第 54 章 SNC (Secure Network Communications) 接続の有効化

この章では、Access Enforcer、SAP、および SAP HR リソースアダプタが SNC (Secure Network Communications) を使用して安全に SAP システムと通信できるようにする方法について説明します。別のサードパーティー製品である Secude セキュリティーログインを入手する必要があります。この製品の詳細については、http://www.secude.com を参照してください。

SNC 接続を有効にするには、この製品をインストールして、Identity Manager の PSE (Personal Security Environment) を作成する必要があります。これらの作業の実行については、Secude セキュリティーログインの製品マニュアルを参照してください。

SNC 接続を有効にするには、次の作業を実行します。

• 「SNC 通信のクレデンシャルの作成」

• 「Identity Manager の証明書の取得」

• 「Identity Manager の識別名 (DN) の取得」

• 「SAP システムの識別名 (DN) の取得」

• 「Identity Manager アプリケーションサーバーの設定」

• 「アダプタの設定」

SNC 通信のクレデンシャルの作成

SNC を正しく機能させるには、cred_v2 という名前のクレデンシャルファイルを生成する必要があります。 このファイルは、CREDDIR 環境変数で指定されたディレクトリに格納されます。このファイルに含まれるクレデンシャルを作成するには、secude seclogin コマンドを使用します。

$ secude seclogin -p idm.pse -a "Identity Manager" -O OS_User -1

-a “Identity Manager” 引数は省略可能です。-O 引数は、アプリケーションサーバーを実行するオペレーティングシステムユーザーの名前にするようにしてください。

Identity Manager の証明書の取得

SNC には、SAP システムとのセキュア接続を設定するための証明書が必要です。この証明書は、Identity Manager PSE から取得できます。この証明書を Identity Manager PSE からエクスポートし、base64 エンコーディングに変換する必要があります。

Identity Manager のアダプタ設定で使用する Base64 で符号化された証明書を取得するには、次のコマンドを使用します。最初のコマンドは、証明書を PKCS12 エンコーディングにエクスポートします。2 番目のコマンドは、この証明書を必要な base64 エンコーディングに変換します。

$ secude psemaint-p idm.pse export Cert PKCS12_File
$ secude encode -i 2048 PKCS12_File Base64_File

Identity Manager の識別名 (DN) の取得

Identity Manager PSE に含まれている証明書は、PSE の作成時に決定されました。PSE から Identity Manager の DN を取得するには、次のいずれかのコマンドを使用します。

UNIX の場合:

$ secude psemaint -p idm.pse show Cert 2>&1 | grep SubjectName

Windows の場合:

C:> secude psemaint -p idm.pse show Cert | findstr SubjectName

SAP システムの識別名 (DN) の取得

SAP システムの DN は、SAP システムにインストールされている証明書に含まれています。この DN を取得するには、SAP GUI を使用して SAP システムにログインします。

SAP システムの DN を取得する

1. STRUST トランザクションを選択します。

2. 「SNC (SAP Cryptolib)」ノードを展開します。

3. SAP システムの証明書をダブルクリックして選択します。

4. 右側のいちばん下の区画にある「所有者」フィールドが DN です。

Identity Manager アプリケーションサーバーの設定

Identity Manager のアプリケーションサーバーでは、次の環境変数を定義する必要があります。さらに、CREDDIR 変数で指定されたディレクトリに対する読み取り/書き込み権が必要です。

CREDDIR =PathToPSELocation (すべて)

SNC_LIB=PathToSecudeLibrary/ secude_library (すべて)

LD_LIBRARY_PATH =PathToSecudeLibraries (Solaris および Linux のみ)

LIBPATH =PathToSecudeLibraries (AIX のみ)

SHLIB_PATH =PathToSecudeLibraries (HP-UX のみ)

PATH =PathToSecudeLibraries (Windows のみ)

アダプタの設定

SAP アダプタには、SNC が正しく機能するために設定する必要のあるいくつかのリソースパラメータが必要です。この手順には、Identity Manager の証明書、Identity Manager の DN、および SAP システムの DN が必要です。

• SNC Protection Level。プライバシーのレベルを表す数値 (1 ～ 9)。この値は、SAP システムの値セットと一致する必要があります。

• SNC Name。先頭に p: を付加した、Identity Manager の識別名 (DN)。たとえば、p:CN=IdentityManager,OU=IDM,O=Example,C=US になります。

• SNC Partner Name。先頭に p: を付加した、SAP の DN。たとえば、p:CN=SAPHost,OU=IDM,o=Example,c=us になります。

• SNC X509 Certificate。Identity Manager の証明書を入力します。BEGIN および END CERTIFICATE の行を削除して、すべての改行文字を削除する必要があります。

• SNC ライブラリパス。SNC 暗号化ライブラリファイルのフルパス。ファイル拡張子 (.so、.a、または .dll) を含みます。