はじめに
前回の記事で、IASテナントが複数あるとJoule導入の前処理が発生する、という話をしました。
そもそもIASとは何か、IPSと何が違うのか。Jouleの設定手順を見ていると、IAS・IPS・テナント・Global User IDといった用語が次々と出てきます。それぞれの役割を理解しておかないと、手順書のどこで何をしているのかが分かりにくくなります。
この記事では、Jouleの認証に関わる用語と、それぞれの関係を整理します。
認証関連の用語
認証周りで登場する主な用語は次の4つです。
IAS(Identity Authentication Service)
ユーザーの認証(ログイン確認)を担当するサービス
IPS(Identity Provisioning Service)
ユーザーと権限の同期を管理するサービス
IASテナント
IASの契約・利用環境の単位
Global User ID
IASテナント内でユーザーを一意に識別するID
IASとIPSはどちらも「SAP Cloud Identity Services」というサービス群に含まれています。セットで使われますが、役割は異なります。
IAS:ユーザー認証を担当するサービス
IAS(Identity Authentication Service)は、ユーザーが各SAP製品にログインする際の認証を担当します。
ユーザーがS/4HANAやSuccessFactorsにアクセスすると、IASの画面にリダイレクトされ、ID・パスワードによる認証が行われます。認証が通ると各製品へのアクセスが許可されます。
企業によっては、社内のActive DirectoryやAzure ADと連携させ、社員IDでSAP製品群にシングルサインオン(SSO)できる構成にしているケースもあります。この場合、IASはActive Directoryとの連携窓口として機能します。
JouleにおけるIASの役割
JouleはBTP上のアプリケーションで、ユーザーがJouleを利用する際もIASによる認証が行われます。
前回の記事で触れた「全製品で同じIASテナントを使う」という条件はここに関係します。Jouleは複数のSAP製品をまたいで動作するため、製品ごとに異なるIASテナントを使っていると、Jouleがユーザーを統一して認識できなくなります。
IPS:ユーザーと権限の同期を担当するサービス
IPS(Identity Provisioning Service)は、ユーザー情報と権限(ロール)を各システムに自動で配布・同期するサービスです。
「誰がどのシステムに、どの権限でアクセスできるか」を管理します。権限変更があった場合、一箇所の変更で複数システムに反映される仕組みを構築するために使われます。
IPSの動作の仕組み
IPSは「ソースシステム」と「ターゲットシステム」という概念で動作します。
ソースシステム(情報の元)
SuccessFactors、Active Directoryなど
ここのユーザー情報・権限情報が正となる
ターゲットシステム(同期先)
Build Work Zone、IASなど
ソースの情報をもとに自動でユーザーと権限が作成・更新される
たとえばSuccessFactorsをソースにした場合、SuccessFactors上の社員情報とロールが自動的にBuild Work Zoneに反映されます。Build Work Zone側のユーザー管理を手動で行う必要がなくなります。
JouleにおけるIPSの役割
公式ドキュメントには以下の記述があります。
"Navigation service of SAP Build Work Zone uses Identity Provisioning
service (IPS) that is used to provision identities and their
authorizations between source and target systems."
Jouleのナビゲーション機能はBuild Work Zoneを経由して動作します。Build Work Zoneは、IPSから同期された権限情報をもとに、ユーザーがどの権限を持っているかを判断します。
IPSの設定に問題があると、Jouleが利用できない、または利用できるはずのアプリが表示されないといった問題が発生します。
Global User ID:製品間でユーザーを識別するID
Global User IDは、IASテナント内でユーザーを一意に識別するIDです。
S/4HANAのユーザーID(例:TANAKA)とSuccessFactorsのユーザーID(例:tanaka@example.com)は、製品ごとに形式が異なることがあります。Global User IDは、この異なるIDを束ねて、Jouleに「同一人物」と認識させるための共通IDです。
全製品で同一のGlobal User IDが必要な理由
JouleはSuccessFactors上のユーザーとS/4HANA上のユーザーを同一人物として認識する必要があります。Global User IDが一致していないと、製品をまたいだ操作や情報照会ができません。
IASの管理コンソールで、各ユーザーにGlobal User IDが正しく設定されていること、かつ全製品で同一であることが必要です。Jouleのユーザー属性設定では、Global User IDを含む以下の属性をIASに登録します。
設定が必要なユーザー属性
- email : メールアドレス
- Email_verified : メール認証済みフラグ
- family_name : 姓
- given_name : 名
- groups : グループ・ロール情報
- user_uuid : Global User ID
全体の処理フロー
IAS・IPS・Global User IDの関係を処理の流れで整理すると、以下のようになります。
1. ユーザーがJouleにアクセスする
2. IASがユーザーを認証する
3. Global User IDにより、S/4HANA上のユーザーとSuccessFactors上の
ユーザーが同一人物であることを判定する
4. IPSが同期した権限情報をもとに、利用可能なアプリを決定する
5. Jouleが対応するアプリへの案内・操作を実行する
このフローのいずれかで設定に問題があると、Jouleが正しく動作しません。画面が表示されない、ナビゲーションボタンが表示されないといった問題の多くは、認証周りの設定に起因します。トラブルシューティングは別の記事で扱います。
確認しておきたいこと
1. IASテナントが全製品で統一されているか
IASの管理コンソールにログインし、テナントが1つだけかを確認する
複数ある場合はテナント統合の検討が必要
2. 各ユーザーにGlobal User IDが設定されているか
IASの管理コンソールでユーザーを開き、user_uuid属性の有無を確認する
なければIPSの設定またはユーザー属性の手動設定が必要
まとめ
- IASは認証、IPSはユーザー・権限の同期を担当し、役割が異なる
- IPSはソースシステムとターゲットシステムの概念で動作する
- Global User IDは製品間でユーザーを同一人物として認識するための共通ID
- 認証フローのどこかに問題があると、Jouleが正しく動作しない
次回は、BTP環境の整備状況によって変わるJouleオンボーディングのスタートラインについて解説します。
用語解説
SAP Cloud Identity Services
IASとIPSを含むSAPのサービス群の総称。ユーザーの認証(IAS)と権限同期(IPS)を担う。
シングルサインオン(SSO)
一度のログインで複数のシステムにアクセスできる仕組み。
Identity Directory
IASテナント内のユーザー情報を管理するデータベース。Global User IDを含むユーザー属性はここに保存される。
ソースシステム(Source System)
IPSにおける、ユーザー情報の元となるシステム。SuccessFactorsやActive Directoryが該当する。
ターゲットシステム(Target System)
IPSにおける、ユーザー情報の同期先となるシステム。Build Work ZoneやIASが該当する。
user_uuid
IASにおけるGlobal User IDの属性名。