1. IAS 与 S4HC 登录认证概述

IAS 即SAP Cloud Platform Identity Authentication service [i] , SCP 的一项云服务，预置了用户管理、多重认证、单点登录等功能。在IAS的管理界面，可以通过配置方式设置关联系统/应用的登录方式。

S/4 HANA Cloud (以下简称S4HC)作为一个多租户的云产品，SAP在交付系统时默认配置 基于SAML 2.0 的单点登录认证，即将IAS 的用户名和S4HC 用户名在IAS管理平台进行关联后，用户即可通过 IAS 的用户名 登录S4HC系统。

如果同时部署了 SAC 、 SuccessFactor 等其他系统时，同样可以关联到IAS 用户，使用IAS 用户名同时登陆多个不同的系统。

1.1 IAS 的双重登录认证

IAS 支持单点登录, 社交账号登录，组织账号登录，双重认证等常见登录认证方式，其中双重认证登录包括以下两种方式：

- 基于TOTP的 动态口令登录[ii], APP验证码登录，该方式为IAS的内置功能，无需额外订阅。

- 基于SMS 的 动态口令登录，即短信验证码登录，该方式需使用SAP Authentication 365 [iii]服务，需额外订阅。

本文主要介绍第1种方式 即 TOTP 验证登录的设置方式及应用示例。

2 启用TOTP 双重登录认证

IAS 启用TOTP 双重登录认证设置较为简单，在IAS管理平台将对应系统/应用的认证规则设置为 TOTP 双重认证即可

3 应用示例

3.1 在移动设备安装Authenticator APP

TOTP 作为一项通用的算法标准，使用各类身份验证器APP 均可生成验证码，这里以Google Authenticator 为例 （APP无需联网），下载安装Google Authenticator APP到移动设备。

3.2 双重认证-用户名认证

打开S4HC登录界面，首先使用用户名、密码登录（非验证码）。

3.3 双重认证-验证码认证

1）用户首次登录时，会进入如下界面

2）在移动设备打开 Google Authenticator

使用以下两种方式添加账号均可

a. 扫码功能扫描认证界面的二维码

b. 手动输入认证界面的Secret Key

添加账号后，APP 即会显示算法当前计算出来的验证码，将验证码填入认证界面即可，验证码正确时即可进入系统主页。

3) 再次登录时，系统不再显示扫码界面，直接输入APP上的验证码即可。

3.4 设备重置

由于扫码添加账号的界面只在首次登录时显示，如果要更换移动设备或使用其他APP等情况下，需要在IAS 平台针对用户取消激活双重认证。取消激活后，使用该用户再次登录S4HC系统时，即会跳转到扫码添加账号界面。

设置方式如下图所示。