SAProuter

SAProuter は、お客様のネットワークと SAP をリモート接続するためのソフトウェアアプリケーションです。

  • Improve network security, e.g.by using a password or by only allowing encrypted connections fromパスワードの使用や、既知のソースからの暗号化接続のみを許可するといった方策をとることで、ネットワークセキュリティが向上します。
  • SAP システムへの接続を制御し、ログに記録します
  • ネットワーク設定のために関連プログラムが相互に通信できない場合に、間接的な接続を確立します。
  • 広域ネットワーク (WAN) との通信時にローカル・エリア・ネットワーク (LAN) 内の SAP システムのワークロードを減らすことによって、パフォーマンスおよび安定性を向上させます。

SAProuter は、従来の SAP 製品のほか、新しく加わった Analytics Solution などの製品でも使用できます。SAProuter の接続によってメリットが得られる SAP Business Analytics 製品の一覧については、SAP Note 1478974 を参照してください。


SAProuter は、お客様のネットワークへのアクセスをアプリケーションレベルで制御するためのもので、既存のファイアウォールシステムをさらに役立つように拡張する目的で使用します(ポートフィルター)。

SAProuter のダウンロード

SAProuter の使用

SAProuter を使用すると、次のことが可能です。

  • ネットワークの設定において、公式な IP アドレスがない、またはファイアウォールシステムによる制約があるために通信プログラムが双方向の通信を直接確立できない場合に、間接的な接続を確立します。
  • お客様ネットワークの外からの不正なアクセスに対して、お客様の接続とデータをパスワードで保護し、特定された SAProuter からのアクセスのみを許可するといった方策をとることで、ネットワークセキュリティを向上させます。
  • 広域ネットワーク (WAN) との通信時にローカル・エリア・ネットワーク (LAN) 内の SAP システムのワークロードを減らすことによって、パフォーマンスおよび安定性を向上させます。
  • ネットワーク接続を制御し、ログに記録します。  

SAProuter は、SAP とお客様の R/3 システムとの間の接続を制御し、ログを記録するために必ず使用してください。

SAProuter の前提条件

SAProuter をご使用いただくには、お客様のネットワークから SAP ネットワークへのネットワーク接続が確立されていることが唯一の前提条件となります。

この接続を確立するには、まず SAP のネットワークチームと連携して環境をご準備いただく必要があります。この準備を円滑に進めるために、次のことをご確認ください。
 

新しい接続の要件

  • SAProuter を使用したネットワークを設定するためのインシデントをご登録いただく前に、オペレーティングシステムについての基礎知識をお持ちのご担当者を指定いただく必要があります。
  • お客様にはネットワーク設定についての知識は不要ですが、必要時にお呼び出しが可能なご担当者を組織内でご指定ください。
  • VPN を確立するためには、お客様が SAProuter のホストにログオンできる必要があります。このため、IPSEC 管理者によるアシストが必要となる場合があります。
  • IPSEC には 使用可能な2 つのパブリック IP アドレスをご用意いただく必要があります
  • SAProuter のインストレーションを新規登録するには、SAP Note 28976 リモート接続登録申請書(インターネット経由)に記載の作業を完了いただく必要があります。

既存の接続の要件

  • SAProuterにログオンできるご担当者を指定いただく必要があります。
  • SAP への物理接続に使用するハードウェアにログオンできる必要があります。
  • SAProuter のホストにログオンできるネットワーク管理者を指定いただく必要があります。

セキュリティ

SAP は、ソリューションのためのサービスとサポートを、安全、迅速、かつ監査可能な方法でお届けすることを重視しています。これによって、お客様には以下の利点があります。

  • 接続のオープンとクローズをお客様が完全に制御できます。
  • さまざまな暗号化方法を使用できます。
  • お客様のシステムへのリモート接続がすべてログに記録されます。

SAP は回線提供会社とともに、WAN (wide area network) 接続を介したお客様との接続に関して、高レベルのセキュリティの提供に努めてまいりました。高レベルのセキュリティは、お客様のシステムへの不正なアクセスを防止します。お客様がセキュリティに関する規定と、ガイドラインを守っていただければ、WAN 接続を経由したネットワークでも、高レベルのセキュリティが保たれます。

しかし、お客様は、あらゆる必要なセキュリティ要件に適応する責任があります。SAP は上記の条件で、お客様のご協力のもと、可能な限り高度なセキュリティの提供を行っています。

SAP のセキュアなサポートサービスの詳細については、Support Portal のこのセクションを参照してください。

SAProuter の証明書

SAProuter は、内部ネットワークと外部ネットワーク間の通信を制御・監視するための SAP ソフトウェアプログラムです。SAP からお客様の内部システムへのすべてのリモート接続とメンテナンスのためのあらゆるアクセスは、使用する SAProuter を介してルーティングされるので、SAP とお客様との接続は SAProuter と SAProuter 間の単一接続に削減されます。

データ転送の暗号化

お客様の会社と SAP との間で SAProuter を介してサポート用のインターネット接続を検証するため、専用のサーバー証明書を発行することができます。サーバー証明書は通常、GSS-API (Generic Security Services API) インターフェースを介して行われる mySAP.com 内の暗号化されたデータ転送のサーバー認証に使用されます。

SAProuter の証明書は、SAP Support Portal から無償で取得いただけます。

SAProuter の証明書の申請

ルートストリングの処理

SAProuter ではルートストリングという形式でルートが定義されます。ルートストリングは特定の構文規則に従って記述する必要があります。ルートストリングには各 SAProuter と接続先サーバーのエントリー(サブストリング)が含まれます。各サブストリングには、ホスト名、ポート名、パスワード(設定されている場合)など、SAProuter が特定のルートで接続するために必要な情報が含まれます。

ルートストリングは、/H/host/S/service/P/pass という形式をとります。

各サブストリングはホスト名を表す /H/ で始まります。各ホスト名の後にサービスを指定することもできます。サービス名は /S/ で始まります。この後、サブストリングにパスワードを含めることができます。パスワードは /P/ に続けて入力します。

デフォルトでは、ルートストリングはパスワードなしで送信されます。サービスのデフォルト値は "3299"、デフォルトのパスワードは "" (空白)です。

以下の図は SAP とお客様のシステムの接続例を示しています。この例では、sappc で作業する SAP のサービスエンジニアがお客様のアプリケーションサーバー yourapp にログオンする必要があります。このアプリケーションサーバーはサービス sapservice を提供または使用しています。

SAP サポートがお客様のシステムに接続する

SAP のサービスエンジニアは R/3 にログオンし、SAProuter saprouter で稼動する SAProuter とお客様の yoursaprouter で稼動する SAProuter を経由して sappcyourapp に接続します。

yoursaprouter では yourapp への接続にパスワード pass_to_app が必要です。

ルートストリングは以下のようになります。
/H/saprouter/H/yoursaprouter/H/yourapp/S/sapservice/P/pass_to_app

このルートストリングは SAProuter によって以下のように解釈されます。

サブストリング ホスト/アドレス サービス/ポート パスワード
サブストリング 1 /H/saprouter /S/default  
サブストリング 2 /H/yoursaprouter /S/default <パスワードなし> 
サブストリング 3 /H/yourapp /S/sapservice /P/pass_to_app


sappc からアプリケーションサーバーへの接続は以下の段階で行われます。

sappc (フロントエンド) サブストリング 1 に基づいて saprouter で稼動する SAProuter への接続を確立し、残りのルート情報を渡します。 
saprouter
(SAProuter)		 sappc から yoursaprouter3299 へのルートが許可されているかどうかを照合し、yoursaprouter で稼動する SAProuter への接続を確立し、サブストリング 3 を渡します。
yoursaprouter (SAProuter) saprouter から yourappsapservice へのルートが許可されているかどうかを照合します。
パスワード pass_to_app も照合されます。
これで SAProuter はアプリケーションサーバーへの接続を確立します。 

常に SAProuter は、ホスト名または IP アドレス、サービス、パスワードについて、直前のホスト名または IP アドレスと次のサブストリング (/H/.../S/.../P/...) のみを照合します。最初のサブストリングではパスワードが使用されません。これは、クライアントがパスワードにアクセスしているからです。

/S/ の部分が指定されていない場合、デフォルトの SAProuter のポート番号が使用されます。
/P/ の部分が指定されていない場合は、パスワードが使用されません。

SAProuter 証明書に関する FAQ

SAProuter 証明書を依頼した S ユーザーの電子メール受信ボックスに、証明書の有効期限に達する 30 日前に通知が送信されます。

SAProuter 証明書アプリケーションで任意の SAProuter を選択し、[SAProuter 証明書を表示]ボタンをクリックします。

S ユーザーは、ユーザープロファイルアプリケーションにアクセスして電子メールアドレスを変更できます。SAProuter 証明書通知は、ここで更新されたユーザーの電子メールアドレスに送信されます。

いいえ、できません。SAProuter 証明書通知は、ユーザープロファイルで更新された S ユーザーの電子メールアドレスに送信されます。

通知管理アプリケーションの[SAPRouter 証明書]オプションで有効化/管理できます。

 

SAProuter 証明書アプリケーションで任意の SAProuter を選択し、[SAProuter 証明書を表示]ボタンをクリックします。任意の SAProuter 証明書を選択し、[証明書詳細]ボタンをクリックします。

SAProuter 証明書は、SAP for Me でマニュアル証明書依頼 (CSR) を生成した場合にのみ、有効期限とともに表示されます([SAProuter のインストール]ページにおける[認証情報を登録する]の 3.2 を参照)。ただし、このページの 3.1 に従って SAP Support Portal から生成済みの PSE ファイルをダウンロードした場合には、お客様のカスタマー番号に証明書が表示されません。これは、SAP によってコンテンツが保存されないセキュリティ保護されたファイルであるためです。

SAProuter 証明書は sha256 アルゴリズムを使用し、4096 の鍵長で発行されます。これらは変更できません。