SAP Cloud Platform Identity Authentication アプリケーション

この操作を行うには、特権管理者としてログインする必要があります。

SAML(Security Assertion Markup Language)を利用して、Google Cloud の認証情報で企業向けクラウド アプリケーションにログインできます。

SAP Cloud Platform Identity Authentication 用に SAML 経由での SSO を設定する

SAP Cloud Platform Identity Authentication アプリケーション用に SAML 経由でのシングル サインオン(SSO)を設定する方法は、次のとおりです。

手順 1: SAP Cloud Platform Identity Authentication を SAML 2.0 のサービス プロバイダ(SP)として設定する
  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン  次に  [セキュリティ] 次に [認証] 次に [SAML アプリケーションによる SSO] にアクセスします。

    この操作を行うには、特権管理者としてログインする必要があります。

  3. [ダウンロード] ボタンをクリックし、Google IdP メタデータと X.509 証明書をダウンロードします。
  4. [SSO の URL] と [エンティティ ID](発行元 ID)の値をコピーします。
  5. 新しいブラウザタブで、本番環境用 SAP テナント アカウントにログインします。
  6. https://your-domain.accounts.ondemand.com/admin/ にアクセスします。
  7. [Identity Providers] > [Corporate Identity Providers] に移動します。
  8. [+Plus] をクリックして、[Google Identity Provider] を追加します。
  9. [SAML 2.0 Configuration] に移動します。
  10. 手順 3 でダウンロードした、SSO 設定に必要な Google IdP メタデータと X.509 証明書をアップロードします。
  11. 変更を保存します。
  12. [Applications & Resources] > [Tenant Settings] > [SAML 2.0 Configuration] に移動します。
  13. ACS の URL をコピーし、SAP テナント メタデータをダウンロードします。
  14. お使いのアカウントで SAP Cloud Platform にログインします。
  15. [Security] > [Trust] に移動します。
  16. [Local Service Provider] タブで編集モードに切り替えます。
  17. [Configuration Type] を [Custom] に変更します。
  18. [Save] をクリックします。
  19. [Get Metadata] をクリックして、SAP Cloud Platform Identity Authentication アカウント メタデータをダウンロードします。
  20. [Application Identity Provider] タブに移動します。
  21. [Add Trusted Identity Provider] をクリックします。
  22. 手順 13 でダウンロードした SAP テナントのメタデータをアップロードします。
  23. テナント アカウント(https://your-domain.accounts.ondemand.com/admin/#/applications/)にアクセスします。
  24. [Add] ボタンをクリックしてアプリケーションを登録します。
  25. [Authenticating Identity Provider] に移動して、Google が IdP として選択されていることを確認します。
  26. [SAML 2.0 Configuration] に移動します。
  27. 手順 19 でダウンロードした SAP Cloud Platform Identity Authentication アカウント メタデータをアップロードします。
  28. 独自のアプリケーションを SAP Cloud にデプロイします。詳細
  29. 次の手順に進んで Google を SAML ID プロバイダ(IdP)として設定します。
手順 2: Google を SAML ID プロバイダ(IdP)として設定する
  1. 管理コンソールのブラウザタブに戻ります。
  2. 管理コンソールで、メニュー アイコン  次に  [アプリ] 次に [ウェブアプリとモバイルアプリ] にアクセスします。
  3. [アプリを追加] 次に [アプリを検索] をクリックします。
  4. 検索欄に「SAP Cloud Platform Identity Authentication」と入力します。
  5. 検索結果で、SAP Cloud Platform Identity Authentication SAML アプリケーションにカーソルを合わせ、[選択] をクリックします。
  6. [Google ID プロバイダの詳細] ページで、[続行] をクリックします。
  7. [サービス プロバイダの詳細] の [エンティティ ID]、[ACS の URL] 欄に、それぞれ次の URL 情報を入力します。
            ACS URL: https://your-domain.accounts.ondemand.com/saml2/idp/acs/your-domain.accounts.ondemand.com
            Entity ID: https://your-domain.accounts.ondemand.com
            
  8. [署名付き応答] チェックボックスをオフにします。
    [署名付き応答] チェックボックスをオフにするとアサーションのみが署名され、[署名付き応答] チェックボックスをオンにすると、すべての応答に署名されます。
  9. [続行] をクリックします。
  10. (省略可)Google ディレクトリの属性を対応するアプリの属性にマッピングするには、[属性のマッピング] ウィンドウで次の操作を行います。
    1. [マッピングを追加] をクリックします。
    2. [フィールドを選択] をクリック 次に Google ディレクトリの属性を選択します。
    3. [アプリ属性] に、対応するアプリ属性を入力します。
  11. (省略可)このアプリに関連するグループの名前を入力するには:
    1. [グループ メンバーシップ(省略可)] で [グループを検索] をクリックし、グループ名の文字を 1 つ以上入力して、グループ名を選択します。
    2. 必要に応じてグループを追加します(最大 75 個のグループ)。
    3. [アプリの属性] に、対応するサービス プロバイダのグループ属性名を入力します。

    入力したグループ名の数に関係なく、SAML レスポンスには、ユーザーが(直接的または間接的に)メンバーになっているグループのみが含まれます。詳しくは、グループ メンバーシップのマッピングの概要をご覧ください。

  12. [属性のマッピング] ページで、[完了] をクリックします。
手順 3: SAP Cloud Platform Identity Authentication アプリを有効にする
  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン  次に  [アプリ] 次に [ウェブアプリとモバイルアプリ] にアクセスします。
  3. [SAP Cloud Platform Identity Authentication] を選択します。
  4. [ユーザー アクセス] をクリックします。
  5. 組織内のすべてのユーザーに対してサービスを有効または無効にするには、[オン(すべてのユーザー)] または [オフ(すべてのユーザー)] をクリックし、[保存] をクリックします。

  6. (省略可)特定の組織部門に対してサービスを有効または無効にするには:
    1. 左側で組織部門を選択します。
    2. サービスのステータスを変更するには、[オン] または [オフ] を選択します。
    3. 次のいずれかを選択します。
      • [サービス] のステータスが [継承] になっており、親組織の設定が変更された場合でも現在の設定を維持したい場合は、[オーバーライド] をクリックします。
      • [サービスのステータス] が [上書きされました] になっている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして新しい設定を維持します(親組織の設定が変更された場合でも、現在の設定を維持します)。
        : 詳しくは、組織構造についてのページをご覧ください。
  7. 組織部門全体または組織部門内の一部のユーザーに対してサービスを有効にするには、アクセス グループを使用します。詳しくは、グループに対するサービスの有効化についてのページをご覧ください。
  8. SAP Cloud Platform Identity Authentication のユーザー アカウントのメール ID が Google ドメイン内のものと一致することを確認します。
手順 4: SSO の動作を確認する

SAP Cloud Platform Identity Authentication では、ID プロバイダ(IdP)を起点とする SSO とサービス プロバイダ(SP)を起点とする SSO の両方がサポートされています。以下の手順に沿って、いずれかのモードの SSO を確認します。

IdP を起点とする SSO

  1. Google 管理コンソールログインします。

    特権管理者権限のあるアカウント(末尾が @gmail.com でないもの)でログインしてください。

  2. 管理コンソールで、メニュー アイコン  次に  [アプリ] 次に [ウェブアプリとモバイルアプリ] にアクセスします。
  3. [SAP Cloud Platform Identity Authentication] を選択します。
  4. 左上の [SAML ログインをテスト] をクリックします。

    SAP Cloud Platform Identity Authentication が別のタブで開きます。開かない場合は、表示された SAML エラー メッセージの情報を参考にして、必要に応じて IdP と SP の設定を更新し、SAML ログインを再テストします。

SP を起点とする SSO

  1. アプリケーションを SAP Cloud にデプロイした後に取得した URL を使用して、アプリケーションを起動します。
  2. ログイン認証情報を入力します。
  3. ログイン認証情報が認証されると、SAP Cloud Platform Identity Authentication に自動的にリダイレクトされます。
手順 5: 自動プロビジョニングを設定する

特権管理者は、SAP Cloud Platform Identity Authentication アプリケーションでユーザーを自動的にプロビジョニングすることができます。

 


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は、関連各社の商標または登録商標です。

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー