SAP パスポートを使用したシングルサインオン

ユーザー ID とパスワードを入力せずに、数多くの SAP Web サイトにアクセスできるようになります。また、データはセキュアにやり取りされます。

仕組み

SAP パスポートは次のようなデジタルクライアント証明書です

  • SAP ONE Support Launchpad(ラウンチパッド) で認証を受け、 SAP パスポートを申請 すると、SAP トラストセンターによって SAP パスポートが発行されます。SAP パスポートはお客様のデジタルパスポートであり、お客様のローカルコンピューターのアクセスデータと SAP ONE Support Launchpad やその他の SAP Web サイトのアクセスデータの間における接続を表します。
  • SAP Support Portal、SAP ONE Support Launchpad、または一部の SAP Web サイトにアクセスするときにユーザー ID とパスワードを入力する必要がなくなります。

SAP トラストセンター

SAP トラストセンターは、ドイツ・ワルドルフにある SAP 本社の非常に安全なデータセンターの中心にあります。SAP ONE Support Launchpad には登録局が含まれており、この登録局がラウンチパッドのユーザーデータを使ってユーザーの ID を確認します。

シングルサインオン技術は基本的に公開鍵基盤をベースとしています。ユーザーはインターネットブラウザーに標準搭載されている機能を使って、公開鍵と秘密鍵のペアを生成します。この鍵の公開鍵のほうが SAP トラストセンターに転送されます。公開鍵が確認されると、SAP トラストセンターは申請者に署名付きの証明書を返します。この証明書がブラウザーに直接インポートされます。

ポリシー情報

SAP パスポートはインターネットにおけるお客様のデジタル ID であり、お客様を SAP のトラストコミュニティのメンバーとして識別します。SAP パスポートはパスポートを申請するのに使用した PC に保存されます。SAP パスポートにより、SAP ONE Support Launchpad、SAP Support Portal、および数多くの SAP Web サイトにシングルサインオンでアクセスできます。

ローカルコンピューターで、ユーザーデータを厳密に分離できる安全なオペレーティングシステムを使用している場合に、SAP パスポートを使用することをお勧めします。

システムのセキュリティは、お客様の利用方法によって大きく左右されます。他人がお客様の名前を使ってシステムを使用するのを防ぐことは可能です。

以下のセキュリティルールに留意し、確実に適用してください。それにより、不正アクセスからお客様の SAP パスポートを保護できます。

  • たとえわずかな時間でも、作業場所から離れるときは必ずコンピューターをロックしてください。
  • スクリーンセーバーでパスワード保護を有効にしてください。こうすれば、比較的短いアイドル時間でコンピューターが自動的にロックされます
  • ほかの人がコンピューターを使用する必要がある場合は、まずログオフしてから、その人がログオンするようにしてください

よくある質問

SAP パスポートは X.509 クライアント証明書です。

証明書は認証手段の 1 つであり、ユーザー ID およびパスワードの代わりに使用されます。

例:
◾SSL プロトコルを使用するインターネットページを呼び出すと、多くの Web サーバーはブラウザーの証明書を要求します。
◾この証明書は、当該インターネットページによって承認されている認証局 (CA) が発行したものである必要があります。
◾ブラウザーにそのような証明書が存在する場合は、その証明書が Web サーバーに転送されます。
◾Web サーバーは、証明書をチェックしてインターネットページで認識可能かどうかを確認します。
◾証明書を認識できた場合、その証明書は信頼された CA からのものとして承認され、インターネットページによる認証が成功します。

新しい SAP ONE Support Launchpad と最新のアプリケーションには、以下のいずれかのブラウザーをお使いください。
◾Internet Explorer 10 または 11
あるいは下記ブラウザーの最新バージョン
◾Chrome
◾Firefox
◾Safari

SAP パスポートをインストールする方法としては、次の 2 つの選択肢があります。

ブラウザーから自動的に(Internet Explorer のみ):

  1. Internet Explorer ブラウザーで SAP パスポート アプリケーションを開きます。
  2. ユーザーパスワードを入力し、[SAPパスポートの申請] ボタンをクリックします。 
  3. SAP パスポート証明書を保護するパスワードを入力します。
  4. [SAP Passport申請] ボタンをクリックします。
  5. ActiveX の設定によっては確認のポップアップが 2 回表示される場合があります。
  6. 正常に終了したことを確認するポップアップが表示されるまで待ちます。

ダウンロードにより手動で:

  1. サポートされているブラウザーで SAP パスポート アプリケーションを開きます。
  2. ユーザーパスワードを入力し、[SAPパスポートの申請] ボタンをクリックします。
  3. SAP パスポート証明書を保護するパスワードを入力します(インストール時に必要)。
  4. [SAPパスポートのダウンロード] ボタンをクリックします。
  5. pfx/p12 ファイルをダウンロードします。
  6. ダウンロードしたファイルを手動でインストールします。

注:新しい SAP パスポート証明書をインストールした後で、古い SAP パスポートを使用していたすべての場所から、古い SAP パスポートを削除することを強くお勧めします。

SAP パスポートの場所は、ご使用のブラウザーによって異なります。

Internet Explorer での SAP パスポートの検索:

  1. [ツール] > [インターネットオプション]を選択します。
     [インターネットオプション]ウィンドウが表示されます。
  2. [コンテンツ]をクリックします。
    [コンテンツ]タブが表示されます。
  3. [証明書]をクリックします。
    [証明書]ウィンドウが表示されます。
  4. SAP パスポートには次のエントリーがあります。
    発行先: 「お客様の S ユーザー ID」, 発行者: SAP Passport CA.

Chrome での SAP パスポートの検索:

  1. [ツール] > [設定]をクリックします(またはアドレスバーに "chrome://settings" と入力)。
    [設定]画面が表示されます。
  2. [詳細設定を表示...]をクリックします。[詳細設定]詳細設定が表示されます。 
  3. [HTTPS/SSL] で、[証明書の管理...]ボタンをクリックします。
    [証明書]ウィンドウが表示されます。
  4. SAP パスポートには次のエントリーがあります。
    発行先:「お客様の S ユーザー ID」,発行者:SAP Passport CA

Firefox での SAP パスポートの検索:

  1. [ツール] > [オプション]をクリックします(または "about:preferences" と入力)。
    [オプション]ウィンドウが表示されます。
  2. [詳細]タブをクリックします(または "about:preferences#advanced" と入力)。
  3. [証明書]タブをクリックして、[証明書を表示]ボタンをクリックします。
    [証明書]ウィンドウが表示されます。
  4. SAP パスポートには次のエントリーがあります。
    証明書名
    SAP Trust Community
    「お客様の S ユーザー ID」

Mac (Safari) での SAP パスポートの検索:

  1. [アプリケーション] > [ユーティリティ] > [キーチェーンアクセス]をクリックします。
    [キーチェーンアクセス]ウィンドウが表示されます。
  2. [キーチェーン]タブで、[ログイン]をクリックします。
    [ログイン]ウィンドウが表示されます。
  3. [分類]タブで、[自分の証明書]をクリックします。
    [証明書]ウィンドウが表示されます。
  4. SAP パスポートには次のエントリーがあります。
    名前
    「お客様の S ユーザー ID」
    SAP Passport

新しい SAP パスポートをインストールすると、2 つの SAP パスポートがブラウザーに表示されるようになります。この状態で SAP ONE Support Launchpad(または SAP パスポートをサポートする SAP Web サイト)にログインしようとすると、2 つのうちのどちらを使用するかを尋ねるメッセージがブラウザーに表示されます。

常に新しい SAP パスポートを使用できるように、古い SAP パスポートを削除することをお勧めします。新しい SAP パスポートはすでに有効であるので、古いものを残しておく必要はありません。

古い SAP パスポートを削除する場所は、ご使用のブラウザーによって異なります。

  1. ブラウザーからSAP パスポートを見つけます (参照 "SAP パスポートはブラウザーのどこにありますか?").
  2. 古いSAP パスポートを選択し、削除をクリックします。

ブラウザーで SAP パスポートを自動インストールするために ActiveXObject を使用していますが、この API は Internet Explorer でしか使用できません。つまり、[SAPパスポートのインストール] ボタンから SAP パスポートをインストールすると、バックグラウンドで次の処理が行われます。

  1. ActiveXObjectActiveXObject を使用して、ブラウザーがキーペアを生成します。
  2. ブラウザーが、公開鍵を SAP トラストセンターサービスに送信します。
  3. トラストセンターサービスが、申請内容およびパスワードをチェックします。
  4. SAP トラストセンターサービスが、署名済みの証明書(SAP パスポート)を発行します。
  5. ActiveXObject を使用して SAP パスポートがブラウザーにインストールされます。

注:ActiveX の設定は、Internet Explorer でのみ必要です。

Internet Explorer のメニューバーで、次のパスを選択します。
◾[ツール] > [インターネットオプション] > [セキュリティ]タブ > [レベルのカスタマイズ]

次の各エントリーを[有効にする]または[ダイアログを表示する]に設定します。

[署名された ActiveX コントロールのダウンロード]
◾[スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行]
◾[ActiveX コントロールとプラグインの実行]
◾[スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行]

 

新しい SAP パスポートアプリケーションを使用して SAP パスポートが作成されるまで、Launchpad ホームページの[SAP パスポート]タイルに "No Certificate Found" というメッセージが表示されます。


新しい[SAP パスポート]アプリケーションを使用して SAP パスポートを作成すると、証明書の有効期限の残り日数が表示されます。

[SAP パスポート]タイルに表示される [Days to expire] の値は、ユーザーが最後に SAP パスポートをインストールまたはダウンロードした日に基づいて計算された SAP パスポートの有効期限の残り日数を表します。

したがって、新しい SAP パスポート証明書をインストールした後で、古い SAP パスポートを使用していたすべての場所から、古い SAP パスポートを削除することを強くお勧めします。削除しない場合、使用されている SAP パスポートによってはこの値が不正確なものとなる可能性があります。

ユーザー ID とパスワードを入力することなくアクセスできる SAP Web サイトはますます増えています。現在対応しているサイトは次のとおりです。

複数のユーザー ID をお持ちの場合でもブラウザー証明書は使用可能ですが、ユーザー ID ごとにブラウザー証明書をご依頼いただく必要があります。

まず、1 つ目のユーザー ID についてブラウザー証明書をインストールすると、ブラウザーによって SAP ONE Support Launchpad に自動的にログオンできるようになります。2 つめの証明書を有効にするには、以下の手順に従います。

Internet Explorer

  1. [ツール] > [インターネットオプション] > [セキュリティ]タブをクリックします。
  2. 正しいゾーンが選択されていることを確認します。これは通常は[インターネット]ですが、お客様が SAP ONE Support Launchpad を信頼済みサイトとして登録している場合は、[信頼済みサイト]を選択する必要があります。
  3. [レベルのカスタマイズ]をクリックします。
  4. [既存のクライアント証明書が 1 つ、または存在しない場合の証明書の選択]項目で[無効にする]を選択します。
  5.  [OK] で確定します。

Firefox

  1. [ツール] > [オプション] > [詳細] > [暗号化]タブをクリックします。
  2. [サーバが個人証明書を要求したとき]項目で[毎回自分で選択する]を選択します。
  3.  [OK] をクリックします。

​ブラウザーの証明書の選択プロンプトを取り消し、代わりに 2 つ目のユーザー ID でログインして、追加の証明書を依頼することができるようになります。​