# OAuth2.0認証
WorkatoはOAuth 2.0(オープンオーソライゼーション2.0)をサポートしています。OAuth 2.0プロトコルは、サーバー上のユーザーデータへの安全なサードパーティアクセスを可能にします。このプロトコルは、アプリケーションでユーザーデータへの限定的なアクセスを許可するために広く使用されています。Workatoは、OAuth 2.0で広く使用されている認可フローであるAuthorization Code Grantをサポートしています。特に、クライアントアプリケーションがクライアントシークレットにアクセスできるサーバー間通信で使用されます。この認証方法は、認可コードをアクセストークンと交換することで、機密情報の露出を防ぐのに役立ち、他の認可タイプよりも安全性が高いと考えられています。この認証は、SAPオンプレミスアプリケーションおよびSAP S/4HANA Cloud, Private Editionに適用されます。
# OAuth2.0の有効化
OData V2サービスでOAuth2.0を有効にするために、次の手順を完了してください。
ENABLE OAUTH2.0 FOR ODATA V4 APIS
OAuthスコープを作成するために、OData V4 API用のSAPノート3304204 (opens new window)を参照してください。
SAP Logonを通じてSAPシステムにログインし、トランザクションコード /n/iwfnd/maint_service に移動します。
Add Service をクリックし、System Alias にLOCALを入力し、Enterキーを押します。
使用する予定のサービスを選択し、Add Selected Services をクリックします。この例では、標準のSAP APIである API_SALES_ORDER_SRV を追加します。
技術サービスにカスタム名を提供します。例:ZAPI_SALES_ORDER_SRV。
サービスをローカルパッケージに保存するために、Local Object をクリックし、OAuth有効化の下で Enable OAuth for Service チェックボックスを選択します。
Alias をダブルクリックし、Service Doc. Identifier に対して SAP System Alias が正しいことを確認します。
サービスカタログにサービスが既に存在する場合、直接サービスに移動し、OAuthをクリックしてOAuth認証を有効にできます。
# OAuth2.0の事前要件
OAuthを構成するために、次の事前手順を完了してください。
トランザクションコード SICF に移動します。
パス:default_host/sap/bc/sec/oauth2/ の下にあるサービス authorize に移動します。
authorize サービスを右クリックし、Activate Link を選択します。
再度サービスを右クリックし、Test Link を選択してサービスのURLを確認します。URLは次のようになります:https://<hostname>:<port>/sap/bc/sec/oauth2/authorize?sap-client=<XXX>
パス:default_host/sap/bc/sec/oauth2/ の下にあるサービス token に移動します。
token サービスを右クリックし、Activate Service を選択します。
再度サービスを右クリックし、Test Service を選択してサービスURLを確認します:https://<hostname>:<port>/sap/bc/sec/oauth2/token?sap-client=<XXX>
トランザクションコード SU01 に移動します。
INTEGRATION USER TO BE USED AS CLIENT ID
OAuth接続を確立するために必要な最小権限については、SAPの最小権限 セクションを参照してください。
OAuthスコープを割り当てる予定の統合ユーザーを作成し、Address および Logon Data タブの Last name および New Password が維持されていることを確認します。
PASSWORD AND USER RECOMMENDATION
セキュリティを強化するために、Generate オプションを使用して複雑な文字列を取得することをお勧めします。この文字列はクライアントシークレットとして使用されます。さらに、このユーザーのユーザータイプを System ユーザーとして維持し、このユーザーのGUIアクセスを制限します。
# OAuth2.0クライアントIDの構成
OAuthクライアントIDを設定するために、次の手順を完了してください。
トランザクションコード SOAUTH2 に移動します。
Create をクリックし、必要なユーザー詳細と値を入力します。
CLIENT ID USAGE RECOMMENDATION
同じSAPシステムを指す複数のWorkato接続を作成する予定がある場合、接続の損失を避けるために、個々の接続ごとに複数のクライアントIDを作成することをお勧めします。
Grant Type Authorization Code Active と Refresh Allowed のチェックボックスを選択します。データセンターのcallback URIで Redirect URI を維持します。
Add をクリックし、リストから使用する予定のスコープを選択します。例:選択したスコープ ZAPI_SALES_ORDER_SRV_0001 は API_SALES_ORDER_SRV サービスへのアクセスを提供します。
Next をクリックし、サマリーを確認してから Finish をクリックします。
OAuth2.0クライアントIDのセットアップが完了しました。
# 接続フィールド
| フィールド | 説明 |
|---|---|
| Connection name | 接続を他のレシピで再利用できるように、説明的な名前を付けてください。 |
| Connection type | SAPオンプレミスシステムと同じドメインで実行されているオンプレミスエージェントを選択します。接続を試みる前に、アクティブなオンプレミスエージェントがあることを確認してください。 |
| Authentication type | OAuth2 を選択します。 |
| OData version | この接続で使用する予定のAPIのODataバージョンを選択します - v2 または v4。 |
| Client ID | OAuth接続のセットアップ中に作成したユーザーIDを入力します。 |
| Client Secret | パスワードを入力します。これはOAuth接続のセットアップ中に生成または追加したパスワードです。 |
| Scopes | SAP ODataシステムにアクセスするために使用する予定のスコープを提供します。例:ZAPI_SALES_ORDER_SRV_0001。複数のスコープを指定する場合は、カンマで区切る必要があります。 |
| Host | SAP ODataサービスのベースパスです。 例:サービスURLが https://www.myS4HanaSystem.com/sap/opu/odata/sap/API_SALES_ORDER_SRV の場合、ホストは https://www.myS4HanaSystem.com/sap/opu/odata/sap/ です。 |
| Service | 認証をテストするために使用できるサンプルサービスを提供します。これは最初に構成したサービスである場合があります。 例:サービスURLが https://www.myS4HanaSystem.com/sap/opu/odata/sap/API_SALES_ORDER_SRV の場合、サービスは API_SALES_ORDER_SRV です。 |
| SAP client | このODataサービスが存在するSAPクライアントを提供します。 例:サービスURLが https://www.myS4HanaSystem.com/sap/opu/odata/sap/API_SALES_ORDER_SRV?sap-client=100 の場合、SAPクライアントは 100 です。クライアントを指定しない場合、SAPで設定されたデフォルトクライアントが使用されます。 |
| Bypass SSO/SAML2 | 非フェデレーションユーザーでSAML 2.0のセットアップをバイパスしてSAPシステムへの接続を確立するために、Yes を選択します。 |
ODATA VERSIONS
V2およびV4のAPI用に専用の接続を作成することをお勧めします。
Last updated: 2025/10/23 20:27:15