# OAuthビジネステクノロジープラットフォーム(BTP)認証
Workatoは、OAuth2SAMLBearerAssertionを使用したSAP BTPのDestination Authentication Methodを通じて、OAuth 2.0(Open Authorization 2.0)をサポートしています。OAuth 2.0 SAMLベアラーアサーションは、OAuth 2.0でセキュリティアサーションマークアップ言語(SAML)のアサーションを認可グラントとして使用する方法です。このフローにより、SAMLによる認証に依存するシステムが、OAuthで保護されたリソースへのアクセスのためにOAuth 2.0を活用し、両方のプロトコルの強みを組み合わせることができます。この認証はSAP S/4HANA Cloud, Public Editionに適用されます。
# OAuth BTPの構成前提条件
- ビジネスユーザーに割り当てられたカタログ
SAP_CORE_BC_EXT
およびSAP_CORE_BC_COM
を持つSAP S/4HANA Cloudへのアクセス。 - SAPビジネステクノロジープラットフォームへのアクセス。
- SAPクラウドアイデンティティサービスなどのSAPクラウドアイデンティティプロバイダーへの管理者アクセス。
# 信頼とフェデレーションの確立
SAP Authorization and Trust Management ServiceとIdentity Authenticationの間で手動で信頼とフェデレーションを確立 (opens new window)し、以下を行います:
- サブアカウントでのSAML 2.0アイデンティティプロバイダーとの信頼の確立:SAML 2.0アイデンティティプロバイダー、例えばSAPクラウドアイデンティティサービス - アイデンティティ認証を使用する必要があります。アイデンティティプロバイダーはSAP BTPのビジネスユーザーを認証します。
- SAML 2.0アイデンティティプロバイダーへのSAP BTPサブアカウントの登録:アイデンティティプロバイダーとサブアカウント間で信頼を確立するには、SAMLメタデータを提供してサブアカウントをアイデンティティプロバイダーに登録する必要があります。アイデンティティプロバイダーはSAPクラウドアイデンティティサービス - アイデンティティ認証です。
# SAP BTPからの署名証明書の作成
SAP S/4HANA Cloudに送信されるSAMLアサーションは、ローカルサービスプロバイダーの秘密鍵を使用して署名されます。SAP S/4HANA Cloudがこの署名を検証できるように、関連する証明書が必要です。
SAP BTP Cockpitにログインします。
Destinationsに移動し、Connectivityの下でDownload Trustをクリックして、SAP BTPアカウントから署名証明書を作成します。
# SAP S/4HANA Cloudシステムでの実装手順
SAP S/4HANAテナントへのインバウンド通信を許可する (opens new window)ための手順を完了し、以下を行います:
- コミュニケーションシステムおよびユーザーの作成。
- コミュニケーションアレンジメントの作成。
- SAP S/4HANA Cloudシステムでのビジネスユーザーの維持。
# SAPビジネステクノロジープラットフォームでの実装手順
SAP BTPでの宛先の作成と構成 (opens new window)の手順を完了します。
次のサンプル表に示すように、プロパティの値を設定します:
Property | Value |
---|---|
Name | 一意の名前識別子を指定します。例:OAuth2Destination 。 |
Type | HTTP |
Description | 目的を説明するための説明を入力します。 |
URL | サービスURLを指定します。例:https://www.myS4HanaSystem.com/sap/opu/odata/sap/API_PURCHASEORDER_PROCESS_SRV 。 |
Proxy Type | Internet |
Authentication | OAuth2SAMLBearerAssertion |
Audience | SAP S/4HANA CloudシステムへのベースURLを指定します。例:https://myXXXXXX.s4hana.ondemand.com 。 |
AuthnContextClassRef | urn:oasis:names:tc:SAML:2.0:ac:classes:X509 |
Client Key | コミュニケーションユーザー名を入力します。 |
Token Service URL Type | Dedicated |
Token Service URL | トークンURLを指定します。例:https://www.myS4HanaSystem.com/sap/bc/sec/oauth2/token 。 |
Token Service User | コミュニケーションユーザー名を入力します。 |
Token Service Password | コミュニケーションユーザーパスワードを入力します。 |
Additional properties | Value |
---|---|
nameIdFormat | urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress |
scope | スコープIDを指定します。例:API_PURCHASEORDER_PROCESS_SRV_0001 。 |
SystemUser | ビジネスユーザーのメールID。 |
CLIENT KEY, TOKEN SERVICE USER, AND TOKEN SERVICE URL VALUES
Navigate to the Communication Arrangements application and search for the arrangement that you created. Go to Inbound Communication and choose OAuth2.0 Details. The value of the Client Key and Token Service User are the same as the User Name. You can also obtain the Token Service URL from this interface.
Servicesの下のInstances and Subscriptionsに移動し、Createをクリックしてサービスインスタンスを作成します。
ServiceでDestination Serviceを選択し、Planでlite、Runtime EnvironmentでOther、Instance Nameで説明名を入力します。
インスタンスが作成されたら、それをクリックしてService Bindingの作成に進みます。
Createをクリックし、説明的なBinding Nameを入力します。
Service Bindingを作成したら、ViewまたはDownloadをクリックしてサービスクレデンシャルを取得します。
# 接続フィールド
ODATA VERSIONS
We recommend to create dedicated connections for V2 and V4 APIs.
Workatoで接続を確立するために、以下のフィールドを完了します。
フィールド | 説明 |
---|---|
Connection name | 接続を他のレシピで再利用できるよう、わかりやすい名前を指定します。 |
Connection type | Cloud を選択します。 |
Authentication type | OAuth BTP を選択します。 |
OData version | この接続で使用されるAPIのODataバージョンを選択します - v2 またはv4 。 |
Client ID | SAP BTPからダウンロードしたサービスバインディングのclientid パラメータの値を入力します。 |
Client Secret | SAP BTPからダウンロードしたサービスバインディングのclientsecret パラメータの値を入力します。 |
Authentication URL | 認証URLを指定します。これはサービスバインディングのurl パラメータの値です。例:https://s-4hana-cloud.authentication.eu10.hana.ondemand.com 。 |
Destination URL | 宛先サービスのURLを指定します。これはサービスバインディングのuri パラメータの値です。例:https://destination-configuration.cfapps.eu10.hana.ondemand.com 。 |
Destination Name | Connectivity > Destinationsの下でSAP BTP cockpitに定義された宛先の一意の名前識別子を指定します。 |
Host | SAPアプリケーションサーバーのホスト名を指定します。例:https://www.myS4HanaSystem.com/sap/opu/odata/sap/API_PURCHASEORDER_PROCESS_SRV がサービスURLの場合、ホストはhttps://www.myS4HanaSystem.com/sap/opu/odata/sap/ です。 |
Service | SAPシステムで構成されたサービスを指定します。例:https://www.myS4HanaSystem.com/sap/opu/odata/sap/API_PURCHASEORDER_PROCESS_SRV の場合、サービスはAPI_PURCHASEORDER_PROCESS_SRV です。 |
SAP client | 空白のままにします。 |
Last updated: 2025/3/13 9:42:40