構成をテストします。

関連付け ID を使用して SAP Cloud Identity Services へのサインイン時にエラーが発生した場合は、SAP Cloud Identity Services 管理コンソールで、その関連付け ID のトラブルシューティングログを検索できます。詳細については、 SAP ナレッジベースの記事2698571 および SAP ナレッジベースの記事3201824を参照してください。

SP Initiated:

[ このアプリケーションをテストする] を選択すると、このオプションはログインフローを開始できる SAP Cloud Identity Services のサインオン URL にリダイレクトされます。
SAP Cloud Identity Services のサインオン URL に直接移動し、そこからログインフローを開始します。

IDP Initiated:

[ このアプリケーションをテストする] を選択すると、SSO を設定した SAP Cloud Identity Services に自動的にサインインします

Microsoft My Appsを使用して、任意のモードでアプリケーションをテストすることもできます。 My Appsで [SAP Cloud Identity Services] タイルを選択すると、SP モードで構成されている場合は、ログインフローを開始するためのアプリケーションサインオンページにリダイレクトされます。IDP モードで構成されている場合は、SSO を設定した SAP Cloud Identity Services に自動的にサインインされます。 My Appsの詳細については、「My Appsのイントロダクション」を参照してください。

SAP Cloud Identity Services で既存のユーザーを検出する

Microsoft Entraとの統合の前に、SAP Cloud Identity Services アカウントに既に 1 人以上のユーザーが存在する可能性があります。アカウント検出機能を使用すると、SAP Cloud Identity Services 内のすべてのユーザーのレポートを生成し、Entra で一致するアカウントを持っているユーザーと、SAP Cloud Identity Services に対してローカルなユーザーを 1 回のクリックで識別できます。アカウント検出機能の詳細については、こちらをご覧ください。これにより、Entra へのオンボードを簡素化しながら、承認されていないアクセスを段階的に監視することもできます。

Microsoft Entraから SAP Cloud Identity Services にユーザーを同期するには、自動ユーザープロビジョニングを有効にします。

SAP Cloud Identity Services へのシングルサインオンを構成したら、すべての SSO 要求をMicrosoft Entraにするように SAP Cloud Identity Services を構成することもできます。このオプションが SAP Cloud Identity Services で有効になっている場合、ユーザーが SAP Cloud Identity Services に初めて接続されたアプリケーションにアクセスしようとするたびに、SAP Cloud Identity Services は、ユーザーが SAP Cloud Identity Services でアクティブなセッションを持っている場合でも、認証要求をMicrosoft Entraに転送します。

また、組織の機密データを流出と侵入からリアルタイムで保護するセッション制御を適用することもできます。セッション制御は、条件付きアクセスを拡張したものです。 Microsoft Defender for Cloud Appsを使用してセッション制御を適用する方法について説明します。

また、Microsoft Entra ID Governanceを使用して、BTP ロールコレクション内のロールに関連付けられているグループを設定して、SAP BTP アプリケーションへのアクセスを管理することもできます。詳細については、 SAP BTP へのアクセスの管理を参照してください。

セットアップを運用化するには、推奨事項とベストプラクティスガイドを参照してください。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-04-16