ユーザマッピング 
用途
バックエンドシステムへのシングルサインオン (SSO) のためにユーザマッピングが使用されます。ユーザマッピングでは、バックエンドシステムのユーザ ID にポータルユーザ ID がマッピングされます。ユーザマッピングは、管理者が管理するか、管理者が定義したシステムへのユーザマッピングをユーザ自身が管理できるよう設定できます。ユーザマッピングでは、以下の認証方法がサポートされています。
● ユーザ ID とパスワードによる SSO
この方法では、ユーザマッピングが必須です。ポータル ID が、バックエンドシステムのユーザ ID とパスワードにマッピングされます。
● ABAP ベースのシステムへのログオンチケットを使用した SSO
この方法では、SAP NetWeaver Portal と ABAP ベースのシステムでユーザ ID が異なる場合のみユーザマッピングが必要です。パスワードはマッピングされません。複数の ABAP バックエンドシステムへアクセスするために、参照システムを定義できます。すべての ABAP バックエンドシステムで同じユーザ ID が使用されている限り、ユーザは、ポータルユーザ ID を参照システムのユーザ ID にマッピングすることですべてのシステムにアクセスできます。
ユーザのポータルユーザID と ABAP ユーザ ID は、ユーザのログオンチケットに保存されます。ユーザがバックエンドシステムにアクセスしようとすると、ログオンチケットからユーザ ID が抽出されます。
ユーザマッピングを行うには、ポータルとバックエンドシステム間で最低 1 回 (ユーザマッピングの設定中)、ユーザおよびパスワード情報をやりとりする必要があります。可能な場合は、ポータルとバックエンド ABAP システムで同じユーザ ID を使用してユーザマッピングを行わないようにし、ログオンチケットを使用した SSO を有効にします。ユーザマッピングがどうしても必要な場合は、バックエンドシステムへの接続に Secure
Sockets Layer (SSL) と
Secure Network Communications (SNC) を使用します。詳細については、
トランスポートレイヤセキュリティを参照してください。
ディレクトリサーバを使用する場合は、ABAP バックエンドシステムのユーザ ID をLDAP ディレクトリに保存できます。ユーザマッピングを設定する必要はありません。詳細については、ABAP
ユーザ ID
としての LDAP
ディレクトリ属性の使用を参照してください。
前提条件
● SAP NetWeaver Application Server (AS) Java で強暗号化に対するサポートが設定されていることを確認してください。
詳細については、ユーザマッピングに対する強暗号化の設定を参照してください。
● ユーザデータをマッピングするシステムのシステムプロパティでユーザマッピングタイプ、ログオン方法、ユーザマッピング項目 (オプション) を定義する必要があります。
詳細については、ユーザマッピングのシステムプロパティを参照してください。
● システムのシステムエイリアスを定義しないと、管理者またはユーザがユーザマッピングを設定する際にシステムを選択できません。
詳細については、システムエイリアス一覧の更新を参照してください。
デフォルトのシステムエイリアスを変更しても、ユーザマッピングに影響はありません。ただし、すべてのシステムエイリアスが削除された場合、新規のシステムエイリアスが以前のデフォルトと同じ名称で登録されても、そのシステムに対するユーザマッピングは失われます。
● 権限エディタでシステムのユーザ、グループ、ロールにエンドユーザ権限を割り当てた場合は、ユーザ、グループ、ロールのユーザマッピング表示にのみシステムが表示されます。
詳細については、権限エディタによる権限の設定を参照してください。
● ABAP ベースシステムへのログオンチケットを使用して SSO にユーザマッピングを設定した場合は、参照システムを定義します。
詳細については、ユーザマッピングに関する参照システムの設定を参照してください。
機能
● ユーザまたは管理者がユーザマッピングを実行できます。
○ ユーザは常に、マッピングされたユーザ ID の正当性をチェックするためパスワードを入力する必要があります。
このパスワードは保存されませんが、ABAP ベースシステムへのアクセスが許可されているユーザ ID をユーザが入力していることを確認するために使用されます。
○ 管理者は、それぞれのエントリの正当性をチェックするためのパスワードを入力できます。
管理者がパスワードを入力する必要があるかどうかは、UME プロパティ ume.usermapping.admin.pwdprotectionにより定義されます。デフォルトでは、パスワードを入力する必要があります。
● ユーザ、グループ、またはロールのいずれかを、ポータルに接続されているシステムのユーザID にマッピングすることができます。
参照システムを使用している場合、参照システムのユーザにグループまたはロールをマッピングすることはできません。ユーザをユーザにマッピングすることのみが可能です。
バックエンドシステムで、シングルユーザにマッピングする場合、スーパーユーザや管理ユーザにマッピングしないでください。ユーザ ID およびパスワードに SSO を使用すると、悪意を持つ正規のユーザは、HTTP スニファープログラムを使用して自分にマッピングされているユーザ ID とパスワードを特定できます。シングルユーザにマッピングする必要がある場合は、必要な権限を持つゲストユーザにマッピングすることをお奨めします。ユーザがユーザ ID とパスワードを取得するとセキュリティ上のリスクが発生するため、バックエンドアカウントにユーザをマッピングしないでください。
● ログオンチケットをサポートしない接続システムからのデータを必要とする iView にユーザがアクセスしようとすると、ポータルではリモートシステムのユーザへのマッピングが試行されます。ポータルでは、以下の順序でマッピングをチェックしてこれを実行します。
...
a. ポータルユーザへ
b. ポータルユーザがメンバーであるグループへ
c. ポータルユーザが直接割り当てられているロールへ
ユーザマッピングは、間接ロール割当へのマッピングはサポートしません。
ポータルで適切なマッピングが検出されない場合、ユーザにマッピングデータを入力するよう要求するプロンプトがiView に表示されます (iView の開発者がそのようにプログラミングした場合)。
管理者が個別のユーザ間マッピングを管理しない場合は、ロールまたはグループをバックエンドシステムのユーザにマッピングします。グループの特定ユーザが、ロールからユーザへ、またはグループからユーザにマッピングされた権限以上またはそれ以下のバックエンドシステム権限を必要とする場合は、このような例外のためのユーザ間マッピングを登録することができます。同じバックエンドシステムに、同じ種類のマッピングを複数登録しないでください。ポータルでは最初に検出されたマッピングが使用されます。同じバックエンドシステムで異なるユーザに 2 つのロールをマッピングし、両ロールをポータルユーザに割り当てた場合、どちらのマッピングがポータルで使用されるかを判別できなくなります。
アクティビティ
マッピングデータは以下の方法で入力できます。
● ポータル管理者が、ポータル使用のための設定時にユーザ、グループ、ロールのユーザマッピングデータを入力します。
詳細については、ユーザマッピング: 管理ツールを参照してください。
● ユーザが、ポータルで自身の個人マッピングデータを入力します。
詳細については、ユーザマッピング: ユーザ自身によるデータ入力を参照してください。
参照: