1. IAS  S4HC 登录认证概述

IAS SAP Cloud Platform Identity Authentication service [i] , SCP 的一项云服务,预置了用户管理、多重认证、单点登录等功能。在IAS的管理界面,可以通过配置方式设置关联系统/应用的登录方式。

S/4 HANA Cloud (以下简称S4HC)作为一个多租户的云产品,SAP在交付系统时默认配置 基于SAML 2.0 的单点登录认证,即将IAS 的用户名和S4HC 用户名在IAS管理平台进行关联后,用户即可通过 IAS 的用户名 登录S4HC系统。

如果同时部署了 SAC SuccessFactor 等其他系统时,同样可以关联到IAS 用户,使用IAS 用户名同时登陆多个不同的系统。

1.1 IAS 的双重登录认证

IAS 支持单点登录, 社交账号登录,组织账号登录,双重认证等常见登录认证方式,其中双重认证登录包括以下两种方式:

-       基于TOTP 动态口令登录[ii], APP验证码登录,该方式为IAS的内置功能,无需额外订阅。

-       基于SMS 动态口令登录,即短信验证码登录,该方式需使用SAP Authentication 365 [iii]服务,需额外订阅。

本文主要介绍第1种方式 TOTP 验证登录的设置方式及应用示例。

 

2      启用TOTP 双重登录认证

IAS 启用TOTP 双重登录认证设置较为简单,在IAS管理平台将对应系统/应用的认证规则设置为 TOTP 双重认证即可

3      应用示例

3.1   在移动设备安装Authenticator APP

TOTP 作为一项通用的算法标准,使用各类身份验证器APP 均可生成验证码,这里以Google Authenticator 为例 APP无需联网),下载安装Google Authenticator APP到移动设备。

3.2   双重认证-用户名认证

打开S4HC登录界面,首先使用用户名、密码登录(非验证码)。

3.3   双重认证-验证码认证

1)用户首次登录时,会进入如下界面

2)在移动设备打开 Google Authenticator

    使用以下两种方式添加账号均可

a.     扫码功能扫描认证界面的二维码

b.     手动输入认证界面的Secret Key

添加账号后,APP 即会显示算法当前计算出来的验证码,将验证码填入认证界面即可,验证码正确时即可进入系统主页。

 

    

   

 

3) 再次登录时,系统不再显示扫码界面,直接输入APP上的验证码即可。

 

3.4   设备重置

由于扫码添加账号的界面只在首次登录时显示,如果要更换移动设备或使用其他APP等情况下,需要在IAS 平台针对用户取消激活双重认证。取消激活后,使用该用户再次登录S4HC系统时,即会跳转到扫码添加账号界面。

设置方式如下图所示。