目次
はじめに
前回、S/4HANA Cloud Public EditionとEntra IDのシングルサインオンについて記載しましたが、運用保守担当がSAP Cloud Identity Services(CIS)に登録された特権ユーザでログインするニーズがあり、それを実現してしまうとそのアカウントが漏洩したときのリスクが大きいため、多要素認証を実装してみました。
CISによる認証において多要素認証を組み込むため、今回はCorporate Idpは関係ありません。また、S/4HANA Cloud Public Edition(S4HC)を対象としましたが、CISで認証を管理する他のSAPクラウドアプリケーションに対しても同様の手順で多要素認証を組み込めます。
設定手順
シングルサインオンを設定した状態ですが、CISによる認証も有効にします。"Allow users stored in Identity Authentication service to log on."にチェックを付けることで、CISによる認証が有効化されます。その下にCIS認証のためのURLが記載されています。運用保守担当者が特権IDでログインする場合にはこのURLにアクセスしますので、関係者への展開が必要です。
続いて、リスクベース認証の設定に移り、2要素認証を有効にして、Email OTP Codeを選択します。”TOTP"、”Web Authentication"も選択できますが、Emailでワンタイムパスワードが送られてくる方法がわかりやすいので、これを試します。
最小限の設定はこれだけです。先ほどの運用保守担当者用のURLへアクセスすると、通常のCIS認証画面が表示されます。
ここで認証情報を入力して、続行すると、次のように2要素認証のコードが求められます。
メールを送ったとの記載があるので、メールを確認してみると、
メール本文に記載された認証コードを入力して、続行すると、
S4HCへアクセスできます。
最後に
驚くほど簡単に2要素認証ができてしまいました。Emailの通知文言を編集したり、MS AuthenticatorやGoogle Authenticatorを使用したりすることも可能です。いろいろ試してみましたが、すべてとても簡易な手順でできました。これでセキュリティ強度を高められるのであればぜひ実装すべきです。特にクラウドサービスはどこからでもアクセス可能であるため、アクセス制御を入念に対応しましょう。
この記事をシェアする
