コンテンツエリア開始

Function documentation ABAP ユーザ ID としてのLDAP ディレクトリ属性の使用 Locate the document in its SAP Library structure

用途

ポータルおよびABAP システムでユーザが異なるID を持っている場合、ユーザまたは管理者は SAP 参照システムで、ユーザのポータルユーザ ID ABAP ユーザ ID にマッピングすることができます。ユーザ ID は両方ともログオンチケットに組み込まれ、これによってユーザは SAP 参照システムと同じユーザ ID を持つすべての ABAP システムに対し、ログオンチケットによるシングルサインオン (SSO) を使用してアクセスすることができるようになります。

デフォルトでは、マッピングされたユーザ ID は、ポータルデータベースに格納されます。データソースとして LDAP ディレクトリを使用している場合は、マッピングされたユーザ ID LDAP ディレクトリのユーザ属性として格納することもできます。

以下のようなシナリオでは、マッピングされたユーザ ID LDAP ディレクトリに格納するのが有効です。

      ユーザマネジメントエンジン (UME) 用のデータソースとして LDAP ディレクトリを使用している。ABAP システムのユーザ ID は、すでに LDAP ディレクトリで使用できるようになっている。データはすでに LDAP ディレクトリで使用できるようになっているため、これ以上各ユーザに対するユーザマッピングを定義する必要がない。

      ユーザが、既存の ABAP システムから (集中ユーザ管理により) LDAP ディレクトリに対して同期化されている。UME では、ユーザを同期化する際に入力された ABAP ユーザ ID に対する LDAP 属性が使用できる。

前提条件

データソースとして LDAP ディレクトリを使用していることが必要です。また、LDAP ディレクトリでは、ユーザの ABAP ユーザ ID を取り込むためのユーザ属性が定義されていることが必要です。

Note

さらに、ABAP ユーザ ID に対するユーザ属性が含まれている LDAP オブジェクトクラスが、ユーザに割り当てられている必要があります。割り当てられていない場合、ユーザに関するユーザマッピングデータを保存することはできません。

制約

ABAP ユーザ ID を、データベースと LDAP ディレクトリの両方に格納することはできません。管理者は、どちらか一方を選択してください。

Caution

ABAP ユーザ ID は、暗号化されていない状態で LDAP ディレクトリに格納されます。これらの ID に対する不正な操作を防ぐためにも、不正ユーザが LDAP ディレクトリ (特に ABAP ユーザ ID が指定されている属性) に書込アクセスを行うことがないようにする必要があります。

これらの ID に対する不正な操作として、ユーザのログオンチケットに別のユーザ ID が指定されることが考えられます。そのような場合、悪意のあるユーザが、ABAP システムにおいて本来自分が持っている権限より多くの権限を持つ別のユーザとして、ABAP システムにアクセスできてしまう可能性もあります。

機能

      LDAP ディレクトリの既存の属性を使用して、ユーザの ABAP ユーザ ID を格納することができます。これにより、各ユーザに対するユーザマッピングを、管理者やユーザが定義する必要がなくなります。

      ABAP システムに対するユーザのパスワードは、LDAP ディレクトリには格納されません。

      UME により LDAP ディレクトリへの書込アクセスが許可されている場合、ユーザおよび管理者は、ポータルのStructure linkユーザマッピング機能を使用して、ABAP ユーザ ID の入力や変更を行うことができます。

       ユーザは常に、それぞれのABAP ユーザ ID をチェックするためのパスワードを入力する必要があります。このパスワードは、LDAP ディレクトリには格納されず、ABAP システムへのアクセスが許可されているユーザ ID をユーザが入力していることを確認するのに使用されます。

       管理者は、それぞれのエントリをチェックするためのパスワードを入力できます。管理者がパスワードを入力する必要があるかどうかは、UME プロパティ ume.usermapping.admin.pwdprotection により決まります。デフォルトでは、パスワードを入力する必要があります。

Note

LDAP データソースが読取専用の場合、LDAP ディレクトリ内にすでに存在するユーザおよびその ABAP ユーザ ID も読取専用です。UME により登録されたユーザはデータベースに格納されます。またそれらの属性は、LDAP ディレクトリに格納されているものも含め、書込可能です。

アクティビティ

デフォルトでは、ユーザの ABAP ユーザ ID は、LDAP ディレクトリには格納されません。ABAP ユーザ ID LDAP ディレクトリから使用するように UME を設定する場合は、次の処理を実行します。

...

       1.      データソース設定ファイルを修正し、ABAP ユーザ ID が含まれる属性を取り込みます。このファイルには以下のような内容が記述されています。

       論理属性 REFERENCE_SYSTEM_USER LDAP データソースに格納されるようにするための定義

       論理属性 REFERENCE_SYSTEM_USER から、LDAP ディレクトリで実際に ABAP ユーザ ID を格納する物理属性への属性マッピングの定義

       必要な場合は、ABAP ユーザ ID 属性が含まれる追加オブジェクトクラスの宣言

手順の詳細については、データソース設定ファイルの変更を参照してください。

       2.      Structure linkUME プロパティの編集に記載されている手順に従って、次の UME プロパティを変更します。

       ume.usermapping.refsys.mapping.type = attribute

このプロパティでは、LDAP ディレクトリにあるユーザのABAP ユーザ ID が、UME により論理ユーザ属性 REFERENCE_SYSTEM_USER に入力されることが定義されます。

必要に応じて、プロパティ ume.usermapping.admin.pwdprotection を変更することもできます。このプロパティでは、管理者がユーザのユーザマッピングデータを変更する際、パスワードを入力する必要があるかどうかを指定します。

これらのプロパティの詳細については、Structure linkユーザマッピングを参照してください。

       3.      ユーザデータのための SAP 参照システムの定義の説明に従って、ユーザマッピングに使用する SAP 参照システムを定義します。

 

コンテンツエリア終了