"我们决定聘请德国IT安全专家科比尔,因为他们非常出色满足我们对安全性、灵活性和可用性的高期望。"
ING DiBa互联网银行部门负责人Sonja Vollrath
SAP Cloud Platform SDK for iOS允许对访问SAP云平台(以前称为"HANA云平台"-HCP)的iOS应用程序进行非常简单的开发,例如使用OData服务。通过使用SDK助手,返现app,发发淘客神器,只需要基本的应用程序开发知识就可以按照苹果的iOS设计准则构建一个功能性的iOS应用程序。例如,只需让SDK助手为您生成适当的应用程序代码,您就可以创建一个应用程序,该应用程序向HCP进行身份验证并显示OData结构的列表,好评返现,而无需编写一行代码。当然,生成的代码可以根据具体要求进行扩展和修改。
在移动应用程序场景中,最终用户身份验证是一项关键任务,尤其是当应用程序需要处理公司网络之外的敏感数据时,例如财务、员工或医疗保健数据。在许多情况下,此类数据的处理受法律和合规规则的管制,例如必须遵循欧洲银行业管理局(EBA)PSD2指南的金融支付交易。处理敏感数据时的一个常见要求是强双因素身份验证(2FA),例如,取决于因素"知识"(你知道的东西)和独立因素"占有"(你拥有的东西)。例如,密码或PIN码是"你知道的东西"。
让我们看看在SAP云平台SDK上构建的iOS应用程序是如何进行用户身份验证的。详细信息可以在SDK文档"22–SAML和OAuth2"中找到身份验证.pdf"这解释了使用用户身份验证SAP ID Service或SAP CloudIdentity(SAML和/或OAuth身份验证)时的SDK配置。下面两个图显示了如何通过扩展iOS"URLSession"类来隐式支持SAML或OAuth2协议来完成集成。这样的扩展类可用于从HCP无缝检索OData,而无需应用程序开发人员关心用户名/密码对话框或实现身份提供程序协议,如SAML(也称为"基于表单的身份验证")或OAuth2:
图:在SAP云平台SDK中使用SAP CloudIdentity的SAML身份验证对于iOS
图:在SAP Cloud Platform SDK for iOS中使用SAP CloudIdentity的Oauth2授权
在这两种情况下,iOS WebView对象用于检索最终用户的凭据,例如他或她的SAP用户ID和密码,该用户ID和密码隐式用于获取SAML令牌或Oauth2令牌以备将来访问。
显然,用户名和密码只是"知识"类型的一个因素。但由于这些凭证可以在许多设备上使用,最终也会被窃取(通过使用键盘记录程序进行网络钓鱼或在进入时查看受害者的肩膀)。因此,这里没有提供独立的"占有"因素,需要强双因素身份验证的应用场景需要应用一些额外的安全层。换句话说,如果攻击者在另一个移动设备上运行该应用程序,并在那里输入相同的用户名和密码,系统将无法区分真正的用户和攻击者。这种"钓鱼"攻击非常常见。
典型的双因素身份验证解决方案附带硬件OTP令牌或软件OTP令牌应用程序,这些应用程序生成"一次性密码"(OTP),需要与用户名和密码一起输入,并且只在有限的时间内有效。这引入了"占有"因素,因为只有这样的硬件令牌或这样的OTP令牌应用程序的所有者才能登录。然而,这会对最终用户体验产生巨大影响,例如,随身携带硬件令牌或在业务应用程序和OTP令牌应用程序之间切换。此外,基于软件的OTP token应用程序通常没有很好的防复制或黑客攻击保护,因此"占有"因素也很容易被规避,从而导致用户身份验证较弱,而不是较强的2因素身份验证。
图:OTP Hardware token(KOBIL SecOVID)和SAP Authenticator app(software OTP)
此现在,SAP PartnerEdge开放生态系统的官方成员KOBIL利用强大的双因素身份验证机制扩展了SAP Cloud Platform SDK for iOS,例如引入第二个独立因素"占有",将用户的数字身份绑定到其个人移动设备上。这样可以避免在另一个具有相同用户凭据的设备上使用该应用程序,因为如果没有在第二个设备上正确激活,该应用程序将无法在第二个设备上运行。从可用性的角度来看,最终用户只需要面对他或她已经知道的PIN/密码/密码输入,什么大数据,大数据中心,因此没有必要训练他或她去处理不同的OTP令牌或OTP应用程序,或者让用户感到恼火。KOBIL security SDK在后台无声地引入了第二个因素"占有",即使是非常熟练的攻击也能抵挡住。
将KOBIL技术应用到使用SAP Cloud Platform SDK for iOS的应用程序中非常简单,只需将KOBIL security SDK添加到使用SAP Cloud Platform SDK for iOS构建的应用程序项目中即可。KOBIL security SDK建立了到KOBIL"智能安全管理服务器"的第二个网络连接,即所谓的"Digitanium通道",通过该通道在线检查一组安全参数,然后在此特定移动设备上对最终用户的数字身份进行加密解锁。这还包括检查所谓的"设备绑定参数",它类似于每个移动设备的唯一指纹。只有当此"设备绑定参数"与参考值匹配时,数字标识才会被KOBIL security SDK解锁,并可进一步用于身份验证(与SAP CloudIdentity或SAP ID服务集成)或生成数字签名。
