两因素身份验证-使用SAP SSO 3.0

2020-08-16 18:37发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我已经配置了基于SAML的两因素身份验证。。SAP SFSF是服务提供商,SAP SSO3.0(内部)是我们的内部企业IDP。

流程就像SFSF-> IAS(代理模式)-> SAP SSO3.0

第一次身份验证是活动目录用户ID/密码

第二次身份验证是SMS OTP(由SMS网关生成)。

但是我更喜欢发送SMS OTP时,NWA页面屏幕应该仅显示OTP登录(而不是如下所示的用户名和密码)。 这该怎么做 ?

2fa-sso-page.jpg (61.2 kB)

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我已经配置了基于SAML的两因素身份验证。。SAP SFSF是服务提供商,SAP SSO3.0(内部)是我们的内部企业IDP。

流程就像SFSF-> IAS(代理模式)-> SAP SSO3.0

第一次身份验证是活动目录用户ID/密码

第二次身份验证是SMS OTP(由SMS网关生成)。

但是我更喜欢发送SMS OTP时,NWA页面屏幕应该仅显示OTP登录(而不是如下所示的用户名和密码)。 这该怎么做 ?

2fa-sso-page.jpg (61.2 kB)
付费偷看设置
发送
2条回答
三十六小时_GS
1楼-- · 2020-08-16 19:00

您可以更改NetWeaver AS JAVA随附的登录屏幕,以便显示不同的字段。 但是,我认为当您使用SAML时,当用户输入其AD凭据时会使用同一屏幕...

hongfeng1314
2楼-- · 2020-08-16 19:13

嗨,伊姆兰, 您只需在SAP IDP(AS Java)上启用SPNEGO,并使用基于Kerberos的SSO对您的Intranet和加入域的用户进行身份验证。 这样,TOTPLoginModule需要配置为第一个因素SPNEGOLoginModule,而第二个因素是需要应用程序或您的情况下SMS的OTP。 因此,您的用户不再需要通过U/P手动进行身份验证。

除此之外,您可以直接使用IAS进行相同的操作,并降低整个流程的复杂性。 这可能需要您将IAS连接到您的本地用户存储(例如Active Directory),这又需要通过OAuth将IAS连接到SCP租户。 然后使用连接服务和云连接器实例将LDAP隧道传输到您的AD。 SCP使用SCIM向IAS供应配置文件。

然后,您也可以使用基于风险的身份验证策略通过SAP Authentication 365在此处启用OTP(SAP Authenticator)和SMS。 这特别有意义,尤其是当您的SFSF用户从Internet连接时,因为您不再需要从Internet,反向代理,安全性,Lalala ...中获取本地IDP。 干杯柯尔特

一周热门 更多>