シングルサインオンを初期設定するには

シングルサインオン (SSO) ソリューションの原則では、認証をアプリケーションコードから削除します。SSO は、ユーザが複数のアプリケーションにアクセスするために必要な認証情報の提示が 1 回のみで済む、グローバルに保護されたソフトウェア環境を提供します。

構成の設定によっては、ユーザは自分の Windows 認証情報に基づいて自動的にサインオンできます。一度サインオンした後は、再度サインオンすることなく、あるアプリケーションから別のアプリケーションに移動できます。

たとえば、サインオンした後に、PM ダッシュボードの重要業績インジケータ (KPI) からドリルバックして LN の詳細を調べることができます。このドリルバック動作中に、関連する LN のセッションが直接開始されます。ユーザが LN にサインオンする必要はありません。

LN では、以下の 2 種類のシングルサインオンが使用できます。

  • Active Directory Federation Services (AD FS) によるシングルサインオン

    Infor ERP LN Web User Interface - インストール/構成ガイド (U8715 JA) を参照してください。

  • Central Authentication Service (CAS) に基づくシングルサインオン

    この章の SSO のセクション、および付録を参照してください。

重要

Infor では、AD FS によるシングルサインオンを使用することをお勧めしています。CAS に基づくシングルサインオンは、既存のお客様についてのみサポートしています。

ERP LN における Infor SSO ユーザ ID

一般に、ユーザには以下の 2 種類があります。

  • オペレーティングシステムユーザ (OS ユーザ)
  • アプリケーションユーザ

Infor SSO ユーザは、SSO サービスに必要な 3 番目の種類のユーザです。SSO ユーザの主な役割は、認証のほか、正しい OS ユーザおよびアプリケーションユーザへのマッピングを作成することです。

セキュリティ上の理由から、オペレーティングシステム (OS) グループ (たとえば、bsp) をセットアップする必要があります。このグループに属せるのは、管理タスクの実行を許可された OS ユーザのみです。

Windows 上での LN 環境の場合、汎用システムユーザが作成され、OS レベルで有効でなければなりません (例: infor_ln)。デフォルトでは、この汎用システムユーザは、ipc_boot が開始されるときに使用されます。

一部のユーザに SSO を使用して、その他のユーザに OS 認証を使用することができます。

たとえば、以下のような状況が考えられます。

  • 管理者は、すべてのアカウントについて SSO を有効にしており、SSO が機能しない場合に自分の OS アカウントでログオンするというオプションを自分のアカウントが (フォールバックとして) 保持することを求めています。
  • 一部のクライアントアプリケーションは (まだ) Infor SSO とともに動作できず、PM ダッシュボードなどのその他のアプリケーションは、Infor SSO なしでは動作しません。
ERP LN 上での SSO の設定

セッション SSO パラメータ (ttams0100m000) が定義され、ユーザデータ (ttams1100s000) セッションが追加フィールドにより拡張されます。「ランタイム DD への変換」 セッションでも、変更が必要でした。

注意

マニュアルで、sso_permissions.xml ファイルを作成します。この方法で、たとえば 悪意のあるエンドユーザが、OS ユーザの root として Bshell を開始する目的でユーザデータの構成を変更することを防止します。sso_permissions.xml ファイルをロジックサービスの BSE に入れます。sso_permissions.xml が作成されない場合、Infor SSO 統合は動作しません。詳細については、「シングルサインオンログインプロセス」 セクションを参照してください。

セッション 「SSO パラメータ (ttams0100m000)」

SSO パラメータを指定するには、以下のステップを実行します。

  1. セッションを開始しますSSO パラメータ (ttams0100m000)
  2. SSO サービスの URL を指定します。ADFS 統合の場合、このフィールドは無関係です。
  3. 汎用システムユーザを指定します。
    • 汎用システムユーザは、sso_permissions.xml ファイルに登録する必要があります。これについては後述します。
  4. ダンプをクリックして、$BSE/lib/sso_config ファイルに情報を入れます。

特定フィールドの詳細については、このセッションのオンラインヘルプを参照してください。

セッション 「ユーザデータ (ttams1100s000)」

SSO パラメータ (ttams0100m000)により SSO が 起動された場合、ユーザデータ (ttams1100s000) セッションは以下の 2 つのフィールドで拡張されます。

  • Infor SSO ユーザ
  • 汎用システムユーザを使用

Infor SSO ユーザ

  • AD FS を使用する場合、SSO ユーザが Active Directory (UPN) で既知である必要があります。詳細については、Infor ERP LN Web User Interface - インストール/構成ガイド (U8715 JA) を参照してください。
  • CAS を使用する場合、SSO ユーザが SSO サービスで既知である必要があります。

SSO パラメータ (ttams0100m000) セッションで定義した汎用システムユーザを使用するには、汎用システムユーザを使用チェックボックスをオンにします。このチェックボックスがオフの場合、システムログインが使用されます。

システムログインを使用する場合は、必ずこのユーザを sso_permissions.xml ファイルに登録してください。このファイルについては後述します。

注意

Windows インストールの場合、ユーザデータ (tams1100m000) セッションには、別の追加フィールド、すなわち汎用システムユーザパスワードフィールドが含まれます。Windows では、特定のユーザに切り替えるために、プレーンパスワードは必須です。このパスワードはただちに暗号化され、ランタイムに変換されるときに gu_passwd として %BSE%\lib\sso_config ファイルに入れられます。

ランタイムへの変換

必要な SSO 情報を入力した後で、次のように、LN ユーザに対して SSO を起動する必要があります。

  1. ユーザデータ (ttams1100s000) セッションを保存して終了します。メインのユーザデータ (ttaad2500m000) セッションに戻ります。
  2. ユーザデータ (ttaad2500m000) セッションで、適切なメニューの変更をランタイム DD に変換をクリックします。変更のランタイム DD への変換 (ttams2200m000) セッションが表示されます。
  3. 変更のランタイム DD への変換 (ttams2200m000) セッションで必要な情報を入力します。詳細は、このセッションのヘルプを参照してください。
  4. ランタイムに変換をクリックして、ユーザデータを $BSE/lib/user/sso/ ディレクトリ内のエンコード s<SSO ユーザ> ファイルに変換します。このファイルには、以下の情報が含まれます。
    • sso_user:<SSO ユーザ>
    • baanuser:<baanuser>
    • unixuser:<OS ユーザ>