Share via

Duet Enterprise の概要

  • [アーティクル]

 

適用先: Duet Enterprise for Microsoft SharePoint and SAP

トピックの最終更新日: 2016-11-29

Duet Enterprise for Microsoft SharePoint and SAP は、SAP と Microsoft によって共同開発された新製品であり、SAP アプリケーションと Microsoft SharePoint Server 2010 Enterprise Edition との相互運用性を実現します。Duet Enterprise によって、従業員は SharePoint Server 2010 および Microsoft Office 2010 クライアント アプリケーション内から SAP のプロセスや情報を利用したり拡張したりできるようになります。

この記事では、SharePoint 管理者、SAP 管理者、およびシステム アーキテクトによる Duet Enterprise アーキテクチャ、使いやすい機能、SharePoint Server および Office アプリケーションでの SAP 情報の提示方法、認証のしくみの理解に役立つ情報を提供します。また、監視とトラブルシューティングの概要についても説明します。

この概要記事の他に、ダウンロード可能な Duet Enterprise for Microsoft SharePoint and SAP ポスターが用意されており、これには製品の使用例、Duet Enterprise アーキテクチャの詳細な説明、図表によるセキュリティ情報などの補完的な情報が含まれています。

ポスターのダウンロード (https://go.microsoft.com/fwlink/?linkid=205014&clcid=0x411)。

Duet Enterprise の アーキテクチャ ポスター (英語) (https://go.microsoft.com/fwlink/?linkid=208381&clcid=0x411) (英語) をオンラインで表示すると、細部を拡大/移動して見ることができます。

Duet Enterprise のメリットの詳細については、「http://sharepoint.microsoft.com/ja-jp/product/related-technologies/pages/duet-enterprise-for-sap-and-sharepoint.aspx」(https://go.microsoft.com/fwlink/?linkid=195937&clcid=0x411) を参照してください。

SharePoint Server および Microsoft Outlook 2010 での SAP 情報の提示方法

Duet Enterprise では、ユーザーが Microsoft SharePoint Server 2010 Enterprise Edition と Microsoft Office 2010 を使用して、ビジネス プロセスや、SAP アプリケーション内の情報に対するアクセスや操作を行うことができます。

ユーザーが実行できる操作の例を以下に示します。

  • SharePoint リスト内に存在する SAP データを修正し、それらの変更内容を SAP システムに反映します。

  • Microsoft Outlook 2010 内から顧客に関する情報の更新または新しい営業連絡先の作成を行います。

  • SharePoint Server 内で外部コンテンツ タイプとして統合されている SAP 情報を Microsoft Outlook 2010 内で連絡先、仕事、予定表、および投稿として提示します。

SharePoint サイトでは、いくつかの代替案を使用して SAP アプリケーションからの情報を提示できます。

  • Duet Enterprise で提供される特別な Web パーツ群

  • 外部リスト (SAP アプリケーション内の SAP 情報に関連付けられているもの)

  • ドキュメント ライブラリ

システム アーキテクトは、これらのコンポーネントによって、ソリューションを設計したり、以下に示すサイト テンプレートを使用したり、これらの使いやすい機能の組み合わせを使用したりできます。

Duet Enterprise を展開すると、SharePoint 管理者は、以下に示す操作の任意の組み合わせを Duet Enterprise 対応の Web アプリケーションで実行できます。

  • 1 つ以上のレポート サイトの作成

  • 1 つ以上のワークフロー サイトの作成

  • Duet Enterprise サイトの作成

  • 任意の SharePoint サイトへの Duet Enterprise Web パーツの追加

  • SharePoint プロファイルへの SAP 人事データの取り込み

  • SAP データを SharePoint Server に提示する外部リストの作成

Duet Enterprise により、SharePoint 管理者は、SharePoint サイト内から SAP レポートを実行するためのレポート サイトを 1 つ以上作成できます。レポート サイトは、SharePoint サイト内から実行できるすべての SAP レポートの一覧を備えています。Duet Enterprise サイト群が持つレポート サイトは既定では 1 つですが、カスタマイズされたレポート サイトを必要なだけ作成できます。

Duet Enterprise によって、SharePoint 管理者は SAP ワークフローとやり取りするためのワークフロー サイトを 1 つ以上作成できます。ワークフロー サイトは SAP 環境で実行されている SAP ワークフローからワークフロー承認要求を受け取ることができ、ワークフロー要求は Microsoft Outlook に送信できます。ユーザーは、電子メール オブジェクトまたは SharePoint タスク フォルダーから要求を承認できます。Duet Enterprise で提供される承認オブジェクトは、ユーザーが意思決定をして承認プロセスを完了する際に役立つ豊富なコンテキスト情報を提供します。ワークフローの詳細については、後で説明します。

Duet Enterprise は、SharePoint Server 内に Duet Enterprise サイトを提供します。これは、サイト コレクション テンプレートを使用して作成されたサイトのグループです。これらのサイトには、リストやライブラリ、また SAP データを表示および管理するための特別な Web パーツが含まれます。SharePoint Server サイトを SharePoint Server 内で SAP 情報を表示および管理するための主要なエントリ ポイントとして使用したり、Duet Enterprise で提供される特別な Web パーツを他のサイトに追加して独自のソリューションを作成したり、またはこれらの方法を組み合わせたりできます。

Duet Enterprise では、SAP の個人データを SharePoint 個人用サイトのプロファイル ページに提示することで、SharePoint 個人用サイト Web サイトを拡張できます。

Duet Enterprise の拡張性

サイト テンプレートや用意された特別な Web パーツの他にも、Duet Enterprise を拡張する方法は数多くあります。以下に例を示します。

  • SAP NetWeaver ABAP 開発者は、新しいサービスの作成や既存のサービスの改良が行えるほか、SAP NetWeaver 上でカスタム ロジックを開発することもできます。

  • ビジネス パワー ユーザーは、コードを書かずに宣言型ソリューションを作成したり、外部リストやドキュメント ライブラリを作成したり、ビューやフォームを設計したりできます。

  • Microsoft .NET 開発者は、次のようなことを実行できます。

    • Microsoft SharePoint Designer 2010 を使用して作成されたソリューションを変更できます。

    • カスタム ユーザー エクスペリエンスを提供する新しい Duet Enterprise ソリューションを開発できます。

    • さまざまな方法でデータを統合してカスタム ユーザー エクスペリエンスを作成し、Web パーツなど、文書パーツを作成および編集して SAP 情報を SharePoint サイトに提示できます。

  • Microsoft Silverlight 開発者は、Duet Enterprise を利用して、SAP データが関与する SharePoint サイト内で独自のユーザー エクスペリエンスを作成できます。

SAP 情報のオフライン取得

インフォメーション ワーカーは、Outlook 2013 または Microsoft SharePoint Workspace 2010 を使用して SAP データをオフラインで取得できます。これらのアプリケーションでは、ネイティブの Outlook データ型である連絡先、仕事、予定表、および投稿に基づいた外部コンテンツ タイプを SharePoint 内に作成することによって、SAP データを Outlook で操作できます。また、外部リスト、SAP レポート、およびライブラリを外部データ列と共に SharePoint Workspace 2013 にダウンロードすることで、SAP 情報をオフラインで操作することもできます。

アーキテクチャ

Duet Enterprise には、2 つのアドオン コンポーネント群が用意されています。Duet Enterprise SharePoint アドオンは、Microsoft SharePoint Server 2010 Enterprise Edition を実行しているサーバーにインストールされます。Duet Enterprise SAP アドオンは、SAP NetWeaver 7.02 ABAP 上で実行されます。

このセクションの内容

  • Duet Enterprise をサポートするコンポーネント

  • Duet Enterprise で提供されるコンポーネント

  • 異種システムのサポート

Duet Enterprise をサポートするコンポーネント

次の図は、Duet Enterprise が構築された Microsoft SharePoint Server 2010 のコンポーネントを示しています。図中の SAP システム コンポーネントは、Duet Enterprise をサポートしています。

図 1 - Duet Enterprise をサポートするコンポーネント

Duet Enterprise をサポートするコンポーネント

以下では、(図 1 に示した) SharePoint システム上の主要なコンポーネントのうち Duet Enterprise で使用されるものと、(図 1 に示した) SAP 環境の主要なコンポーネントのうち Duet Enterprise をサポートするものを説明します。

  1. SharePoint ワークフロー機能は、SharePoint ユーザーと SAP ワークフローとのやり取りをサポートします。

  2. エンタープライズ コンテンツ マネージャー コンポーネントは、SAP レポートなど、ドキュメントのライフサイクル管理に使用されます。

  3. Duet Enterprise は、SharePoint の Security Token Service を使用して、SharePoint Server 2010 で提供されるクレーム ベース認証プロバイダーとのやり取りを行い、SAML トークンを使用してユーザーを認証します。

  4. Microsoft Business Connectivity Services は、Microsoft SharePoint Server と SAP 環境との通信用のコネクタを提供し、SAP 情報の関連付けと操作に使用されるその他の機能も提供します。

  5. SAP NetWeaver や SAP Business Information Warehouse 上で動作するレポート モジュールは、SAP データに関するレポート機能を提供します。

  6. SAP Workflow エンジンは、すべての SAP ワークフローを実行します。

  7. SAP Enterprise サービスは、SAP Business Suite とのやり取りや SAP の情報およびコンテンツの取得に使用されます。

  8. SAP の Shared Master Data ツールと Computing Center Management System ツールは、SAP システムや SAP Duet Enterprise コンポーネントの監視に使用されます。これらの SAP 支援ツールについては、後の「監視とトラブルシューティング」セクションを参照してください。

Duet Enterprise で提供されるコンポーネント

このセクションでは、Duet Enterprise によって提供されるコンポーネントについて説明します。

図 2 - Duet Enterprise をサポートするコンポーネントと Duet Enterprise と共にインストールされるコンポーネント

インストールおよびサポートされるコンポーネント

以下では、(図 2 に示した) Duet Enterprise SharePoint アドオンのコンポーネントについて説明します。

  1. Duet Enterprise サイト テンプレートは、事前に構成された Duet Enterprise エクスペリエンスへのエントリ ポイントを SharePoint ユーザーに提供します。Duet Enterprise サイトは、顧客、製品、見積もり、また顧客をはじめとするビジネス データに関する共同作業用のサイト群を含むサブサイトの初期セットで構成されます。これらのサイトは、SAP 環境内の対応するビジネス オブジェクトに関連付けられるように事前に構成されています。

  2. Duet Enterprise ワークフロー機能により、SharePoint ユーザーは SAP ワークフローに参加して、たとえば経費報告書の承認を実行できます。

  3. Duet Enterprise レポート機能を使用すると、SAP BW または SAP Enterprise Resource Planning で生成された SAP レポートの直接取得や表示が SharePoint Server で行えます。

  4. Business Connectivity Services Solution Designer 機能は、Duet Enterprise ソリューションのカスタマイズに使用されます。

  5. Duet Enterprise コラボレーション機能により、SharePoint ユーザーは SAP の情報やオブジェクトに関する共同作業を実行できます。この機能によって、グループ作業サイトを設定するための一連のテンプレートが提供されます。

  6. 監視および支援コンポーネントは、Microsoft コンポーネントと SAP コンポーネントの双方のトラブルシューティングをサポートします。

  7. Duet Enterprise のロールおよびプロファイル同期を使用すると、SAP ロールや SAP プロファイルを SharePoint Server 2010 で使用できます。

以下では、(図 2 に示した) Duet Enterprise SAP アドオン のコンポーネントについて説明します。

A.   Business Content には、事前にパッケージされた一連の SAP ビジネス オブジェクトが含まれています。

B.   Duet Enterprise Workflow を使用して、SharePoint ユーザーは SAP ワークフローに参加できます。

C.   Duet Enterprise Reporting を使用して、SharePoint ユーザーは SAP からレポートを取得できます。また、レポート カタログを構成し、それらを SharePoint Server のレポート サイトで使用できるようにすることもできます。

D.   Content Publisher は、コンテンツを SAP から SharePoint Server に転送するために使用されます。

E.   Object Instance Cache は、Duet Enterprise 固有のデータや情報をキャッシュするために使用されます。

F.   Routing Manager は、レポートに関する要求の SAP NetWeaver から対応 SAP システムへのルーティングを行います。

G.   Role Provider により、SharePoint Server 2010 は SharePoint Server 内のセキュリティ保護可能なオブジェクトに対するアクセス許可の付与に使用できる SAP ロールの一覧を取得できます。

SAP 環境では、Duet Enterprise SAP アドオンによって、SAP ビジネス アプリケーション (SAP Business Suite など) とエンドユーザー プラットフォーム (Microsoft Office クライアント アプリケーション、SharePoint サイトなど) の間の相互運用性を実現するための (上述の) サービスが提供されます。

Duet Enterprise では、クライアント コンピューターに既定で何もインストールしておく必要がありません。クライアント アプリケーションとのすべてのやり取りは、SharePoint Server 2010 によって管理されます。

異種システムのサポート

Duet Enterprise は、SAP システムの異種サポートに対応しています。Duet Enterprise がサポートする SAP システムの例の概要図を次に示します。

図 3 - 異種システムの例

異種システムの例

図 3 の説明を以下に示します。

  1. SharePoint ユーザーが SharePoint Server 2010 上で実行されているサイトにアクセスします。

  2. Duet Enterprise SharePoint アドオンと Duet Enterprise SAP アドオン、また Microsoft Business Connectivity Services によって、SharePoint Server 2010 と SAP NetWeaver 7.02 との通信が可能になります。SAP NetWeaver 上にインストールされている Duet Enterprise SAP アドオンは、Duet Enterprise SAP アドオン内のビジネス ロジックと共に、SharePoint Server 2010 システムと SAP システムの間のブローカーとして機能します。

  3. BW、ERP など、複数の SAP システムを 1 つの Duet Enterprise 環境に接続できます。Duet Enterprise は、高可用性 (HA)、負荷分散、およびスケーラビリティの標準的なメカニズムを SAP NetWeaver と SharePoint Server 2010 の双方でサポートします。

  4. Duet Enterprise は、さまざまなバージョンの SAP システムのほか、分散システムもサポートしています。そのため、SAP NetWeaver を複数の SAP システムに接続できます。たとえば、アメリカの人事システムは SAP ERP 6.0 上で実行し、ヨーロッパの人事システムは SAP ERP 2004 上で実行できます。システム マッピングを使用すると、アメリカのユーザーをアメリカのシステムに、ヨーロッパのユーザーを EMEA システムにリンクできます。

使いやすい機能

このセクションでは、Duet Enterprise で提供される使いやすい機能について説明します。これらの機能により、SharePoint ユーザーは次のような操作を実行できます。

  • SharePoint サイト内での SAP レポートの実行

  • SharePoint サイトおよび Outlook 2013 内からの SAP ワークフローとのやり取り

  • SharePoint サイト内での SAP 情報に関する共同作業と操作

  • SharePoint プロファイル内の人事情報へのアクセス

SharePoint Server での SAP レポート

Duet Enterprise によって、従業員は SAP レポートを (SAP ERP または SAP Business Intelligence から) SharePoint ドキュメント ライブラリ内に取得できます。インフォメーション ワーカーは、SAP レポートを SharePoint サイト内から実行できます。Duet Enterprise レポートは、SharePoint 機能として実装され、サイト コレクションおよびサイトのレベルで有効にできます。この機能を特定のサイト コレクションで有効にした後は、サイトの所有者が、サイトでのレポートの一覧の作成を目的として、この機能をサイト コレクション内の任意のサイトで有効にできます。これらのレポートは、既定では Duet Enterprise サイトに提示されます。そうしたレポートは SAP 環境で管理されているレポート カタログに基づくものですが、SharePoint ユーザーはレポート設定を修正してレポートのパラメーターを変更または追加できます。

SAP レポートは、スケジュール設定やオンデマンドでの実行ができます。レポートは、サポートされている任意のファイル形式で表示できます。ユーザーはレポートの履歴サマリーを表示したり、レポートを他の SharePoint ユーザーと共有したりできます。レポートが共有されると、ユーザーはレポートを購読してレポート実行時に通知を受け取れます。レポートを実行する際に、SharePoint ユーザーはそのレポートを個別のレポートにするか共有するかを指定できます。共有されたレポートは、SAP システムによって一度配信されると複数のユーザーが閲覧できます。個別のレポートは、そのレポートを要求したユーザーだけが閲覧できます。注意: レポートを購読して表示するためには、SAP 環境内に適切なレベルのアクセス許可が必要です。

他の SharePoint リストと同様、レポート リストはフィルター処理や並べ替えができます。たとえば、カテゴリ列によってフィルター処理を行うと、売上報告書など、特定のカテゴリのレポートのみを表示できます。

レポート機能の拡張性

顧客は、次の方法によって Duet Enterprise でのレポートをカスタマイズできます。

  • 関連レポート Web パーツを各種 SharePoint サイトに追加します。たとえば、"従業員コンプライアンス レポート" を "承認待ち" ワークフローの作業アイテムに追加すると、承認待ちワークフローの承認者は従業員コンプライアンス レポートを承認待ちワークフローのワークフロー タスク フォーム内で実行できます。別の例として、顧客サービス マネージャーが顧客の返品要求を承認または拒否し、関連レポート Web パーツを使用してそのレポートに関する追加のスレッドまたは共同作業を生成する場合が挙げられます。

  • Duet Enterprise レポート カタログによる新しいレポートをレポート センターで有効にします。たとえば、"在庫概要" のレポートを Duet Enterprise レポート サイト内の "部品レポート リスト" に追加できます。

  • 新しい SAP システム レポートを SharePoint Server で有効にします。たとえば、"販売領域での標準見積もり情報" という新しいビジネス ウェアハウス (BW) レポートを顧客の見積もりワークスペースの一部として追加できます。

  • 新しい SAP システム レポートに基づいた 1 つ以上の専用レポート サイトを SharePoint Server に作成します。たとえば、プロジェクト管理、品質管理、収益性分析など、さまざまな観点によるレポートの一覧を収集する "製品ライフ サイクル管理レポート" サイトを作成できます。

Duet Enterprise でのワークフロー

SAP ワークフローは SAP システム上で実行されますが、Duet Enterprise では、ユーザーによる対話的操作を必要とするタスクを SharePoint サイト上または Outlook 2013 内で完了できるように、SharePoint Server を介して SAP ワークフローの承認手順を提示できます。SharePoint ワークフローとしてインポートされた SAP ワークフロー手順は、SharePoint Server 2010 のワークフロー機能を使用してカスタマイズできます。

SAP 管理者は、SAP Workflow Builder を使用して SharePoint Server に提示される既存のワークフロー承認手順を決定したり、SAP ワークフローで利用できるフィールドのうちどれを SharePoint Server 2010 に表示するかを決定するためのマッピングを作成したりできます。こうした作業を特定の SAP ワークフローについて行うと、その SAP ワークフローで SharePoint ユーザーとのやり取りが必要になったときにトリガーされる SharePoint ワークフローを SharePoint Server 内で宣言的に構成できます。

SAP ワークフローでは、SharePoint ワークフローを開始し、その完了を待って次の手順を実行できます。ユーザーのアクションは、直ちに SAP と同期されます。これにより、ワークフロー プロセスを SAP および SharePoint アプリケーション間で密接に統合できます。

ワークフローとのやり取りを行う際、SharePoint ユーザー (この場合はワークフローの承認者) は、意思決定に役立つ関連レポートや関連リンクを使用できます。たとえば、承認者は、顧客に対する値引きを承認する前に、レポートを実行してこの顧客に対する製品の平均売上数を確認したり、組織の値引きポリシーを参照したりできます。また、SharePoint ユーザーは、テンプレートを使用して、作業アイテムに関する共同作業ができる関連グループ作業サイトを作成することもできます。

Duet Enterprise で提供されるワークフローだけでなく、SAP Workflow Builder を使用してカスタムの SAP ワークフローを作成したり、Microsoft SharePoint Designer 2010 を使用して SharePoint 環境で実行するタスクをカスタマイズしたりできます。

テンプレートとその他の文書パーツ

Duet Enterprise には、SAP データ オブジェクトへのアクセスに使用できる、テンプレートをはじめとする文書パーツが用意されています。サイト コレクションの管理者は、既に説明したように 1 つ以上のワークフローおよびレポート サイトを作成できるほか、用意されているサイト コレクション テンプレートを使用して Duet Enterprise サイトを SharePoint Server 内に作成できます。このサイト コレクション テンプレートには、SAP データの表示および管理用に設計された、サイト、リスト、ライブラリ、およびその他の種類の Web パーツの階層が含まれています。

SharePoint ユーザーは、これらのサイトを SAP 情報が関与する共同作業のような活動で使用して、人事情報を調べたり、顧客情報を管理したりできます。

SharePoint ファーム管理者は、Duet Enterprise で提供されるサイト コレクション テンプレートを使用して、サイト コレクションを必要なだけ作成できます。ソリューション アーキテクトは、Duet Enterprise サイトを組織のソリューション作成の出発点として使用するか、Duet Enterprise サイトで提供される Web パーツなどのコンポーネントを使用して独自のソリューションを作成するか、またはこれらの戦略の組み合わせを実行できます。

監視とトラブルシューティング

SAP と SharePoint Server の両方を実行しているサーバー上にあるコンポーネントをエンドツーエンドで監視することは、Duet Enterprise を問題なく運用するうえで非常に重要です。こうした監視は、次の図に示すように、SAP 標準ツールと Microsoft 標準ツールの両方を使用して行われます。

図 4 - SharePoint および SAP 環境の監視に使用される標準ツール

SharePoint および SAP を監視する標準ツール

SAP 管理者は、SAP Computing Center Management System (CCMS) を使用して、SAP と SharePoint Server の両方を実行しているサーバー上の重要なコンポーネントを監視できます。CCMS は障害が発生した Duet Enterprise コンポーネントに関する電子メール通知または SMS 通知の機能を管理者に提供し、管理者は監視用のレポートをスケジュールできます。CCMS 内のサービス利用階層ノードまでドリルダウンすることで、SAP 管理者は、障害の内容と修正方法を厳密に確認できます。また、SAP 管理者は、システム パフォーマンスを監視したり (次の図を参照)、システム構成の変更内容を SAP Solution Manager Diagnostics (SMD) に表示したりできます。

図 5 - システム パフォーマンスの監視

システム パフォーマンスを監視する

SharePoint 管理者は、Microsoft System Center Operations Manager 2010 (SCOM) を使用してクライアント コンピューターや SharePoint Server を実行しているサーバーを監視できます。また、正常性ルールの管理や実行、Microsoft Operations Monitor (MoM) による通知の詳細な結果の表示もできます。Duet Enterprise では Microsoft Business Connectivity Services コネクタが使用されるため、SCOM 内の Microsoft Business Connectivity Services ノードを使用して Duet Enterprise を監視できます。SCOM の詳細については、Microsoft System Center Operations Manager (https://go.microsoft.com/fwlink/?linkid=187743&clcid=0x411) のサイトを参照してください。

Duet Enterprise には、Duet Enterprise の正常性にとって重要なコンポーネントのトラブルシューティングを管理者が行う際に役立つツールも用意されています。たとえば、SAP 管理者は次のような作業を実行できます。

  • SAP のエラーや機能の異常に対するトラブルシューティングを ABAP 環境内から行います。

  • ログ メッセージを閲覧し、失敗した手順を厳密に特定して、問題の修正方法を判断します。

  • エンドツーエンドの追跡を実行し、追跡結果を SAP SMD で確認します。

SharePoint 管理者は、一意の ID を使用して特定の問題を SharePoint トレース ログで追跡したり、MMC コンソールを使用して展開の問題のトラブルシューティングを行ったり、クライアント コンピューター上でエラーをリモート表示したりできます。また、サーバーの全体管理 Web サイトの正常性ステータスのページを使用して、コンポーネントの正常性を表示することもできます。

セキュリティ

SharePoint ユーザー アカウントは、SAP 内の情報への直接アクセスには使用できません。Microsoft プラットフォームと SAP プラットフォームの両方にわたって認証と承認の機能を提供するために、SAP 管理者は Duet Enterprise を使用して SharePoint Server ユーザーの Windows ドメイン アカウントを SAP ユーザー アカウントにマップできます。Duet Enterprise では、SAP ロールも使用できます。SAP ロールは、SAP 管理者によって SAP 環境内の SAP ユーザーにマップされます。

SharePoint ユーザーと SAP ユーザーとのマッピングによって、SAP アプリケーションは、特定の SharePoint ユーザーにマップされた SAP アカウントを検索することで SharePoint ユーザーを認証できます。Duet Enterprise では、SAP ロールをクレーム ベースのセキュリティ プリンシパルとして SharePoint Server 内で使用することもできます。これにより、SharePoint ユーザーおよび管理者は、サイト、リスト、アイテムなど、SharePoint のセキュリティ保護可能なオブジェクトに対するアクセス権を SAP ロールを使用して付与し、これらのセキュリティ保護可能なオブジェクトを保護できます。SAP ロールの定義と SAP ユーザーへの SAP ロールの割り当ては、SAP 環境で管理されます。SAP ロールを使用して SharePoint オブジェクトをセキュリティ保護できるので、同様のロールを SharePoint Server で定義し直すという管理オーバーヘッドが削減されます。

SharePoint ユーザーが SAP ユーザーにマップされると、SharePoint ファーム管理者は、SAP のユーザー プロファイル プロパティを SharePoint のユーザー プロファイル ストアと同期できます。Duet Enterprise では、SharePoint ファーム管理者がこうした同期処理に使用できるカスタムの Business Data Connectivity Service 接続が有効になっています。同期処理によって、SharePoint ユーザー プロファイル ストア内にカスタム プロパティが設定されます。このカスタム プロパティには、SAP 環境で SAP ユーザーにマップされている各 SharePoint ユーザーに対する SAP ロールの一覧が含まれています。こうした同期では、SharePoint ユーザー プロファイル ストアの要素が SAP 環境にコピーされることはありません。プロファイルの同期はパフォーマンスとリソースの点でコストがかかり、通常はロールの割り当てが頻繁に変更されることはないので、必要なときにのみ SharePoint ファーム管理者がこれらのプロファイルを同期し直すことをお勧めします。

SharePoint ユーザーから SAP ユーザーへのマッピングとユーザー プロファイルの同期の機能により、SharePoint 環境および SAP 環境間での通信がセキュリティで保護され、シングル サインオンや既存の SAP 承認設定への対応と準拠が実現されるという利点が得られます。

注意

Duet Enterprise は、ユーザーおよび管理者が SharePoint のセキュリティ保護可能なオブジェクトへのアクセス権を SAP ロールに基づいて付与できる機能を提供します。この機能を利用できるようにするには、SharePoint ファーム管理者が Duet Enterprise クレーム プロバイダー機能のアクティブ化をこのクレーム プロバイダーの利用を可能にするファームレベルで行い、SAP アプリケーションのユーザー プロパティを SharePoint ユーザー プロファイル ストアと同期する必要があります。

以下の図と番号付きリストでは、Duet Enterprise のロールおよびプロファイルの同期機能のデータ フローとコンポーネントの概要を説明します。この機能により、SharePoint 管理者は SAP ロールを使用して SharePoint のセキュリティ保護可能なオブジェクトを保護できます。

図 6 - SharePoint での SAP ロールを使用したオブジェクトのセキュリティ保護

SAP ロールを使用した SharePoint のオブジェクトのセキュリティ保護

SharePoint Server で SAP ロールをセキュリティ保護可能なオブジェクトに追加するプロセスの説明を以下に示します (図 6 を参照)。

  1. SharePoint ユーザーまたは管理者が SharePoint のセキュリティ保護可能なオブジェクト (サイト、リスト、アイテムなど) に SAP ロールを割り当てるためにユーザー選択ウィンドウを開きます。

  2. ユーザー選択ウィンドウは Duet Enterprise クレーム プロバイダーを使用して、SharePoint Server での使用が許可されている SAP ロールの一覧にアクセスします。Duet Enterprise クレーム プロバイダーは SAP ロールの定義を SAP アプリケーションに要求します。

  3. SAP ロールの定義が SAP アプリケーションによって Duet Enterprise クレーム プロバイダーに送信され、ユーザー選択ウィンドウに表示されます。

  4. SharePoint 管理者は、使用する SAP ロールをユーザー選択ウィンドウで選択し、保護するセキュリティ保護可能な SharePoint オブジェクトに対する適切なアクセス許可をその SAP ロールに付与します。

以下の図と番号付きリストでは、ユーザー承認プロセスの概要を説明します。

図 7 - ユーザー承認プロセス

ユーザー認証プロセス

SAP ロールを使用して保護されている SharePoint Server 内のセキュリティ保護可能なオブジェクトへのアクセスを要求しているユーザーの承認プロセスの説明を以下に示します。

  1. SharePoint ファーム管理者が SAP のユーザー プロファイルと SharePoint ユーザー プロファイル ストアとの同期を Business Data Connectivity Service コネクタを介して実行します。この同期処理によって、SAP のユーザー アカウントとそれらがマップされている SAP ロールが SharePoint ユーザー プロファイル ストアに保存されます。

  2. SharePoint ユーザーまたは管理者が SharePoint サイトにログオンし、SAP ロールを使用してセキュリティ保護されているサイト、リスト、またはアイテムへのアクセスを試みます。

    注意

    ユーザー ログオン時のトークン発行処理で、SharePoint ユーザーの SAML セキュリティ トークンがユーザー プロファイル ストアの SAP ロールによって強化されます。このトークンは、SAP ロールを使用してセキュリティ保護されているアイテムへのユーザー アクセスを承認するために、後で SharePoint Server によって参照されます。

  3. SharePoint Server は Duet Enterprise クレーム プロバイダーを使用して、SharePoint ユーザーまたは管理者が割り当てられている SAP ロールを確認します。次に、SharePoint Server はセキュリティ保護可能なオブジェクトに対する SharePoint ユーザーのアクセスを、そのユーザーに割り当てられているロールと、SAP ロールに付与されているそのセキュリティ保護可能なオブジェクトに対する アクセス許可に基づいて、許可または拒否します。

SharePoint ユーザーが SharePoint サイトから SAP レポートを実行すると、そのレポートを含むファイルが SharePoint ドキュメント ライブラリに配信され、1 つ以上の SAP ロールを使用してセキュリティ保護されます。このファイルのセキュリティ保護にはレポートを実行した SharePoint ユーザーのユーザー アカウントではなく SAP ロールが使用されるため、SharePoint Server はそのレポートを閲覧する SharePoint ユーザーの SAP ロールをユーザー プロファイル ストアで検索する必要があります。

注意: SharePoint のセキュリティ保護可能なオブジェクトに割り当てることができる SAP ロールは、SAP 管理者が指定します。

Duet Enterprise での認証のしくみ

Duet Enterprise は複数の認証方法をサポートしていますが、SAP ロールを使用して SharePoint Server 内のオブジェクトをセキュリティ保護するのはクレーム ベース認証のみです。そのため、Duet Enterprise 対応の Web アプリケーションではクレーム ベース認証が推奨されます。

次の図は、Duet Enterprise 環境での認証のしくみの概要を示しています。

図 8 - Duet Enterprise 認証

Duet Enterprise 認証

以下では、図 8 の手順を説明します。この図では、SharePoint ユーザーが SharePoint Server に提示されている SAP 情報へのアクセスを試みる場合を想定しています。

  1. SharePoint ユーザーの ID が Microsoft Business Connectivity Services Windows Communication Foundation コネクタに送信されます。

  2. コネクタによって SharePoint ユーザーの ID が SharePoint Security Token Service に送信されます。

  3. SharePoint Security Token Service は SharePoint ユーザーを識別するトークンを返します。

  4. その後、トークンは SOAP 要求パケットの形で SAP NetWeaver に送信されます。

  5. 展開時に、SAP NetWeaver と Security Token Service との間に信頼関係が作成されます。これにより、SAP NetWeaver はこのトークンを使用して、トークンで識別される SharePoint ユーザーにマップされた SAP ユーザーを検索できます。

  6. SharePoint ユーザーにマップされた SAP ユーザー アカウントが SAP NetWeaver に返されます。

  7. SAP NetWeaver はこの SAP ユーザー アカウントを使用して SAP システム内の情報へのアクセスを要求し、ユーザーがその情報へのアクセスを許可された場合は、要求された情報が SAP NetWeaver に送信されます。

  8. SAP NetWeaver は要求された情報を SOAP 応答の形で Microsoft Business Connectivity Services WCF コネクタに送信します。

  9. Microsoft Business Connectivity Services コネクタによって SharePoint ユーザーに情報が渡されます。

    SharePoint の Security Token Service の詳細については、「Security Token Service を構成する (SharePoint Server 2010)」(https://go.microsoft.com/fwlink/?linkid=182064&clcid=0x411) を参照してください。