背景
项目需要对sap的网页端应用(如sap fiori WDA等)的访问支持免密登录。
在PC端,一般使用AD域集成单点登录实现免密登录。在移动端单点登录实现相对较为复杂,需要额外的产品支持。而移动端更多的场景是第三方认证登录,比如企微和钉钉。
分析
查询资料,翻阅官方文档,咨询basis顾问,sap fiori暂不支持基于oauth2.0的第三方认证登录的,此处提供一种曲线实现第三方网页登录的实现方式。
第一种方式
从需求来讲,一般使用第三方网页登录针对的是单个网页,所以对SAP账号的标准功能依赖度不是很高,可以通过代码逻辑处理。基于这种思路,使用预先设置登录数据的fiori应用页面,在页面打开时调用后端接口进行认证,认证成功则返回对应的账号,认证失败,则跳转错误页面,或者认证登录页面。
需要注意
1. 区分第三方跳转和磁贴点击。
2. 免登录页面登录验证需要优先其它标准登录验证,保证正常登录验证
3. 考虑账号硬代码逻辑,避免使用免登录账号跳过认证校验
4. 其它关于账号的安全,比如后端记录验证账号,防止接口篡改
第二种方式
通过已设置免登录的BSP应用程序或者ICF接口处理认证部分。如果认证成功,获取账号后重置密码,重定向到一个新的BSP应用程序并将账号密码拼接在url参数中完成ICF服务登录(隐藏账密),最后再次重定向到最终页面。如果认证失败直接跳转登录页面。
需要注意
1. 需要考虑中间cookie安全性问题导致的登录失败
2. 中间跳转过程中的账密安全性
3. 密码为临时密码,不再支持直接账密登录
参考
SAP Fiori 应用程序的 SSO 机制
OAuth 身份验证
用户身份验证和单点登录
SAML和OAuth2这两种SSO协议的区别
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
