如何控制对云应用程序的访问?
对现有风险非常谨慎,您拒绝从公司网络外部访问,或者非常自由,您允许从任何地方访问?
您是否愿意为不同的用户、不同的应用程序以及用户尝试访问受保护应用程序的网络设置不同的规则?
如果是,那么SAP HANA云平台身份认证(简称身份认证)可以为您提供定义认证规则的灵活性,物联网时代,根据您的具体业务需求定制。
让我们仔细看看可用于配置基于风险的身份验证的选项和变体。
使用基于风险的身份验证,您可以根据以下因素为每个应用程序设置不同的规则:
1。认证用户的用户组成员:
一、云用户组,在身份认证服务
或
二中定义。内部用户组(例如LDAP用户组、SAP NetWeaver作为UME组或ABAP角色作为UME组),如果您使用的是公司用户存储方案(针对内部用户存储的身份验证(LDAP、SAP NW作为JAVA、SAP NW作为ABAP)。
2。用户登录应用程序的网络IP范围
对于这些因素的组合,您可以定义要执行的操作:
允许访问强制双因素身份验证拒绝访问
规则集是按优先级执行的,大数据是啥,如果不满足定义规则的任何条件,则将执行默认操作。
在本博客中,您可以找到定义的四种不同的基于风险的身份验证规则集的四个示例:
对于需要更高级别保护的应用程序,您可以设置提示所有用户提供在移动设备上生成的一次性密码(代码)(SAP Authenticator–iOS、Android和Windows或任何与RFC 6238兼容的Authenticator应用程序上提供)
以下是您需要采取的步骤:
先决条件:
1。您已经添加了应用程序并配置了应用程序(SP)和身份验证(SAML IDP)之间的信任。有关SAP HCP应用程序–请参阅此处
2。您拥有启用"管理应用程序"角色的身份验证服务管理员帐户
步骤:
1。转到Identity Authentication service管理控制台中的应用程序–导航到https://。accounts.ondemand.com/admin/并使用管理员凭据登录
2。在左侧菜单中,进入"应用程序和资源"->"应用程序"
3。从左侧的申请列表
4中选择您的申请。导航至"身份验证和访问"选项卡
5。选择"基于风险的认证"
6。将默认操作从"允许"更改为"双因素身份验证",然后单击"保存"
最终用户的结果:
所有用户在登录应用程序时都会提示提供一次密码
按照上一示例中的步骤5进行操作,前提条件也相同。
定义以下内容规则:
第一条规则:允许从您公司网络的IP范围内进行访问。
第二条规则:对于云用户组"管理者"的任何成员,淘客工具,都需要双因素身份验证,通过将默认操作设置为"拒绝"
来拒绝对任何其他用户的访问规则按优先级顺序执行,数据分析工具有哪些,直到满足规则的条件为止。如果不满足所定义规则的任何条件,则执行默认操作。
一旦非云用户组"Manager"成员的用户尝试从公司网络外部访问应用程序,他们会得到以下消息:
找到更多关于云用户组的信息:
如何添加用户组
将用户组分配给用户
前提条件:
1。您已针对公司用户存储配置了身份验证(使用Microsoft Active Directory),另外请参阅此博客
2。您已经添加了应用程序并配置了应用程序(SP)和身份验证服务(SAML IDP)之间的信任。有关SAP HCP应用程序–请参阅此处
3。您有一个启用了"管理应用程序"角色的身份验证服务管理员帐户
步骤:
按照示例1中步骤5的所有步骤进行操作。
将所有用户分配到Microsoft Active Directory组(例如称为"MSAD Everyone"),以便使他们能够在您的云应用程序中进行身份验证并拒绝访问对于所有其他用户。
您可以为其他Microsoft Active Directory组定义其他更复杂的规则,例如:
管理员只能从公司网络中访问,并且需要提供两种身份验证方式(双因素身份验证)。公司网络之外的合作伙伴也需要使用双因素身份验证进行身份验证。此应用程序的所有用户应属于本地Microsoft Active Directory用户组-"MSAD Everyone"。对于所有其他用户,访问将被拒绝。
如果您已将身份验证服务的公司用户存储方案配置为针对SAP NetWeaver AS JAVA server进行身份验证,则可以为其他类型的本地用户组定义相同类型的规则-取决于不同的选项-UME组、用户组在作为UME组连接的多个LDAP目录或ABAP角色中,请参阅有关UME组的文档
步骤:
按照示例1中步骤5的所有步骤进行操作,前提条件也相同。
在应用程序上线之前,您可以通过设置默认操作"拒绝"
来拒绝对所有人的访问一旦您准备上线,您只需将默认操作更改为"允许"
