R/3 4.6C で SSO [SAP]
SSO とはSingle Sighin On です。
Windowsにログオンして、その後 R/3にもログオンするといった様に2回以上ログオンしなくて済む様にする方式です。
4.0Bの時にもやってますが、あちらは NTLM 認証で、ActiveDirectry以前の NTドメイン又はワークグループ等のローカルサーバーでの SSO ですが、サポートをやめつつある様です。
今回は ネイティブ ActiveDirectryの Kroberos認証で、ActiveDirectry 環境下で有効なSSOです。
PC→R/3でのSSOなので上のログオン画面をスキップしてR/3が利用できる様になります。
まず、SSOを行うためのサーバーで使用するライブラリを用意します。
SAPノート352295に添付されている SAPSSO.zip をダウンロードして解凍し、SAPSSO.msi をインストールします。
ライブラリ gsskrb5.dll のインストール先は c:\windows\system32 のシステムフォルダです。
古いライブラリカーネルCDにもライブラリ gsskrb5.dll 入っているそうですが、何かと不具合があるとの事です。
次に、R/3のプロファイルパラメーターに、
SSO用の設定をします。
下から2行目は環境により異なります。
p:(SAPサービスユーザー:SAPServiseSID)@(ADドメイン名)
ユーザー名は↑この後ろのドメイン名は大文字にしないと認識されません。
プロファイルパラメーターを変更したので R/3 を再起動します。
なにげにクラスタ環境になってますので起動停止はMMCでなくてクラスタアドミニストレーターから行います。
設定が間違っていると、一旦起動しますが、じきに落ちます。
dev_w0 等のトレースファイルにSNC関連のエラーが出ますので見てください。
次にクライアント(SAPGUI PC)側の設定をします。
当然ながらPCはドメインに属している必要があります。
SAPノート352295に添付されていた SAPSSO.msi をインストールします。
インストールが完了するとユーザー環境変数に SNC_LIB が登録されています。
インストールしたユーザー以外でも使用する場合は、各ユーザーの環境変数に同じものを設定する必要があります。…システム環境変数にした方が手っ取り早いです。
次に、SAPGUI側の設定をします。
SAPLogon の該当サーバーの アイテム変更 でシステムのプロパティを表示します。
ネットワーク タブの セキュアなネットワーク設定 の セキュアネットワークコミュニケーションを有効化 にチェックし、SNC名に サーバーで設定した SNC名 p:SAPService(SID)@(ドメイン名) を設定します。
次に、WindowsのユーザーとR/3のユーザーのマッピングを行います。
R/3にログオンして…上記GUIの設定をしたままだと、まだユーザーがマッピングされていないのでログオン出来ません。マッピングが終わるまでチェックは外しておきましょう。
ユーザーのマッピングはトランザクション SU01 で行います。
R/3サーバーにSNCの設定をしているので SNC タブがあり、SNC名にマッピングするWindowsユーザー名を指定します。
指定は、 p:(Windowsユーザー名)@(ドメイン名) になります。ドメイン名は大文字です。
以上で設定は完了です。
SAPLogon からユーザ/パスワード等入力しなくても R/3 にログオン可能になります。
Windowsにログオンして、その後 R/3にもログオンするといった様に2回以上ログオンしなくて済む様にする方式です。
4.0Bの時にもやってますが、あちらは NTLM 認証で、ActiveDirectry以前の NTドメイン又はワークグループ等のローカルサーバーでの SSO ですが、サポートをやめつつある様です。
今回は ネイティブ ActiveDirectryの Kroberos認証で、ActiveDirectry 環境下で有効なSSOです。
PC→R/3でのSSOなので上のログオン画面をスキップしてR/3が利用できる様になります。
まず、SSOを行うためのサーバーで使用するライブラリを用意します。
SAPノート352295に添付されている SAPSSO.zip をダウンロードして解凍し、SAPSSO.msi をインストールします。
ライブラリ gsskrb5.dll のインストール先は c:\windows\system32 のシステムフォルダです。
古いライブラリカーネルCDにもライブラリ gsskrb5.dll 入っているそうですが、何かと不具合があるとの事です。
次に、R/3のプロファイルパラメーターに、
SSO用の設定をします。
下から2行目は環境により異なります。
p:(SAPサービスユーザー:SAPServiseSID)@(ADドメイン名)
ユーザー名は↑この後ろのドメイン名は大文字にしないと認識されません。
プロファイルパラメーターを変更したので R/3 を再起動します。
なにげにクラスタ環境になってますので起動停止はMMCでなくてクラスタアドミニストレーターから行います。
設定が間違っていると、一旦起動しますが、じきに落ちます。
dev_w0 等のトレースファイルにSNC関連のエラーが出ますので見てください。
次にクライアント(SAPGUI PC)側の設定をします。
当然ながらPCはドメインに属している必要があります。
SAPノート352295に添付されていた SAPSSO.msi をインストールします。
インストールが完了するとユーザー環境変数に SNC_LIB が登録されています。
インストールしたユーザー以外でも使用する場合は、各ユーザーの環境変数に同じものを設定する必要があります。…システム環境変数にした方が手っ取り早いです。
次に、SAPGUI側の設定をします。
SAPLogon の該当サーバーの アイテム変更 でシステムのプロパティを表示します。
ネットワーク タブの セキュアなネットワーク設定 の セキュアネットワークコミュニケーションを有効化 にチェックし、SNC名に サーバーで設定した SNC名 p:SAPService(SID)@(ドメイン名) を設定します。
次に、WindowsのユーザーとR/3のユーザーのマッピングを行います。
R/3にログオンして…上記GUIの設定をしたままだと、まだユーザーがマッピングされていないのでログオン出来ません。マッピングが終わるまでチェックは外しておきましょう。
ユーザーのマッピングはトランザクション SU01 で行います。
R/3サーバーにSNCの設定をしているので SNC タブがあり、SNC名にマッピングするWindowsユーザー名を指定します。
指定は、 p:(Windowsユーザー名)@(ドメイン名) になります。ドメイン名は大文字です。
以上で設定は完了です。
SAPLogon からユーザ/パスワード等入力しなくても R/3 にログオン可能になります。
コメント 0