ソフトウェア  >  セキュリティ

HP IceWall SSOとSAP BusinessObjects XIの連携

コンテンツに進む

はじめに

本レポートでは、HP IceWall SSOとSAP BusinessObjects XIを連携させる方法についてご紹介いたします。

本記事は以下の製品とバージョンの使用を前提としています。
    認証認可システム: HP IceWall SSO
    認証認可の対象システム: SAP BusinessObjects
【SAP BusinessObjects XIサーバーの詳細】
  • OS : Windows Server 2003 Standard Edition
  • SAP BusinessObjects Enterprise : XI 3.1 SP1

  •  - Web/Appサーバー : Tomcat 5.5
     - BOリポジトリ : Microsoft SQL Server 2000

本レポートで連携したSAP BusinessObjects XIについて

SAP BusinessObjects は、ビジネスインテリジェンス(BI)を実現するためのアプリケーションスイートです。
SAP BusinessObjectsを導入することによって、ビジネスネットワーク上の「人・情報・ビジネス」を結び付け、ビジネスパフォーマンスを最適化することが可能です。

SAP BusinessObjectsの特徴を以下にあげます。
  • Web ベースのソリューション
  • 幅広いユーザー層に利用いただけるアーキテクチャー

  •   - 経営者から各業務担当者まで、用途に応じたアプリケーションを提供
  • イントラネットのみならずエクストラネットからの利用などさまざまなユースケースに対応
≫ 画像拡大

連携イメージと主な確認ポイント

HP IceWall SSOのバックエンドWebサーバーとして、SAP BusinessObjectsを連携させる場合の概念図と、主な確認ポイントを以下に記述します。
主な連携のポイント

【認証連携の確認】
 HP IceWall SSOがSAP BusinessObjectsに対して、認証連携が可能か(シングルサインオン)
【コンテンツ変換の確認】
 HP IceWall SSO経由で、SAP BusinessObjectsのコンテンツ変換が正しく行われ、SAP BusinessObjectsの機能が利用可能か(基本機能のみ)

連携方法@ ヘッダ認証

連携方法@は、SAP BusinessObjectsへの認証にヘッダ認証を使用した場合の連携方法です。あらかじめHP IceWall SSOの認証DBと、SAP BusinessObjectsのレポジトリに、ユーザーIDが同一になるように手動でユーザーを登録します。そのため、実運用を考えた場合、以下の考慮が必要です。

HP IceWall SSOの認証DBとSAP BusinessObjectsのユーザーレポジトリにユーザー情報が一意に登録される仕組み(ユーザー管理ツールや同期ツール)が別途必要です。
  • SAP BusinessObjectsのユーザーレポジトリにはSQLでの直接のアクセスはできないため、ユーザー管理システムなどが連携する先は、SDKを使用して開発する取り込みモジュールになります。
  • BO開発者用のクライアントアプリケーションは非Webクライアントのため、HP IceWall SSOを経由せずに直接SAP BusinessObjectsにログインします。そのため、開発者の利用を考慮した場合、認証DB内に格納されるパスワードとSAP BusinessObjectsのユーザーレポジトリに格納されるパスワードは同期されるようにしたほうがベターです。

連携方法A Form認証

連携方法Aは、SAP BusinessObjectsへの認証にForm認証を使用した場合の連携方法です。あらかじめHP IceWall SSOの認証DBと、SAP BusinessObjectsのレポジトリに、ユーザーIDとパスワードが同一になるように手動でユーザーを登録します。そのため、実運用を考えた場合、連携方法@と同様に、ユーザー管理システム等の考慮が必要です。(連携方法@の考慮点参照)

連携方法B Form認証(レポジトリ共有)

連携方法Bは、HP IceWall SSOの認証DBと、SAP BusinessObjectsのユーザーレポジトリとして、共通のDirectotyサーバー(LDAP)を利用する方法です。レポジトリが共有されるため、ユーザー管理システムや同期ツールが不要となります。
    ※HP IceWall SSOと、SAP BusinessObjectsのどちらもがサポートするDirectory Serverを利用する必要があります。
    ※ActiveDirectory、Sun JAVA Directory、Novell eDirectory

本連携のメリット

本連携により、HP IceWall SSOのバックエンドWebサーバーとしてSAP BusinessObjectsを接続させることが可能となります。
  • 他のバックエンドWebサーバーと同様、シングルサインオン、アクセスコントロールなどの機能がHP IceWall SSOにより提供されます。(ユーザーの利便性向上、セキュリティ強化)
  • 例えばインターネット経由でSAP BusinessObjectsを利用したい場合に、HP IceWall SSOを経由させることでよりセキュリティを高める、といったことが可能です。
  • ユーザー情報をディレクトリサーバーに共通化することで、管理対象が1つとなり、運用負荷の少ないシステムを構築することが可能です。

連携方法の補足

各連携方法について、主な確認ポイントとした認証連携とコンテンツ変換の観点で補足します。

【認証連携】
認証連携に関しては、連携方法@〜Bのいずれも、SAP BusinessObjects側の認証方法に合わせて、HP IceWall SSOの認証連携設定を行います。
  • 連携方法@では、HP IceWall SSO側で情報継承機能の設定を行うことで、SAP BusinessObjects側のHTTPヘッダーによる信頼認証と連携します。
  • 連携方法AおよびBでは、HP IceWall SSO側でForm認証連携(間接方式)の設定を行うことで、SAP BusinessObjectsのForm認証と連携します。
※SAP BusinessObjectsの認証方式の詳細な呼称は以下になります。
連携方法@: 信用認証(共有シークレット)を利用したEnterprise認証
連携方法A: Enterprise認証
連携方法B: LDAP認証

※HP IceWall SSOのForm認証連携については、直接方式は機能しなかったため、間接方式を採用しました。
認証連携@及びAの検証結果から、認証連携の視点では、ユーザー管理を含めた実運用を考慮する必要があると考え、机上検証として、連携方法Bを考察しました。


【コンテンツ変換】
SAP BusinessObjectsのコンテンツに対する変換については、いくつかのキーワード変換設定が必要でした。

おわりに

今回の検証では、BIのデファクトアプリケーションであるSAP BusinessObjectsと連携しました。
新規でのBIの導入、既存SAP BusinessObjectsとの連携など、是非ご検討ください。
2009.7.3
日本ヒューレット・パッカード テクノロジーサービス統括本部 テクニカルコンサルタント 平野 宜敬、木田 智子
SAPジャパン ビジネスユーザー&プラットフォーム事業部
      シニアソリューションスペシャリスト 長家 正幸 氏
      ソリューションスペシャリスト 栃本 成尚 氏
SAP BusinessObjectsに関して
≫ BI for Everyone日本ヒューレット・パッカード外のウェブサイトへ
≫