1 SAP S/4 HANAコネクタについて

SAP S/4HANAコネクタは、Oracle Identity GovernanceをSAP S/4HANAターゲット・システムと統合します。

次の各トピックでは、SAP S/4HANAコネクタの概要を示します:

• コネクタの概要

• 動作保証されているコンポーネント

• 使用上の推奨事項

• 動作保証されている言語

• サポートされているコネクタ操作

• コネクタのアーキテクチャ

• サポートされるコネクタの機能マトリックス

• コネクタの機能

1.1 コネクタの概要

Oracle Identity Governanceは、オンプレミスまたはクラウドにあるアプリケーションに対して、セルフ・サービス、コンプライアンス、プロビジョニングおよびパスワード管理サービスを提供する集中アイデンティティ管理ソリューションです。Oracle Identity Governanceコネクタは、Oracle Identity Governanceと外部のアイデンティティ認識アプリケーションの統合に使用されます。

SAP S/4HANA Cloudコネクタを使用すると、Oracle Identity GovernanceでSAP S/4HANA Cloudアプリケーションを作成してオンボードできます。

注意:

このマニュアルでは、Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してデプロイされるコネクタをAOBアプリケーションと呼びます。

Oracle Identity Governanceリリース12.2.1.3.0以降では、Oracle Identity Self Serviceのアプリケーション・オンボード機能を使用してコネクタのデプロイメントが処理されます。この機能により、ビジネス・ユーザーは最小限の詳細と作業でアプリケーションをオンボードできます。コネクタのインストール・パッケージには、指定したアプリケーションまたはターゲット・システムからデータをプロビジョニングおよびリコンサイルするために必要なすべての情報を含む事前定義済テンプレート(XMLファイル)のコレクションが含まれています。これらのテンプレートには、ターゲット・システムに固有の基本接続性と構成の詳細も含まれています。コネクタによってこれらの事前定義済テンプレートからの情報が使用されるため、ユーザーは単一の簡素化されたUIを使用して迅速かつ簡単にアプリケーションをオンボードできます。

アプリケーション・オンボードとは、Oracle Identity Governanceにアプリケーションを登録または関連付けして、ユーザー情報のプロビジョニングおよびリコンシリエーションにそのアプリケーションを使用できるようにするプロセスです。

注意:

このガイドでは、SAP S/4HANA Cloudという語をターゲット・システムとも表記しています。

1.2 動作保証されているコンポーネント

これらは、SAP S/4HANA Cloudコネクタをインストールおよび使用するために必要なソフトウェア・コンポーネントおよびそのバージョンです。

表1-1 動作保証されているコンポーネント

コンポーネント	AOBアプリケーションの要件
Oracle Identity Governance	次のいずれかのリリースを使用できます: Oracle Identity Governance 12c PS3 (12.2.1.3.0) Oracle Identity Governance 12c PS4 (12.2.1.4.0)
Oracle Identity Governance JDK	JDK 1.8以降
ターゲット・システム	SAP S/4HANA CLOUD 2208
コネクタ・サーバー	11.1.2.1.0または12.2.1.3.0
コネクタ・サーバーJDK	JDK 1.8以降

1.3 使用上の推奨事項

Oracle Identity Governance 12c (12.2.1.3.0)以降のバージョンを使用している場合は、このコネクタの最新の12.2.1.xバージョンを使用します。Identity Self Serviceの「管理」タブの「アプリケーション」オプションを使用してコネクタをデプロイします。

ロール参照リコンシリエーション機能が実装されているため、新しいお客様はS4HANA-12.2.1.3.0Aバージョンを使用することをお薦めします。

SAP S/4 HANAの様々な特色に基づいて、次のように使用することをお薦めします:

• SAP S/4HANA On-Premise: SAP ERP 6.0の従来のアップグレード済リリースは、SAP GUIベースでシステムにアクセスでき、Fiori launchpadにもアクセスできます。多くのお客様がこれに移行しています。これは、管理/サポート/メンテナンスに関してお客様が完全に制御できる環境です。推奨事項 - Oracle Identity Governance - SAP User Managementコネクタを使用します。詳細は、「SAP User Managementコネクタについて」を参照してください。
• SAP S/4HANA Cloud Private Edition: SAP S/4HANA On-Premiseと似ていますが、全体的なシステム制御/管理/メンテナンスはSAPで行います。これは、"Rise with SAP"プログラムに基づいて、エンド/ビジネス・ユーザーにSAP GUIアクセスを許可するサービスとしてのみ提供されています。エンド/ビジネス・ユーザーはFiori Launchpadにもアクセスできます。推奨事項 - Oracle Identity Governance - SAP User Managementコネクタを使用します。詳細は、「SAP User Managementコネクタについて」を参照してください。
• SAP S/4HANA Cloud Public Edition/Essential Edition: S/4HANAのコアSaaS製品で、ここにインスタンスがプロビジョニングされます。エンド/ビジネス・ユーザーにはブラウザベースのアクセスのみが許可されます。このクラウド・インスタンスに対して有効な、または公開されるSAP GUIアクセスはありません。推奨事項 - Oracle Identity Governance - SAP S/4 HANA Cloudコネクタを使用します。詳細は、「コネクタの概要」を参照してください。

1.4 動作保証されている言語

コネクタでサポートされている言語は次のとおりです。

• アラビア語

• 中国語(簡体字)

• 中国語(繁体字)

• チェコ語

• デンマーク語

• オランダ語

• 英語

• フィンランド語

• フランス語

• フランス語(カナダ)

• ドイツ語

• ギリシャ語

• ヘブライ語

• ハンガリー語

• イタリア語

• 日本語

• 韓国語

• ノルウェー語

• ポーランド語

• ポルトガル語

• ポルトガル語(ブラジル)

• ルーマニア語

• ロシア語

• スロバキア語

• スペイン語

• スウェーデン語

• タイ語

• トルコ語

1.5 サポートされているコネクタ操作

ここでは、ターゲット・システムに対してコネクタでサポートされている操作のリストを示します。

表1-2 サポートされるコネクタ操作

操作	サポート対象
ユーザー管理
ユーザーの作成	はい
ユーザーの更新	はい
ユーザーの有効化	はい
ユーザーの無効化	はい
ユーザーの削除	はい
ビジネス・ロール管理
ユーザーに対するロールの追加および削除	はい

1.6 コネクタのアーキテクチャ

SAP S/4HANA Cloudコネクタは、Identity Connector Framework (ICF)を使用して実装されます。

ICFは、アイデンティティ・コネクタを使用するために必要なコンポーネントです。ICFは、すべてのOracle Identity Governanceコネクタに共通の基本的なリコンシリエーションおよびプロビジョニングの操作を提供します。さらに、ICFにはバッファリング、タイムアウト、フィルタリングなどの一般的な機能も用意されているため、開発者がこれらの機能を自分で実装する必要はありません。ICFはOracle Identity Governanceに同梱されています。したがって、ICFを構成したり変更する必要はありません。

図1-1に、SAP S/4HANA Cloudコネクタのアーキテクチャを示します。

図1-1 コネクタのアーキテクチャ

コネクタは、アカウント管理モードで実行するように構成されています。アカウント管理は、ターゲット・リソース管理とも呼ばれます。このモードでは、ターゲット・システムはターゲット・リソースとして使用され、コネクタは次の操作を行うことができます。

• プロビジョニング

  プロビジョニングでは、Oracle Identity Governanceを使用して、ターゲット・システムでユーザーを作成、更新または削除します。プロビジョニング中に、アダプタがICF操作を呼び出すと、ICFがSAP S/4HANA Cloudアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがプロビジョニング操作のためにS/4HANA Cloud Webサービスを呼び出します。ターゲット・システムのWebサービスはバンドルからのプロビジョニング・データを受け入れ、ターゲット・システムで必要な操作を実行し、ターゲット・システムからのレスポンスをバンドルに返し、バンドルはそのレスポンスをアダプタに渡します

• ターゲット・リソースのリコンシリエーション

  リコンシリエーション時には、スケジュール済タスクによってICF操作が呼び出されます。ICFがSAP S/4HANA Cloudアイデンティティ・コネクタ・バンドルで作成操作を呼び出し、バンドルがリコンシリエーション操作のためにS/4HANA Cloud Webサービスを呼び出します。Webサービスはリコンシリエーション基準に一致するユーザー・レコードを抽出し、バンドルおよびICFを介してレコードをスケジュール済タスクに戻し、スケジュール済タスクがOracle Identity Governanceにレコードを渡します。

  ターゲット・システムからフェッチされた各レコードは、OIMユーザーにすでにプロビジョニングされているSAP S/4HANA Cloudリソースと比較されます。一致が見つかった場合、ターゲット・システムのSAP S/4HANA Cloudレコードに対して行われた更新がOracle Identity GovernanceのSAP S/4HANA Cloudリソースにコピーされます。一致が見つからなかった場合、レコードのUserNameが、各OIMユーザーのユーザー・ログインと比較されます。一致が見つかった場合、ターゲット・システム・レコードのデータを使用して、SAP S/4HANA CloudリソースがOIMユーザーにプロビジョニングされます。

関連項目:

ICFの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のIdentity Connector Frameworkの理解に関する項を参照してください

1.7 サポートされるコネクタの機能マトリックス

AOBアプリケーションでサポートされている機能のリストを示します。

表1-3 サポートされるコネクタの機能マトリックス

機能	AOBアプリケーション
完全リコンシリエーション	はい
制限付き(フィルタ)リコンシリエーション	はい
SSLを使用したセキュアな通信のターゲット・システムへの提供	はい
コネクタ・サーバーの使用	はい
アプリケーションのクローニングまたは新しいアプリケーション・インスタンスの作成	はい
アカウント・データの変換および検証	はい
ページ区切りのサポート	はい
接続のテスト	はい

1.8 コネクタの機能

コネクタの機能には、完全リコンシリエーションと増分リコンシリエーション、制限付きリコンシリエーション、アカウント・データの変換と検証などがあります。

• 完全リコンシリエーションのサポート
• 制限付き(フィルタ)リコンシリエーションのサポート
• コネクタ・サーバーのサポート
• アカウント・データの変換および検証
• アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート
• ターゲット・システムのセキュアな通信
• アクション・スクリプトの構成
• アカウントの有効化および無効化のサポート

1.8.1 完全リコンシリエーションのサポート

完全リコンシリエーションでは、すべてのレコードがターゲット・システムからOracle Identity Governanceにフェッチされます。

コネクタのデプロイ後はいつでも、完全リコンシリエーションに切り替えることができます。完全リコンシリエーションの実行の詳細は、「完全リコンシリエーションの実行」を参照してください。

1.8.2 制限付き(フィルタ)リコンシリエーションのサポート

指定されたフィルタ基準に基づいて、ターゲット・システムからレコードをリコンサイルできます。

ユーザー・リコンシリエーション・スケジュール済ジョブのFilter Query属性の値としてリコンシリエーション・フィルタを設定できます。このフィルタで、リコンサイルする必要のある、新規追加または変更されたターゲット・システム・レコードのサブセットを指定します。Filter Query属性は、ターゲット・システムからのフィルタ済レスポンスを取得するベースとなるWebサービスにフィルタを割り当てるのに役立ちます。

制限付きリコンシリエーションの実行の詳細は、「制限付きリコンシリエーションの実行」を参照してください。

1.8.3 コネクタ・サーバーのサポート

コネクタ・サーバーはICFによって提供される機能の1つです。コネクタ・アーキテクチャでは、1つ以上のコネクタ・サーバーを使用することで、アプリケーションと外部にデプロイされたバンドルとの通信が可能になります。

アプリケーションと同じVMでJavaコネクタ・バンドルを実行しない場合は、Javaコネクタ・サーバーを使用すると便利です。パフォーマンス向上のためにJavaコネクタを別のホストで実行すると、効果を発揮できます。

コネクタ・サーバーのインストール、構成および実行、ならびにコネクタ・サーバーへのコネクタのインストールの詳細は、『Oracle Fusion Middleware Oracle Identity Governanceのためのアプリケーションの開発とカスタマイズ』のアイデンティティ・コネクタ・サーバーの使用に関する項を参照してください。

1.8.4 アカウント・データの変換および検証

リコンシリエーションおよびプロビジョニングの操作時にOracle Identity Governanceとの間で送受信されるアカウント・データの変換と検証は、アプリケーションの作成時にGroovyスクリプトを作成することで構成できます。

詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアカウント・データの変換および検証に関する項を参照してください。

1.8.5 アプリケーションのクローニングおよびインスタンス・アプリケーションの作成のサポート

アプリケーションをクローニングするか、インスタンス・アプリケーションを作成することにより、ターゲット・システムの複数のインストールに対してこのコネクタを構成できます。

アプリケーションをクローニングすると、クローニングされたアプリケーションにベース・アプリケーションの構成がすべてコピーされます。インスタンス・アプリケーションを作成すると、すべての構成がベース・アプリケーションとして共有されます。

これらの構成の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のアプリケーションのクローニングおよびインスタンス・アプリケーションの作成に関する項を参照してください。

1.8.6 ターゲット・システムのセキュアな通信

ターゲット・システムにセキュアな通信を提供するためにはSSLが必要です。Oracle Identity Governanceとコネクタ・サーバーの間およびコネクタ・サーバーとターゲット・システムの間でSSLを構成できます。

SSLを構成しないと、ネットワーク上でパスワードがクリア・テキストで送信されます。たとえば、ユーザーを作成するとき、またはユーザーのパスワードを作成するときに、この問題が発生することがあります。

詳細は、「SSLの構成」を参照してください。

1.8.7 アクション・スクリプトの構成

アクション・スクリプトを構成するには、アプリケーションの作成時に独自のGroovyスクリプトを作成します。

これらのスクリプトは、アカウントの作成、更新または削除のプロビジョニング操作の前または後に実行されるように構成できます。たとえば、あるスクリプトを、個々のユーザー作成操作前に実行するように構成できます。

アクション・スクリプトの追加または編集の詳細は、『Oracle Fusion Middleware Oracle Identity Governanceでのセルフ・サービス・タスクの実行』のプロビジョニング構成の更新に関する項を参照してください。

1.8.8 アカウントの有効化および無効化のサポート

属性「Valid From」および「Valid Through」は、ターゲット・システムのユーザー属性です。SAP S/4HANA Cloudの特定のユーザーについて、「Valid Through」の日付が現在の日付より前である場合、アカウントは「Disabled」状態であり、それ以外の場合はアカウントは「Enabled」状態です。同じ動作が、リコンシリエーションを介してOracle Identity Governanceで複製されます。また、プロビジョニング操作を介して「Valid Through」の日付を現在の日付または過去の日付に設定することもできます。