# OAuthビジネステクノロジープラットフォーム(BTP)認証

Workatoは、OAuth2SAMLBearerAssertionを使用したSAP BTPのDestination Authentication Methodを通じて、OAuth 2.0(Open Authorization 2.0)をサポートしています。OAuth 2.0 SAMLベアラーアサーションは、OAuth 2.0でセキュリティアサーションマークアップ言語(SAML)のアサーションを認可グラントとして使用する方法です。このフローにより、SAMLによる認証に依存するシステムが、OAuthで保護されたリソースへのアクセスのためにOAuth 2.0を活用し、両方のプロトコルの強みを組み合わせることができます。この認証はSAP S/4HANA Cloud, Public Editionに適用されます。

# OAuth BTPの構成前提条件

  • ビジネスユーザーに割り当てられたカタログSAP_CORE_BC_EXTおよびSAP_CORE_BC_COMを持つSAP S/4HANA Cloudへのアクセス。
  • SAPビジネステクノロジープラットフォームへのアクセス。
  • SAPクラウドアイデンティティサービスなどのSAPクラウドアイデンティティプロバイダーへの管理者アクセス。

# 信頼とフェデレーションの確立

SAP Authorization and Trust Management ServiceとIdentity Authenticationの間で手動で信頼とフェデレーションを確立 (opens new window)し、以下を行います:

  • サブアカウントでのSAML 2.0アイデンティティプロバイダーとの信頼の確立:SAML 2.0アイデンティティプロバイダー、例えばSAPクラウドアイデンティティサービス - アイデンティティ認証を使用する必要があります。アイデンティティプロバイダーはSAP BTPのビジネスユーザーを認証します。
  • SAML 2.0アイデンティティプロバイダーへのSAP BTPサブアカウントの登録:アイデンティティプロバイダーとサブアカウント間で信頼を確立するには、SAMLメタデータを提供してサブアカウントをアイデンティティプロバイダーに登録する必要があります。アイデンティティプロバイダーはSAPクラウドアイデンティティサービス - アイデンティティ認証です。

# SAP BTPからの署名証明書の作成

SAP S/4HANA Cloudに送信されるSAMLアサーションは、ローカルサービスプロバイダーの秘密鍵を使用して署名されます。SAP S/4HANA Cloudがこの署名を検証できるように、関連する証明書が必要です。

1

SAP BTP Cockpitにログインします。

2

Destinationsに移動し、Connectivityの下でDownload Trustをクリックして、SAP BTPアカウントから署名証明書を作成します。 OAuth BTP Trust

# SAP S/4HANA Cloudシステムでの実装手順

SAP S/4HANAテナントへのインバウンド通信を許可する (opens new window)ための手順を完了し、以下を行います:

  1. コミュニケーションシステムおよびユーザーの作成。
  2. コミュニケーションアレンジメントの作成。
  3. SAP S/4HANA Cloudシステムでのビジネスユーザーの維持。

# SAPビジネステクノロジープラットフォームでの実装手順

1

SAP BTPでの宛先の作成と構成 (opens new window)の手順を完了します。

次のサンプル表に示すように、プロパティの値を設定します:

Property Value
Name 一意の名前識別子を指定します。例:OAuth2Destination
Type HTTP
Description 目的を説明するための説明を入力します。
URL サービスURLを指定します。例:https://www.myS4HanaSystem.com/sap/opu/odata/sap/API_PURCHASEORDER_PROCESS_SRV
Proxy Type Internet
Authentication OAuth2SAMLBearerAssertion
Audience SAP S/4HANA CloudシステムへのベースURLを指定します。例:https://myXXXXXX.s4hana.ondemand.com
AuthnContextClassRef urn:oasis:names:tc:SAML:2.0:ac:classes:X509
Client Key コミュニケーションユーザー名を入力します。
Token Service URL Type Dedicated
Token Service URL トークンURLを指定します。例:https://www.myS4HanaSystem.com/sap/bc/sec/oauth2/token
Token Service User コミュニケーションユーザー名を入力します。
Token Service Password コミュニケーションユーザーパスワードを入力します。
Additional properties Value
nameIdFormat urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
scope スコープIDを指定します。例:API_PURCHASEORDER_PROCESS_SRV_0001
SystemUser ビジネスユーザーのメールID。

CLIENT KEY, TOKEN SERVICE USER, AND TOKEN SERVICE URL VALUES

Navigate to the Communication Arrangements application and search for the arrangement that you created. Go to Inbound Communication and choose OAuth2.0 Details. The value of the Client Key and Token Service User are the same as the User Name. You can also obtain the Token Service URL from this interface. OAuth BTP Token

2

Servicesの下のInstances and Subscriptionsに移動し、Createをクリックしてサービスインスタンスを作成します。 OAuth Service Instance

3

ServiceでDestination Serviceを選択し、Planでlite、Runtime EnvironmentでOther、Instance Nameで説明名を入力します。 OAuth Service Instance creation

4

インスタンスが作成されたら、それをクリックしてService Bindingの作成に進みます。

5

Createをクリックし、説明的なBinding Nameを入力します。 OAuth Service binding

6

Service Bindingを作成したら、ViewまたはDownloadをクリックしてサービスクレデンシャルを取得します。

# 接続フィールド

ODATA VERSIONS

We recommend to create dedicated connections for V2 and V4 APIs.

Workatoで接続を確立するために、以下のフィールドを完了します。

フィールド 説明
Connection name 接続を他のレシピで再利用できるよう、わかりやすい名前を指定します。
Connection type Cloudを選択します。
Authentication type OAuth BTPを選択します。
OData version この接続で使用されるAPIのODataバージョンを選択します - v2またはv4
Client ID SAP BTPからダウンロードしたサービスバインディングのclientidパラメータの値を入力します。
Client Secret SAP BTPからダウンロードしたサービスバインディングのclientsecretパラメータの値を入力します。
Authentication URL 認証URLを指定します。これはサービスバインディングのurlパラメータの値です。例:https://s-4hana-cloud.authentication.eu10.hana.ondemand.com
Destination URL 宛先サービスのURLを指定します。これはサービスバインディングのuriパラメータの値です。例:https://destination-configuration.cfapps.eu10.hana.ondemand.com
Destination Name Connectivity > Destinationsの下でSAP BTP cockpitに定義された宛先の一意の名前識別子を指定します。
Host SAPアプリケーションサーバーのホスト名を指定します。例:https://www.myS4HanaSystem.com/sap/opu/odata/sap/API_PURCHASEORDER_PROCESS_SRVがサービスURLの場合、ホストはhttps://www.myS4HanaSystem.com/sap/opu/odata/sap/です。
Service SAPシステムで構成されたサービスを指定します。例:https://www.myS4HanaSystem.com/sap/opu/odata/sap/API_PURCHASEORDER_PROCESS_SRVの場合、サービスはAPI_PURCHASEORDER_PROCESS_SRVです。
SAP client 空白のままにします。


Last updated: 2025/3/13 9:42:40