この章では、Access Enforcer、SAP、および SAP HR リソースアダプタが SNC (Secure Network Communications) を使用して安全に SAP システムと通信できるようにする方法について説明します。別のサードパーティー製品である Secude セキュリティーログインを入手する必要があります。この製品の詳細については、http://www.secude.com を参照してください。
SNC 接続を有効にするには、この製品をインストールして、Identity Manager の PSE (Personal Security Environment) を作成する必要があります。これらの作業の実行については、Secude セキュリティーログインの製品マニュアルを参照してください。
SNC 接続を有効にするには、次の作業を実行します。
SNC を正しく機能させるには、cred_v2 という名前のクレデンシャルファイルを生成する必要があります。 このファイルは、CREDDIR 環境変数で指定されたディレクトリに格納されます。このファイルに含まれるクレデンシャルを作成するには、secude seclogin コマンドを使用します。
$ secude seclogin -p idm.pse -a "Identity Manager" -O OS_User -1
-a “Identity Manager” 引数は省略可能です。-O 引数は、アプリケーションサーバーを実行するオペレーティングシステムユーザーの名前にするようにしてください。
SNC には、SAP システムとのセキュア接続を設定するための証明書が必要です。この証明書は、Identity Manager PSE から取得できます。この証明書を Identity Manager PSE からエクスポートし、base64 エンコーディングに変換する必要があります。
Identity Manager のアダプタ設定で使用する Base64 で符号化された証明書を取得するには、次のコマンドを使用します。最初のコマンドは、証明書を PKCS12 エンコーディングにエクスポートします。2 番目のコマンドは、この証明書を必要な base64 エンコーディングに変換します。
$ secude psemaint-p idm.pse export Cert PKCS12_File $ secude encode -i 2048 PKCS12_File Base64_File
Identity Manager PSE に含まれている証明書は、PSE の作成時に決定されました。PSE から Identity Manager の DN を取得するには、次のいずれかのコマンドを使用します。
UNIX の場合:
$ secude psemaint -p idm.pse show Cert 2>&1 | grep SubjectName
Windows の場合:
C:> secude psemaint -p idm.pse show Cert | findstr SubjectName
SAP システムの DN は、SAP システムにインストールされている証明書に含まれています。この DN を取得するには、SAP GUI を使用して SAP システムにログインします。
STRUST トランザクションを選択します。
「SNC (SAP Cryptolib)」ノードを展開します。
SAP システムの証明書をダブルクリックして選択します。
右側のいちばん下の区画にある「所有者」フィールドが DN です。
Identity Manager のアプリケーションサーバーでは、次の環境変数を定義する必要があります。さらに、CREDDIR 変数で指定されたディレクトリに対する読み取り/書き込み権が必要です。
CREDDIR =PathToPSELocation (すべて)
SNC_LIB=PathToSecudeLibrary/ secude_library (すべて)
LD_LIBRARY_PATH =PathToSecudeLibraries (Solaris および Linux のみ)
LIBPATH =PathToSecudeLibraries (AIX のみ)
SHLIB_PATH =PathToSecudeLibraries (HP-UX のみ)
PATH =PathToSecudeLibraries (Windows のみ)
SAP アダプタには、SNC が正しく機能するために設定する必要のあるいくつかのリソースパラメータが必要です。この手順には、Identity Manager の証明書、Identity Manager の DN、および SAP システムの DN が必要です。
SNC Protection Level。プライバシーのレベルを表す数値 (1 ~ 9)。この値は、SAP システムの値セットと一致する必要があります。
SNC Name。先頭に p: を付加した、Identity Manager の識別名 (DN)。たとえば、p:CN=IdentityManager,OU=IDM,O=Example,C=US になります。
SNC Partner Name。先頭に p: を付加した、SAP の DN。たとえば、p:CN=SAPHost,OU=IDM,o=Example,c=us になります。
SNC X509 Certificate。Identity Manager の証明書を入力します。BEGIN および END CERTIFICATE の行を削除して、すべての改行文字を削除する必要があります。
SNC ライブラリパス。SNC 暗号化ライブラリファイルのフルパス。ファイル拡張子 (.so、.a、または .dll) を含みます。