在本博客中，我想讨论一些关于使用Alexa语音服务和SAP HCP保护Amazon Echo设备的问题。

让我来设置场景–您正在使用Amazon Echo设备创建语音接口。目前，您希望销售团队使用Echo设备从Hybris C4C检索客户信息，可能列出客户名单，然后从SAP S/4Hana获得一些内部订单（预算/费用）信息。

确认

感谢SAP APJ售前部的Murali Shanmugham和Nash Gajic提供亚马逊Echo设备。

关于保护Echo设备，您有什么选择？如何识别当前用户？

Echo设备不能像你的笔记本电脑一样锁定，例如Windows用户名/密码。它也不能用语音生物识别技术来验证用户身份，所以除非你把它收起来锁起来，任何有权访问它的人都可以与它进行交互。一般来说，在使用后将其存放起来是不切实际的。当您的办公桌上有一个支持语音的设备可以访问后端服务时，必须考虑到这一点，例如SAP业务应用程序，以及检索敏感信息。

对于我的用例，淘客网站，我考虑了Alexa可以访问的后端业务服务。在我的用例中，我公开只读服务。此外，外汇返现，我不公开严格保密的信息。未经授权的人使用设备检索信息的影响相对较低。但是如果我公开的写服务它本来是完全不同的。

现在您有几个选项来保护解决方案。第一个是使用OAuth，这样服务使用者在安装Alexa skill时必须有一个有效的帐户。Alexa和SAP HCP都支持OAuth。对于身份验证，我通过创建密码短语服务。这是一个在SAP HCP上运行的自定义java应用程序，在有限的时间内存储用户提供的短语。首次使用时，Alexa会提示用户提供密码短语。在随后的交互中，会检查密码短语的过期状态。如果密码短语已过期，则会提示用户进行身份验证再次提供正确的密码短语。

密码短语服务也由OAuth保护。如果管理员撤销该用户的OAuth访问令牌，密码服务无法进行身份验证。

我的意思是，淘客模板，你必须决定风险是什么，并采取适当的措施。

OTP

如果我想要更安全，我可以选择使用一次性pin（OTP）。例如，每次我使用设备时，好评返现卡，我都必须口头提供生成的OTP（发送到我的手机？）但在我看来，这就是交互模式崩溃的地方。如果我使用的是支持语音的设备，云零售，为什么我要从手机/网络浏览器中读取OTP？这不仅不方便，而且会冲淡使用语音设备的价值。也许在语音生物识别技术可用之前，最好使用传统的用户输入。只是我的想法，让我知道你的想法。

好的，因此，在本博客的其余部分，我将回顾一下我所做的以及我是如何做到的；尽管潜在的安全问题仍然存在。

允许使用oauth将Alexa skill与HCP链接。在Alexa skill kit开发者编辑器中启用帐户链接。授权和访问令牌uri来自HCP oauth设置页。

如下所示，链接帐户选项现在已启用。

之前可以启用该技能，用户需要通过SAP HCP Idm进行身份验证，然后授权Alexa使用该资源。

如果用户决定授权Alexa访问SAP资源，他们将获得确认屏幕

恭喜。您现在已将Alexa技能与SAP帐户链接。这确保我们现在知道访问我们的密码服务的用户确实有一个有效的SAP帐户。请参阅下面的简短视频。

密码服务是一个在HCP上运行的自定义java应用程序。它存储用户的密码，然后可以根据提供的密码对用户进行身份验证。您可以查看代码。我用的是弹簧靴，没什么特别的。GitHub上的代码

记住创建OAuth作用域。

大多数魔法发生在网站.xml。同样，这是标准的安全配置。

就是这样。下面是显示最终产品的视频。

利用可用的Alexa帐户链接和HCP oauth服务，可以轻松保护SAP商务服务。如果需要，您也可以根据您的要求实施额外的安全措施。但我希望我已经说明了一个情况，即您在使用此类设备时也应该考虑什么是适当和明智的。

感谢您的阅读，并享受您的HCP之旅。阳光明媚（但寒冷）的天气为您干杯墨尔本。

Nic

相当酷

当然你的威胁模型排除了房间里的大象，它通过亚马逊发送敏感数据，如你的凭证和客户数据…

优点。如前所述，可以通过实现类似"网守"模式的方式来保护凭据。

通过Amazon（或任何其他服务提供商）发送潜在的敏感数据……是的，另一个讨论。