嗨，马克，

我们通常通过取消用户管理中普通用户的密码登录来解决此问题。 因此，他们必须使用SSO，并且不能解决它。

只有非常特殊的帐户（技术管理员，支持人员等）会保留其密码。

关于此，Lutz

# p#

嗨，这是一些可行的方法：

1）在SAP AS上配置CBA（基于证书的身份验证），确保在ICM触发SAML登录之前将其处理完毕 （默认情况下是这种情况）。 在您信任根CA的同时，向SAP提供证书或让他们使用其证书。

2）在IDP端创建相应的SAP支持用户，并让SAP支持也使用SAML访问系统（如果基础架构允许）。

3）为您的服务创建SICF-Alias并自定义 允许您执行登录过程的顺序。 这样，SAP便可以使用其他服务（别名）访问您的系统。

阻止URL参数以强制MFA-我认为这不是一个好方法。 这应该以不同的方式解决，并且仍将允许少量用户继续使用基本身份验证或其他方法进行身份验证。 在将身份以及身份验证外包给外部IDP的意义上，访问治理应该找到思想上的考虑。 具体来说，这意味着最终用户都不再拥有密码，因此无法绕过安全身份验证，因为首先必须通过SAML获得证明。 与您用于访问系统的其他渠道相同，例如为DIAG和基于RFC的应用程序用户强制执行SNC和基于令牌的身份验证。

Cheers Carsten