SAP Identity ManagementからEntra IDへのマイグレーションガイド

こんにちは、富士榮です。

MicrosoftがSAPと協力してSAP Identity ManagementからEntra IDへのマイグレーションガイドを発行しています。SAP社が同社が提供するオンプレミス版のIdentity ManagementソリューションであるSAP Identity ManagementのEOSL（サービス終了）を2027年で終了することを受けての対応ですね。

SAP社からのEOSLのアナウンス

Preparing for SAP Identity Management’s End-of-Maintenance in 2027

https://community.sap.com/t5/technology-blogs-by-sap/preparing-for-sap-identity-management-s-end-of-maintenance-in-2027/ba-p/13596101

 

このアナウンスを見ると同社が提供しているクラウド版のIdentity ManagementサービスであるSAP Cloud Identity Servicesへの移行、もしくはSAP社から見るとパートナーソリューションであるMicrosoftのEntra IDへの移行を検討するように記載されています。

ちなみに、SAP Cloud Identity Serviceのインテグレーションガイドはこちらにありますので、シンプルにこちらに移行するユーザも多いのかとは思います。

しかし、SAP Identity Managementは懐かしいというか思い入れがあるというか・・・

昔、MaXwareがSAPに買収されたことに伴いNetWeaver（懐かしい！）ブランドとなったIdentity Managementを手元にセットアップして遊んでいた時期もありました。

SAP NetWeaver Identity Management事始め（アーキテクチャ整理）

https://idmlab.eidentity.jp/2009/01/sap-netweaver-identity-management.html

そう、実は2002年とか2003年くらいにアイデンティティの世界にどっぷりハマり始めたきっかけの一つがノルウェーのMaXware社が提供していたDSE（Data Synchronization Engine）やMIC（MaXware Identity Center）だったんです。その後、これらの製品はSAP社によるMaXware社の買収（2006年くらいだったかな？）に伴いSAPエコシステムの中に溶けていったわけですが、プロビジョニング中心だった当時のIdentity Managementの潮流の中では結構良い製品だったなぁ、と個人的には思います。（他にもSunやNovell、Microsoftなどの製品もかなり触ったのですが直感的にGUIでルールが構成できて、細かいルールはJavaScriptでカスタマイズできる、という点でMaXware製品はすごく簡単でよかったです）

ということでEntra IDへのマイグレーションについてです。こちらでアナウンスおよびガイドが公開されています。

Microsoftブログでのアナウンス

https://techcommunity.microsoft.com/t5/microsoft-entra-blog/sap-identity-management-to-microsoft-entra-id-migration-guidance/ba-p/2520428

ID 管理シナリオの SAP IDM から Microsoft Entra への移行

https://learn.microsoft.com/ja-jp/entra/identity/app-provisioning/migrate-from-sap-idm

ガイドをみていきます。

全体像としてはSAP SuccessFactorsからEntra IDへのリコンサイル（取り込み）、オンプレのSAP ECCへのプロビジョニング、S/4 HANAなどへのプロビジョニングをするためにSAP Cloud Identity Servicesへの連携がベースになっているようです。

移行についてもMX_PERSON、MX_ROLE、MX_PRIVILEGEの各表をGraph APIやPowerShell等でユーザやIGA等へマッピングしていくというアプローチが紹介されています。

※プレフィックスが「MX_」、、、変わってないなぁ・・・MaXwareのMXです。

個人的には非常に感慨深い、製品のライフサイクルの終焉と新たなエコシステムの構成が見られた瞬間でした。。。SAP IdMをお使いの皆さん、頑張って移行してください。

[SAP NetWeaver Identity Management]スクリプトのデバッグ方法

久しぶりにSAP NetWeaver Identity Managementについてです。。

SAP NetWeaver IdMでは基本的にロジックの実装はVBScriptやJava Scriptで行うのですが、微妙に製品に組み込まれているので製品のAPIも含めたデバッグは苦労するポイントです。

そのあたりの方法がこの動画で解説されています。

How it Works - IdM Script Debugging

右上のDownload Mediaでmp4ファイルがダウンロードできます。

デバッグ用のGUIを起動するためのバッチファイルを作成しないといけないのが面倒ですが、実際に開発をする際は必須なのでこの方法でやるしかないですね。

またこの記事を書いているOliver Noconさんですが、他にもReportingに関する動画なども公開しています。

How it Works - Identity Management Reporting

なかなか情報が少ない製品ですが、メーカもある程度開発者向けの情報をDeveloper Networkで公開しているので、眺めてみると発見があるかも知れません。（少なくともMaXware時代よりは情報が公開されている気がします）

クラウド時代のID管理へ？ ～ADFS2.0がSAML2.0相互運用性テストにパス～

先のポストにも一部書きましたが、カンターラ・イニシアティブとLiberty AllianceのSAML2.0相互運用性テストにマイクロソフトのADFS2.0（Geneva Server）がパスしています。

http://www.projectliberty.org/news_events/press_releases/entrust_ibm_microsoft_novell_ping_identity_sap_and_siemens_pass_liberty_alliance_saml_2_0_interoperability_testing



















結果をみると、ADFS2.0が今回パスしたのは、
・IDP Lite
・SP Lite
・eGov 1.5
です。

企業内のAD/ADFSをIdPとしてクラウドのサービスの認証を行う、ということができるということになれば、クラウドサービスの利用の障壁が少しでも下がるのではないでしょうか？
また、SAMLという標準的なプロトコルに対応した、ということでオンプレミスの世界でもこれまでWindows統合認証ができないために利便性が悪かった様々なIIS以外のアプリケーションサーバの認証が別途SSOツールを導入しなくてもできる、となるとADFS2.0は非常に強力なソリューションということができると思います。



ちなみに、ひそかに2010年の第2四半期にリリースされる予定のSAP NetWeaver Identity Management 7.2もパスしてます。
こちらは
・IDP Lite
・SP Lite
が対象です。

MaXware時代後期にもMFS（MaXware Federation Server）が出てきてはいたものの、結局SAPに買収されたときに立ち消えになっていましたが、ここにきてリリースされるということになったようです。
GUIクライアントとのEnterpriseSSOとかも合わせて実装されればな～とも思います。

SAP NetWeaver Identity Managementコネクタ概要

SDN(SAP Developer Network)のblogにSAP NetWeaver Identity Management - IDM Connector Overviewが紹介されています。


これまで各コネクタに関する情報（前提となるバージョンや機能、サポートの有無など）は積極的に公開はされてこなかったのですが、今回公開された資料にはある程度何ができるのかがわかる程度まで書いてあります。
他のベンダもそうですが、「接続可能製品一覧」を製品紹介資料の付録に載せるだけではなく、ある程度何ができるのかイメージできるような情報公開をしていって欲しいと思っていたので、とても良い資料だと思います。

簡単に内容ですが、
■SAP Application Connector
　他のSAP製品（HCMやFIなど）との接続にあたっての前提事項（バージョンなど）および機能（ユーザの追加・変更・削除などの基本的な機能＋他にできること）が紹介されています。

■CUA(Central User Administration)との関係
　これは従来CUAを使ってSAP環境のIDを管理していた人にはうれしい情報かも知れません。
　今後はSAPオンリーの環境においても基本的にNetWeaver IdMを使っていく、という方針には変わりないのでしょうが本資料はIdMとCUAの使い分けや共存に関する簡単な指針となりうる情報だと思います。

■Connectors to Non-SAP Applications
　SAP製品以外との接続に関する情報です。SAP製品とのコネクタと同様に前提事項や機能について解説されています。
　意外と知られていないところして、テキストファイルとのコネクタに関してはEventベースの更新はサポートされない、などの情報があったりしました。
　他にもActive DirectoryやExchangeに関しては現状2000/2003のみがサポート対象だったり、変わり種としてMIIS/ILMコネクタが紹介されていたりします。
（ちなみにMIIS/ILMコネクタはMIIS/ILM上で開発した管理エージェントなどをそのまま使いたいときなどにカスケード接続で利用します。中身は単なるSQLコネクタなんですけどね）

オブジェクト保持構造における各社アプローチ

一般的な業務アプリケーションと比べてIdM製品のデータの持ち方（構造）で一番特徴的なのが「データを縦に持つ」という点だと思います。

意味がよくわからないと思いますので具体的な例を挙げますが、通常データベースのテーブルを設計する際は、

ID	displayName	telephoneNumber
001	Scott McNealy	123-456-789

という様にデータを横に並べて1レコードが1エントリという構造にします。
これは視覚的にもわかりやすいですし、昔からアプリケーションはレコード単位で処理を行うことが容易な形でライブラリなどが作られてきたためです。

しかし、このデータ構造の弱点としてレコードへの属性（列）の追加／削除／変更という作業が発生した場合、アプリケーションそのものへの影響がとても大きい、という点でした。
そのため、設計段階での仕様固めが非常に大切でした。

しかし、IdMやディレクトリ分野においては割と気軽に属性の追廃改が行われがちですし、製品としてあらかじめハンドリング可能な属性を固定的に決めてしまうことはできません。
特にIDライフサイクル管理という意味でのIdMに関しては接続先システムの増減により必要となる属性が変化するのは日常的な話と言えるでしょう。

その点、LDAPのデータ構造は理にかなっていて、objectClassの追加により割と自由に属性を持つことができます。ゆえにNovellやExgenなどのIdM製品はレポジトリにLDAPを選択しているのだと思います。
ただ、やはりビジネスロジックを実装する上でLDAPだと限界があるのも確かなので、RDBにこだわるベンダもいて、インテックの結人／束人やSAP（旧MaXware）はパフォーマンスに問題が出るのを承知で無理やり縦構造のテーブルを作ったりしています。

ID	属性	値
001	displayName	Scott McNealy
001	telephoneNumber	123-456-789

マイクロソフトのFIM（ILM）に関してMetaverseの構造は別の機会に解説するとして、FIMが新しく利用するようになったWebサービスにおいても同様の思想が継承されており、WS-TransferでハンドリングされるResourceも以下のような拡張がされています。

■一般的な形
<Person>
<displayName>Scott McNealy</displayName>
<telephoneNumber>123-456-789</telephoneNumber>
</Person>

■拡張形（Transfer Extension for Identity Management Operations/TEIMO）

<PartialAttribute>
　<AttributeType>displayName</AttributeType>
　<AttributeValue><rm:displayName>Scott McNealy</rm:displayName></AttributeValue>
　<AttributeType>telephoneNumber</AttributeType>
　<AttributeValue><rm:telephoneNumber>123-456-789</rm:telephoneNumber></AttributeValue>
</PartialAttribute>


このように各社さまざまなアプローチで製品としてはどんなデータが入るかわからない器の実装をしているようです。

さて、最近はなかなか時間がとれなくて実験らしいことができていませんので、そろそろ久しぶりにFIMを触ってみようかと思います。Webサービス周りのアーキテクチャの整理もまだできていないので、そのあたりの整理もかねて。。。

SAP NetWeaver Identity Management事始め（アーキテクチャ整理）

仕事で触ることになりそうなので、SAPに買収された後のバージョンに初めて触れてみます。
最新バージョンは7.1なのですが、現状一般にリリースされた状態ではないのでとりあえず入手可能なバージョンということで7.0sp2をベースに考えてみます。
※7.1からフロントエンドがこれまでIIS+PHPで動いていたのが、NetWeaver AS上で動作する様になり、見た目もより”SAP”になったそうなので、7.1が入手できればそちらでも検証が必要になりそうです。

さて、現行の7.0というバージョンに関しては旧MaXware Identity Center（MIC）と殆ど変わらない、と考えておいて問題ないと思います。

まず、基本アーキテクチャですが、Identity Centerは以下のコンポーネントで構成されます。
・Identity Center database
　この製品の特徴が中央に統合されたアイデンティティストアを持つことです。このあたりがSunのVirutal Identityとは異なる点です。（IDストアを持つべきか、持たざるべきかについては色々と議論を呼ぶところかと思いますが、私個人としてはデータの加工の容易さなどの点でIDストアを持った方が楽だと思っています。実装屋の意見ですね・・・）
　話がそれましたが、SAP IdMではこのデータベースにプロビジョニングやワークフローのタスクやジョブそのもの、スケジュール情報、タスクの状態や差分情報、監査ログなども格納されます。
　ちなみにdatabaseエンジンとしてはSQL ServerもしくはOralceが使用されます。
・Runtime components
　メインはdispatcherとevent agentです。
　・runtime engine
　　実際の同期やプロビジョニングを行う単位をSAP IdMではジョブと呼びますが、このジョブを実行するのがruntime engineです。旧MaXware時代はこのruntime engine部分が別製品のData Synchronization Engine（通称DSE）として販売されており、単純な同期・プロビジョニングの要件だけならこちらで十分対応できました。
　・dispatcher
　　様々なイベントに応じて適切なジョブをruntime engineで実行するのがdispatcherです。
　・event agent
　　上記のdispatcherは基本的にバッチの仕組みなので、リアルタイム性に欠けます。そこで登場するのがこのevent agentです。
　　データベーストリガーやLDAPのchange logを使って変更を検知し、ある程度リアルタイムに属性同期やプロビジョニングを行います。
　　また、ジョブ実行のスケジューリングも行います。
・Workflow UI
　利用者向けのWebインターフェイスです。
　ユーザ登録、セルフサービス、パスワードリセット、承認タスクなどが実施できます。
・Monitoring UI
　管理者向けのWebインターフェイスです。
　システム状態のモニタリングや監査ログの取得などが実施できます。
・Management console
　Identity Centerの構成を行うためのMMCインターフェイスです。
　この画面で同期やプロビジョニング、ワークフローなどのタスクやジョブを構成します。















ちなみに最後のManagement Console以外はUNIXプラットフォーム上でも動作します。（Java版）

SAP NetWeaver Identity Management 7.1

SAPよりNetWeaver IdMの最新版が12月5日にリリースされるようです。
http://www.sap.com/japan/about/press/press.epx?pressid=10507

2007年5月にMaXware買収を発表してから1年半、買収直後のSAPブランドでのリリース（NetWeaver IdM7.0）からはたしてどのくらいの進化をしたのか・・・
※7.0はロゴをMaXwareからSAPに変えたくらいだったので。

さて、新機能は以下の通り。

1. システムに対し簡単なID配信を可能にする機能を強化
SAP ERP HCM、SAP GRC Access ControlなどのSAP製品やSAP NetWeaverポータルとのデータ連携を容易にするテンプレートを大幅に追加し、導入時における作業の低減、導入期間の短縮、それによるコスト削減が可能です。さらに、従来のユーザー情報、権限情報の管理から、権限情報の設定も可能となり、より統一されたID情報管理が可能となります。
　
2. SAP GRC Access Controlとの連携強化
最新版では、SAP NetWeaver IdMとSAP GRC ACで双方向に連携することができるようになり、職務分掌を実現するための、アプリケーション使用権限管理、リスク分析の機能を双方向で呼び出すことができます。
SAP GRC ACのSAPシステムに対するユーザー・権限管理機能と、SAP NetWeaver IdMのマルチベンダー環境への柔軟なユーザー・権限管理機能を包括的に利用することで、企業内に存在するITシステムのリスクを削減し、強固なセキュリティを実現します。
　
3. SAP ERP Human Capital Managementとの連携強化
企業内において、人事情報とシステムユーザー情報は社員IDと密接に関係しており、連動した管理の重要性が高まっております。従来人事情報の取得が全データ単位で行われていたのに対し、SAP NetWeaver IdMでは、人事異動など変更情報のみ取得することで、よりリアルタイムなID情報管理が可能になります。SAP ERP HCMとSAP NetWeaver IdMを包括的に利用することで異各システムに対し企業内の人事イベントに即した迅速なID情報提供が可能になります。


まぁ基本機能はMaXware時代にほぼ完成されていたと思うので、SAPが買収した意義を出すためにもERPベンダの得意技？であるテンプレートの強化（上記１）をしてきたんだと思いますが、はたして日本でどこまで使えるのか・・・（MaXware製品は良くも悪くもフレームワーク製品だったので”ある意味”何でも出来る製品でした）
後は、GRCなどのSAPコンポーネントとの連携については当然の流れでしょう。
この流れで他社のIdM製品とのSAPコンポーネント群との連携が非サポートになったりしなければ良いのですが。。。