このブログでは、SAP Build Work Zone, advanced versionのセットアップの流れをStep by Stepでご紹介します。本ブログでは、こちらの英語のブログの内容をもとに、2023年2月に検証した実際の結果も踏まえ補足説明を加えながら、日本語でご紹介します。

2022年度のTechEdで、BTPサービス内のWork ZoneのSAP Build Work Zoneへのブランド変更および機能強化を行うとの発表がありました。Build Work Zoneの活用メリットは、「魅力的なビジネスサイトを簡単に構築・設計し、生産性を向上させる」というポイントだけでなく以下のように様々あります。

• SAPアプリケーション、プロセス、サービスを利用するユーザーとチームの効率・生産性向上
• 各事業部門がビジネスポータルを簡単に構築できる（IT部門に頼らずにコンテンツ作成・情報公開ができる）
• ポータルにより従業員同士で双方向なやり取りができ、モチベーション向上やコミュニティ形成を実現
• 企業全体で活発な知識共有を促進
• システム導入直後から、直感的で優れたオンボーディングと学習体験を提供

活用前にはサービスをどのように有効化するのか、どのような前提条件/サービスが必要なのかを理解することも大切です。このブログでは、SAP Build Work Zone, advanced editionを有効化する方法について説明します。

有効化の流れ

1. BTP の Global Adminの割り当てを確認
2. BTPサブアカウントの作成とSAP Cloud Identity Serviceの有効化
3. IASとBTPサブアカウントの間のTrust Configurationを実施
4. (重要)ブースター”SAP Build Work Zone Advanced Edition”の実施
5. Post Booster Configuration (ブースター実施後の設定)
6. (重要)IASとIPSの設定とコンフィギュレーターの実行
7. よくある問題/トラブルシューティング

現時点で各ステップの内容がよく理解できなくて大丈夫です。各ポイントを詳しく説明しますが、特に4. ブースターの実施と6. IASとIPSの設定とコンフィギュレーターの実行の設定が重要です。

※このブログでは、新規SAP Build Work Zone, advanced editionの初期セットアップのシナリオには対応していますが、既存のJAMからの移行およびSAP SuccessFactors WorkZoneの初期セットアップのシナリオには対応していませんのでご注意ください。

SAP Build Work Zone, advanced versionのセットアップに関する公式ドキュメントはこちらです。体系的に流れがまとめられていますが、英語かつ文章での説明のため、少しわかりにくいところがあります。

本ブログでは、スクリーンショットや事前にすべき設定を含め、日本語でより詳細に各手順を説明します。2023年2月時点で以下のステップで進めていくことで有効化ができることを確認しています。

1. SAP Business Technology Platform の Global Admin Role の割り当てを確認

初期セットアップで後続のタスクを実行していくには、SAP BTP Global Administrator Roleが必要です。Global Administrator Roleがない場合は、社内のIT管理者に連絡してください。

2. サブアカウントの作成とSAP Cloud Identity Serviceの有効化

新しいグローバルアカウントでのセットアップをする場合には、新しいサブアカウントの作成とSAP Cloud Identity Servicesの有効化を行います。既存のサブアカウントまたは有効化された SAP Cloud Identity Service がある場合は、作成/有効化手順 (a および b) を省略して進めてください。

a. SAP BTP Cockpitにログインし、新規サブアカウントを作成

BTP Account Explorerページから「Create」をクリック→「Subaccount」を選択します。

画像1

ここでは、画像2のようにサブアカウントを作成するための詳細を入力します。

データセンターは、SAP Work Zoneがサポートされているデータセンターの中から選択してください。SAPヘルプページ(Prerequisites/Create a. Subaccount内の表)では、各シナリオにおいて対応しているデータセンターを示しています。

このデモではEurope-Frankfurt(eu10)を選択し、サブドメインは自動入力された値のままにしています。サブドメインの値は、一度サブアカウントが作成されてしまうと編集できなくなります。お客様固有の識別可能なドメイン名に変える必要がある場合は、ここで必ず修正してください。

画像2

新しいサブアカウントが作成されます。新しいサブアカウントを作成すると、デフォルトでは作成者がサブアカウント管理者として割り当てられます。サブアカウントをクリックして開きます。

画像3

b. SAP Cloud Identity Service の有効化

先に述べたように、すでに有効化された SAP Cloud Identity サービスがある場合は、このステップを省略して次のステップに進んでください。

注：SAP Cloud Identity Serviceは、SAPとのプラットフォーム契約全体の一部として含まれるサービスであり、有効化時に追加料金が発生することはありません。 詳細については、「SAP Identity Authentication – テナントモデルとライセンス」を参照することができます。

サービスを有効化するには、サブアカウントで「Services」→「Service Marketplace」→「Cloud Identity Services」→「Create」をクリックします。

画像4

補足画像1

サービスオプションはデフォルトでSAP Cloud Identity Serviceが選択されているはずですが、そうでない場合は「SAP Cloud Identity Service」を選択→サービスプラン「default」を選択して「Next」をクリックします。

補足画像2

サービスタイプをTEST（本番環境でない場合を想定しています）と選択して「Next」をクリック→「Create」をクリックします。これでSAP Cloud Identity Servicesが有効化され、アクセスできるようになります。

c. SAP Cloud Identity Services へのアクセス

BTP Cockpitへアクセスし、サブアカウント内で「Services」 -> 「Instances and Subscription」 -> 「SAP Cloud Identity Services」をクリックします。

画像5

これで、SAP Identity Provisioning Service（通称 IPS) と SAP Identity Authorization Services（通称 IAS) が起動するはずです。IPSとIASの機能を詳しく知りたい方は、こちらのブログ(英語)をご覧ください。

画像6

IAS/IPS テナントの URL パターン： https://<tenantid>.accounts.ondemand.com/admin/

(※IAS/IPSテナントのURLおよびデザインが2023年2月移行変更されています。これ以降のIAS/IPS設定のキャプチャ画面において、旧デザインのキャプチャのまま一部差し替えていない画面もありますが基本機能は変わっていません。)

IAS管理者を他にも追加する場合は「Users & Authorizations」→「Administrators」をクリックし、ユーザーを追加してください。

画像7

※ 既存の Identity Service がある場合、IDP/IAS リンクを見つける必要がある場合があります。BTP アカウントで内部的に確認するか、SAP Cloud Identity Services – Tenants のリンクをクリックすると、組織で有効なすべての IAS および IPS サービスが一覧表示されます。

IAS・IPSへの管理者アクセス権を取得したら後続フェーズの事前準備が完了です。

3. SAP Identity Service – Identity AuthenticationとBTP Subaccountの間のTrust Configurationを実施

a. SAP Cloud Identity サービスと SAP BTP サブアカウント間の Trust を確立/構成する。

サブアカウントWorkZoneBlogSetupに戻り、「Security」をクリック → 「Trust Configuration」をクリックしましょう。

Trust Configurationでは、ID管理サービスとサブアカウント間のTrust(信頼関係)を確立し、既存のユーザーベースをセキュリティに利用するのに役立ちます。Trust Configurationの概念に関しては、こちらの公式ドキュメントで詳しく説明しています。

Trust Configurationの方法は二つあります。

• まず、IAS とサブアカウント間のTrustを初めて設定する場合は、
  システム間で SAML メタデータを手動でエクスポートすることがお勧めです。
  • [BTP Cockpit]
    BTP subaccount -> Security -> Trust Configuration -> SAML Metadata -> XML file downloads をクリックし、ローカルにSAMLファイルをダウンロードします。

画像8

• • [IASテナント]
    IASサービスに移動→「Application & Resources」をクリック→「Applications」を選択→「Create」をクリック→表示名を入力（例では「SAP WorkZoneBlogSetup」と記入）→「Save」をクリックします。

画像8a

• • [IASテナント]
    作成したApplication（例：SAP WorkZoneBlogSetup）を選択→「SAML 2.0 configuration」を選択→「Define from Metadata」タブ内の「Browse」をクリックし、サブアカウントからダウンロードしたSAMLファイルを選択して→「Save」します。

画像8b

• • [IASテナント]次は反対にIASシステムからSAMLメタデータをダウンロードし、サブアカウントにインポートする必要があります。
    IASシステムで、「Application & Resources」をクリック→「Tenant Settings」をクリック→「SAML 2.0 Configuration」をクリック→「Down load Metadata File」をクリックします。

画像8c

• • [BTP Cockpit]このメタデータファイルをサブアカウントにインポートします。
    サブアカウントで「Security」をクリック→「Trust Configuration」をクリック→「New Trust Configuration」をクリック→新しいポップアップウィンドウで「Browse」をクリック→ダウンロードしたIASシステムメタデータファイルを選択し、名前（例：IAS-<ドメイン名>）を入力→「Save」します。

画像8d

• 2番目のオプションは、すでに異なるサブアカウントにおいてTrust Configurationが完了している場合に、最も簡単な方法があります。（画像8で参照）（1番目のオプションで実施している場合は、この章を飛ばしてください）
  • 「Establish Trust」ボタンをクリックして、新しいウィンドウが出てきたら、あなたがアクティブ化したIASサービスURLを選択し(複数の選択肢がある場合には上記のIAS /IPSのリンクを確認してください)、「Establish Trust」クリックすると設定が完了し、サブアカウントとIASサービス間の接続が可能になります。
  • 補足説明3

これで、サブアカウントからIdentity ServicesへのTrust（信頼関係）と、その逆のTrustの両方が確立されました。うまく行っている時には「Custom Identity Provider for Application」にCustom IAS tenantが表示されているはずです。

画像9

また、Custom IASテナントを利用するために、default IDPサービスをユーザー認証から停止する必要があります。Default identity Providerに割り当てられたEdit/Pencilアイコンをクリック（画像10）→「Available for User Logon」の選択を削除して設定を「Save」します。

IASシステムで設定されたTrustを確認するには、IASテナントのURLにアクセスし、「Application & Resources」→「Applications」→「Bundled Applications」の順にクリックし、先ほど作成したApplicationの画面で、Trustが正常に設定されているか確認することができます。

画像10

• もちろん手動で設定することも可能です。「BTP subaccount」→「Security」→「Trust Configuration」→SAMLメタデータをクリック→XMLファイルがダウンロードされ、SAP IASシステムにインポートすることができます。

次のステップに移る前に、OIDC 構成をいくつか変更する必要があります。IAS Systemに移動し、「Applications and Resources」をクリック→「Applications」をクリック→「Bundled Applications」でアプリケーションXSUAA_WorkZoneBlogSetupをクリック→「Assertion Attributes」をクリックします。

画像11

画像12のように詳細を修正します。画像の通りに大文字と小文字を区別してください。完了したら、「Save」します。なお、これ以外にAttributesが登録されている場合は、削除しても構いません。

画像12

上の画像のように戻るボタンをクリックし、次に「Default Attributes」をクリック→「Add」をクリック→画像13のように値を入力し、詳細を「Save」します。

Group：Workzone_User_Type_${type}

画像13

b. IASに新しいユーザーを追加する（オプション）：

Work Zoneにアクセスできる従業員を追加する必要がある場合は、IDP サービスに新しいユーザーを追加することができます。「Users & Authorizations」をクリック→「User Management」をクリック→「Add User 」で追加ができます。User Typeは必ずEmployeeを選択してください。

画像14

c. Identity Authentication サービスでグループを作成し、ユーザーを割り当てる：

ここで、Identity Authentication Services（IAS）にSAP Build Work Zone, advanced editionのユーザーグループを作成し、ユーザーを割り当てます。Work Zoneではユーザーグループに基づいて、ユーザーに権限が付与されます。

IASテナントを開き、「Users and Authorization」をクリック→「User Group」をクリック→「Create」をクリックして以下のユーザーグループを追加できます。
NameセクションとDisplay Nameに同じ値を入力し、「Create」をクリックしてユーザーグループを保存します。

画像15

次に、ユーザーグループ「Workzone_Admin」をクリックし、「Add」ボタンをクリックして、画像16に示すように、このロールを付与したいユーザーを選択します。
同じ手順を繰り返し、システムに以下7つのロールを作成します。

• Workzone_Admin
• Workzone_Area_Admin
• Workzone_Support_Admin
• Workzone_Page_Content_Admin
• Workzone_End_User
• Workzone_User_Type_public
• Workzone_Advanced_Theming

大文字と小文字は区別されますので、大文字と小文字を確認、表示名に同じ値が入力されていることを確認してください。

画像16

4. ブースター “SAP Build Work Zone, Advanced Edition “の実行

SAP BTP Boostersは、サブアカウントでサービスを有効化するのに役立ちます。これを行うには、「SAP BTP Global Account」 -> 「Boosters」を選択 -> 「Getting Started with SAP Build Work Zone, Advanced Edition」を検索して、クリックします。

画像17

「Start」ボタンをクリック→新しいポップアップ画面が表示されるので「Continue」をクリック→必要なコンポーネントが利用可能かどうかシステムが確認し、「Next」をクリックします。

画像18

Configure Subaccountのステップでは、Work Zoneのサービスを実行するサブアカウントを選択してください。OrgとSpaceは、Cloud Foundryのサービスを作成していないため、あらかじめ入力しておく必要がありますが、デフォルト値のままで「Next」をクリックしてください。

「Next」をクリックする前に、万が一Workflow Serviceが不要な場合は、Deleteして「Next」をクリックして下さい。

注）SAP Workflow Managementは2023年6月15日をもって提供終了する予定です。現在のサブスクリプション期間の終了まで利用可能ですが、6月15日以降は新たに契約できなくなります。Workflow Managementの機能は、現在SAP Build Process Automationで確認できます。

画像19

3番目のステップでは、Identity Servicesを取得します。Custom IDP URLが、上記のステップで行った設定と一致していることを確認してください（画像20）。
システムへのアクセスを必要とする追加の管理者と開発者を入力します。デフォルトでは、ログインしたユーザーには管理者と開発者の両方の役割が付与されます。「Next」をクリックします。

画像20

設定を確認し、「Finish」をクリックします。システムが自動で起動します。

画像21

これにより、サブアカウントで必要なサービスが有効になるはずです。
サブアカウントに移動して、これらのサービスの有効性を検証することができます。

5. Post Booster Configuration(ブースター実施後の設定)

とても重要な工程です。以下のステップでBTP CockpitからWork Zone, Advanced Editionにアクセスします。

•  SAP サブアカウント->「Services」をクリック→「Instances and Subscriptions」をクリック->「SAP Build Work Zone, Advanced Edition」をクリックして、アプリケーションに移動します。
• 新しいウィンドウで「Getting Started with SAP Build Work Zone, Advanced Edition」というポップアップが開くはずです。

画像22

• Configurator Wizard(Step 3)をクリックします。
• これにより、新しいウィンドウでSite Manager Configuratorが開きます
  （次のステップで必要になるため、このURLをメモしておいてください）。

URL構造は、一般的にWork Zoneのページに “dt “をつけています。私の場合、以下のようなURLになっています：

https://<subdomainname>.dt.workzone.cfapps.eu10.hana.ondemand.com/

「Settings」内の「 Identity Provisioning 」をクリックし、「Connect」をクリックします。

※2023年2月時点では、ここでエラーが出てもサービスが有効化できることが確認できています。もしエラーが解決しない場合は、後続のステップに進んでください。

画像23

6. (重要)IASとIPSの設定とコンフィギュレーターの実行

※ 既存のSAP Jamからのコンテンツ移行を行う場合は、ヘルプページの Step1に記載されている追加設定の詳細に従ってください。SAP Build Work Zone, advanced editionの新規セットアップを行う場合は、上記のStep1を飛ばして進めてください。

それではここで、BTP SubaccountにDestinationを作成する必要があります。

• [BTP Cockpit]
  サブアカウントに移動し、「Connectivity」-> 「Destinations」をクリックし、「Download Trust」をクリックすると、メタデータファイルがダウンロードされます。
  次のステップで必要になりますので、このメタデータファイルを保存しておいてください。

画像24

• [Work Zone Site Manager]
  画像22でStep 3に載っているサイトマネージャーURLに移動します。「Configurator」をクリックして以下のチェックボックスにチェックを入れましょう。
  • Prerequisites (configure Identity Authentication and trust)
  • You have run the booster in SAP BTP cockpit to automatically configure settings.
  • I want to create a new service instance.
    
    「Next」をクリックします。

画像25

補足説明3

• 「Next」をクリックすると、環境設定画面に切り替わります。SAP BTP cockpit – Destinations 画面からTrustをダウンロードしたことを確認し、「Trigger Setup」をクリックします。
• 成功のメッセージが表示されたら、「Step2」をクリックします。ここから少し複雑なのでしっかり各項目を確認して進めていきましょう。

i. 「Create an App in the Identity Authentication Using the Metadata that you download here」を選択し、メタデータファイルをダウンロードします。

画像26

IASサービスのURL（https://<tenantid>.accounts.ondemand.com/admin/）を開く→「Application and Resources」をクリック→「Applications」を選択→「Create」をクリック→画像27のように表示名を入力し、設定を保存してください。

画像27

画像27で新しく作成したアプリケーション(例：SAP WorkZoneBlogSetup DWS（DWS – Digital Workspace Service))を選択し、「SAML 2.0 Configuration」をクリックし、「Browse」をクリックして、画像28に示すようにダウンロードしたメタデータファイルをアップロードします。
詳細が自動入力されるので、「Save」をクリックします。

画像28

SAP WorkZoneBlogSetup DWSをクリックし、Subject Name Identifierオプションを検索し、Select a basic attributeの値をUser UUID/Global User IDに変更し、変更を「Save」します。

画像29

ii. 画像26に戻り、「Set Identity Authentication as a source system」を続行する。

前提条件として、まず、IASとIPSシステム間で通信するために、システムをTechnical Userとして作成する必要があります。(詳しくは、こちらの公式ドキュメントを参照してください)

IASサービス内の「Users & Authorizations」→「Administrators」をクリック→「Add」をクリックし、「System」を選択→システム表示名を入力すると、以下のようになります。

画像30

新しく作成したシステムユーザー、WorkZoneBlogSetup_Sys_Adminを選択 -> Secretsをクリック -> Addをクリック -> IASとIPS接続用のシステムユーザーのような短い説明を入力して保存 -> Client IDとClient Secretの値が表示されるはずですが、次のステップで必要になるため保存しておいてください。

これで、IPSテナントでソースシステムとターゲットシステムを設定する準備が整いました。

IPSサービスを開き（参考画像6）、「Source System」をクリックし、「Add」をクリックします。「Type」を「Identity Authentication」に選択し、システム名（IAS/IPS URL）を入力し、説明を入力して「Save」をクリックします。

画像31

詳細が保存されると、Customer Managed serviceの項目が表示されるので、作成した接続をクリック→Transformationをクリック→Editをクリックします。デフォルト値を変更する必要があります。

ソースコードをコピーするために、公式ドキュメントにアクセスし、設定プロセスのオプション2の「Identity Authentication service Source System Transformation (v2) – Code Sample」からソースコードをコピーし、Transformationsに貼り付け、新しいコードを保存してください。

画像32

次に、同じページの「プロパティ」タブをクリックし、「Edit」をクリックし、「Standard」タイプを追加します。このとき、大文字と小文字を区別しながら以下の必須値を入力します。

最終的には画像33のようになり、
大文字と小文字が区別されるようになっているはずです。

画像33

これで、Sourceシステムのセットアップは完了です。

iii. 次に、OAuthクライアントキーとクライアントシークレットを使用して、ターゲットシステムとしてSAP Build Work Zone, advanced editionを設定します（参考画像26）：

IPSテナント内で、Target Systemをクリック -> Addをクリック -> TypeをSAP Work Zone, Advanced Editionとして選択 -> 有効なSystem Nameを入力 -> Descriptionを入力 -> 前のステップで作成したSource Systemを選択 -> Saveをクリックします。

画像34

Target SystemでもTransformationとPropertiesの同様の設定を変更する必要があります。

新しく追加したTarget SystemのDWSWZBlogSetupをクリック→Transformationをクリック→Editをクリック→公式ドキュメントから新しいソースコードをコピーして「SAP Build Work Zone, advanced edition Target System Transformation – Code Sample」を検索してペースト→設定を「Save」します。

次に、Propertiesタブをクリックし、Standardフォーマットで以下の値を追加します。これを行うには、今度はWork Zone Site Managerからの詳細が必要です（画像26）：

最終的な値は以下のようになるはずです。

画像35

これでWork Zoneのセットアップは完了です。
次に、IPSテナントでソースシステムに戻り、「source system」をクリックし、「Jobs」をクリックし、「Read Job」の右側にある「Run now」をクリックしてください。

画像36

ジョブが正しく実行されたかどうかを確認するために「Job Logs」をクリックすると、「Success Message」が表示されるはずです。

画像37

IASテナントに戻り、DWSドメインをTrust Domainsとして追加する必要があります。IASテナント内で「Application and Resources」をクリックし、「Tenant Settings」を選択し、ワイルドカードエントリーとして*.ondemand.comを入力して、設定を「Save」します。

画像38

iv. これで、SAP Build Work Zone Site Managerで最後のステップを実行する準備が整いました。

Site ManagerのURLに戻る(画像26)→すべてのチェックボックスを選択し、Step 3をクリックします。

画像39

おめでとうございます！
これで「SAP Build Work Zone, Advanced Edition」を開くことができます。

画像40

これで、Work Zone の開発、ユーザーの追加などを始めることができます。
SAP Build Work Zoneの詳細については、公式ヘルプガイドのdevelopers.sap.comを参照することをお勧めします。

7. よくある問題／トラブルシューティング

• 大文字と小文字を区別して入力しましょう。一文字の違いで機能しないことがあります。
• Boosterが失敗した場合にはどの段階で失敗するのか確認してください。手動でのアプローチを続けることもできますので、ヘルプドキュメントを参照してください。手動でサービスを有効化し、Trust ConfigurationでRole Collection Mappingsを作成する必要があるかもしれません(Custom IAS tenant – Role Collection Mappings)
• ほとんどの間違いは、IASやIPSのコンフィギュレーション、変換コードのサンプルを入力する際のミス、プロパティの値などですので、まず確認してみましょう。
• エラーの詳細については、ジョブログのエラーメッセージを参照し、エラーの詳細については、失敗したエンティティを展開して確認してみてください。