在2020年2月6日星期四，我们举办了最新的客户数据云网络研讨会，重点讨论了如何利用新的浏览器安全流程。会议的主持人是：

Ratul Shah–SAP客户数据云高级产品营销经理Fred Gasse–SAP客户数据云全球业务主管Stephen Purvis–SAP客户数据云产品专家Julien Goulley–SAP Customer Data Cloud技术架构师

在网络研讨会上，我们讨论了如何利用客户数据云使用安全规则保护用户数据，以及如何利用SSO功能，同时确保透明度和满足数据隐私协议。

如果您未能参加实时会话，您可以找到此处链接到记录。

Ratul和Fred讨论了数据隐私的重要性，描述了可用于确保受信任用户访问数据和应用程序的客户数据云功能，最后强调了WebKit跟踪预防策略是如何设计的，以防止跨站点跟踪，从而为客户提供完全控制避免第三方应用程序误用数据。

本博客文章将解释如何通过定义密码策略和基于风险的身份验证规则来加强安全性，并结合新的浏览器安全流程来实现SSO。在本次网络研讨会期间，我们使用了在2019年8月的前一次网络研讨会上创建的网络研讨会演示网站。

身份验证安全

首先，需要注意的是，客户数据云安全地以散列形式存储密码，以避免暴露纯文本密码。但是，隐藏纯文本密码不足以保护用户数据。因此，必须能够定义密码策略以及身份验证安全措施。

客户数据云允许从控制台轻松配置密码策略。如果最终用户应用程序实现了屏幕集，那么表单（注册、密码更改）将做出相应的反应，什么叫云，无需进一步更改。

以下参数可用：

最小长度最小字符组：定义复杂性，返利折扣，即大写、数字、特殊字符正则表达式：允许更严格的密码策略定期更改密码禁止重复使用密码

这些参数可以在控制台的策略下的设置部分找到，如下面的屏幕截图所示。

基于风险的身份验证（RBA）

基于风险的身份验证提供了创建规则的能力，这些规则可以根据事件（登录失败，IP/设备/国家/地区更改）。

有两种规则：

全局规则：这些规则适用于所有登录尝试基于帐户的规则：这些规则由管理员或最终用户应用于帐户，具体取决于帐户规则集覆盖设置

在构建规则时，大数据的前景，您需要定义两个部分：

这些规则可以在RBA部分下的控制台中创建：

CAPTCHA的设计是为了确保身份验证不会由机器人执行。如果在登录过程中触发了验证码，最终用户将需要运行验证码过程（即单击"我不是机器人"和/或选择适当的图片）以完成身份验证。

请注意，当前在登录过程中仅支持reCaptcha v2。另请注意，不可见的reCaptcha可用于注册，但这不需要RBA规则。

TFA是一种附加的验证方法，它依赖于已注册电子邮件、移动电话号码或移动设备的所有权来完成身份验证。

为TFA创建规则时，您需要提供完成验证所需的最低级别：

级别10：这是最低级别。一旦用户输入通过电子邮件发送给他们的6位代码，验证就完成了等级20：这是中级，有多种选择：通过短信发送的6位代码通过语音通话传输的6位代码由验证器应用程序生成的6位代码30级：这是最高级别。不再发送代码，而是在注册的移动设备上触发推送通知；最终用户可以通过单击按钮批准请求。更多的实现细节可以在开发者.gigya.com地点。请注意，推送通知只能与专用的移动应用程序一起使用。

这些不同的选项也可以从客户数据云控制台中设置，如下面的屏幕截图所示：

中央登录域

在下面的示例中，我们将想象我们正在与管理餐饮的客户一起工作。客户有两个品牌-Eatery和开胃菜-其目的是允许两个品牌之间的SSO，大数据产业，因此Eatery的消费者也将是开胃菜的消费者。

在任何一个品牌注册时，必须明确告知消费者他们也在另一个品牌注册，因为他们是一个品牌的一部分唯一SSO组。拥有一个中央登录页面，可以提供清晰的消息，同时满足智能跟踪预防规范。

下面是设置的说明。

当用户尝试登录到webinar.eatery.com或者开胃菜网站, 应用程序重定向到网络研讨会.cdcsso.com.

然后用户登陆中央登录页面：

中央登录页面的实现包括：

结论

这结束了我们分享如何建立一个安全的认证过程，同时确保数据隐私和透明度的博客文章。我们提供了配置密码策略、基于风险的身份验证规则和中央登录页面的步骤。

网络研讨会注册：