隨著企業(yè)的發(fā)展壯大，員工數(shù)量越來越多，業(yè)務(wù)系統(tǒng)數(shù)量也越來越多，同時(shí)伴隨著員工入/離職、調(diào)崗等情況不斷發(fā)生，企業(yè) IT 運(yùn)維承擔(dān)著巨大的壓力。主要體現(xiàn)在以下幾個方面：

1、IT 運(yùn)維成本高

企業(yè)內(nèi)部員工多、應(yīng)用多，員工入離職、調(diào)崗等頻繁發(fā)生。

（1）員工入職時(shí)，要在 OA 或者 HR 系統(tǒng)中加入新用戶，在相應(yīng)的業(yè)務(wù)系統(tǒng)中加入新用戶，并開啟對應(yīng)權(quán)限；反之亦然。

（2）當(dāng)員工從一個崗位調(diào)整到另外一個崗位，或者員工晉升時(shí)，需要調(diào)整其在相關(guān)業(yè)務(wù)系統(tǒng)中的角色或者刪除、添加對應(yīng)用戶。

在沒有自動化管理時(shí)，IT 運(yùn)維要手動做大量的工作，不僅消耗大量運(yùn)維成本，而且由于操作不及時(shí)、操作失誤等原因，都可能給企業(yè)的業(yè)務(wù)系統(tǒng)正常運(yùn)行和業(yè)務(wù)數(shù)據(jù)安全造成不良影響。

2、業(yè)務(wù)系統(tǒng)訪問存在風(fēng)險(xiǎn)

企業(yè)中業(yè)務(wù)系統(tǒng)繁多，有針對銷售的銷售管理系統(tǒng)（如 Salesforce、銷售易、紛享銷客），有針對開發(fā)的版本控制系統(tǒng)（如 Gitlab、JIRA、禪道），也有針對財(cái)務(wù)的財(cái)務(wù)管理軟件（如金蝶、用友）等等，不同部門或者不同角色的員工訪問的業(yè)務(wù)系統(tǒng)不同，同一應(yīng)用中可訪問的內(nèi)容范圍也不盡相同。如此復(fù)雜的權(quán)限管理規(guī)則，通過人工手動處理，出錯的幾率較高，一旦出錯重要業(yè)務(wù)數(shù)據(jù)泄露，會給企業(yè)造成較大的損失。

3、審計(jì)不夠方便

● 誰在什么時(shí)間訪問了什么業(yè)務(wù)系統(tǒng)？

● 誰審批了哪個用戶的哪方面的申請？

● 誰在什么時(shí)間往哪個業(yè)務(wù)系統(tǒng)添加/刪除了用戶？

● 誰在什么時(shí)間把哪個業(yè)務(wù)系統(tǒng)中的哪個用戶的權(quán)限做了變更？

......

這些審計(jì)信息分散在各個業(yè)務(wù)系統(tǒng)中，缺少一張全局的總表，增加審計(jì)工作量。

寧盾身份管理自動化方案思路

身份管理自動化方案基于寧盾 NDS 身份目錄服務(wù)進(jìn)行，

● 第一步：將企業(yè)內(nèi)現(xiàn)有的本地 AD 域身份、社交身份（企業(yè)微信/飛書/釘釘）、臨時(shí)身份（外包、供應(yīng)商）、云上身份（OKTA、Google）等連接打通，收攏起來統(tǒng)一集中管理。

● 第二步：根據(jù)規(guī)則、事件、任務(wù)三個策略將上游身份源內(nèi)的任何變動操作同步給下游應(yīng)用。HR/OA系統(tǒng)內(nèi)賬號新增、刪除、調(diào)整都會自動同步到下游應(yīng)用里。

● 第三步：再利用單點(diǎn)登錄對接企業(yè)內(nèi)各應(yīng)用系統(tǒng)后，實(shí)現(xiàn)員工憑借一個身份一次性訪問所有已授權(quán)的應(yīng)用，提高辦公效率。

方案組成

見下圖，主要包括三個模塊：通用目錄 Universal Directory（即NDS）、應(yīng)用 Applications、同步器 Synchronizer，分別負(fù)責(zé)統(tǒng)一身份管理、應(yīng)用接入和身份自動化。

那么，這三個模塊是怎么工作的？

場景一：業(yè)務(wù)系統(tǒng)初次接入

當(dāng)企業(yè)接入新的業(yè)務(wù)系統(tǒng)時(shí)，寧盾身份管理系統(tǒng)提供一鍵初始化功能，IT 運(yùn)維人員只要預(yù)先設(shè)置好同步規(guī)則，即可一鍵完成新業(yè)務(wù)系統(tǒng)的身份導(dǎo)入。

場景二：員工入職

某企業(yè)有一批新員工入職，其中有一些入職財(cái)務(wù)部門，一些入職研發(fā)部門。財(cái)務(wù)部門的員工需要用到金蝶財(cái)務(wù)系統(tǒng)和 OA 系統(tǒng)；研發(fā)部門的員工需要用到 Bitbucket 和 OA 系統(tǒng)。這三個系統(tǒng)的用戶字段各有不同，假設(shè)：

● OA系統(tǒng)需要name、mobile、email三個字段

● 金蝶系統(tǒng)需要 name、mobile 兩個字段

● Bitbucket需要 name、email 連個字段

那么，同步器的工作流程示意圖如下：

事件：

當(dāng)寧盾身份管理系統(tǒng)中新增用戶時(shí)，會觸發(fā) UserAdded 事件，當(dāng)該事件發(fā)生時(shí)，將會根據(jù)設(shè)定的規(guī)則向下游業(yè)務(wù)系統(tǒng)同步身份數(shù)據(jù)。

規(guī)則：

如下表所示，每個業(yè)務(wù)系統(tǒng)配置自己的同步范圍和字段。

業(yè)務(wù)系統(tǒng)同步范圍同步字段OA系統(tǒng)
財(cái)務(wù)部門、研發(fā)部門name、mobile、email金蝶系統(tǒng)財(cái)務(wù)部門name、mobileBitbucket研發(fā)部門name、email

任務(wù)：本例為自動化執(zhí)行任務(wù)

每添加一個用戶將觸發(fā)一個任務(wù)，一個任務(wù)包含1~N個task item。本例中的任務(wù)只包含一個task item（“添加用戶組”事件，且用戶組中有多個用戶時(shí)，觸發(fā)的任務(wù)將包含多個task item）。

任務(wù)模塊支持查看 task 及 task item 的執(zhí)行狀態(tài)、執(zhí)行結(jié)果，支持對失敗的 task item 單條/批量重新執(zhí)行。

場景三：員工申請業(yè)務(wù)系統(tǒng)使用權(quán)限

員工A需要使用業(yè)務(wù)系統(tǒng)A，但是目前沒有權(quán)限。TA 在門戶網(wǎng)站提出申請，申請后觸發(fā)“應(yīng)用申請”事件，該事件將會觸發(fā)一個“審批執(zhí)行任務(wù)”，該任務(wù)不會立即執(zhí)行，當(dāng)管理員審批通過后，執(zhí)行該事件，為員工A分配業(yè)務(wù)系統(tǒng)A的訪問權(quán)限。

單點(diǎn)登錄 SSO

單點(diǎn)登錄功能提供業(yè)務(wù)系統(tǒng)統(tǒng)一登錄門戶以及多種登錄方式，管理員在管理后臺根據(jù)企業(yè)需要選擇合適的登錄方式。

單點(diǎn)登錄SSO門戶

登錄門戶登錄方式可選

用戶名密碼登錄方式，可以開啟雙因素認(rèn)證，在靜態(tài)密碼基礎(chǔ)上再多一步動態(tài)密碼驗(yàn)證，確保業(yè)務(wù)系統(tǒng)訪問安全。對于非常重要的業(yè)務(wù)系統(tǒng)，支持二次認(rèn)證，即在門戶中訪問該業(yè)務(wù)系統(tǒng)時(shí)需要再次輸入動態(tài)密碼。

此外，單點(diǎn)登錄門戶提供員工自服務(wù)能力：

● 支持員工自助修改賬號密碼；

● 支持員工自助注冊賬號：針對臨時(shí)工等特殊員工，支持自助注冊賬號，待管理員審批通過后，注冊成功；

● 支持員工自助申請應(yīng)用：員工可以申請使用某個沒有權(quán)限的應(yīng)用，待管理員審批通過后，可以使用。

應(yīng)用集成 1000+

寧盾目前已經(jīng)集成1000+應(yīng)用，且仍在持續(xù)集成中。寧盾支持對接 SAML2.0、OAuth2.0、OIDC 等標(biāo)準(zhǔn)協(xié)議的商用軟件；支持以寧盾自研 EasySSO 協(xié)議對接企業(yè)的自研應(yīng)用，對接簡單、使用安全；支持以表單代填方式對接無法改造的老舊應(yīng)用。下面截圖是一部分目前已經(jīng)對接的應(yīng)用。

日志&報(bào)表

寧盾身份管理系統(tǒng)提供豐富的日志和報(bào)表，為審計(jì)人員提供合規(guī)性報(bào)告。包括：管理員操作日志、應(yīng)用訪問日志、登錄認(rèn)證日志、應(yīng)用權(quán)限一覽表等。在寧盾系統(tǒng)中可以總覽企業(yè)所有業(yè)務(wù)系統(tǒng)的權(quán)限、訪問信息等審計(jì)數(shù)據(jù)。

在實(shí)現(xiàn)身份管理的基礎(chǔ)上，一些安全廠商不斷為其產(chǎn)品整合擴(kuò)展更多能力。以上這些問題也是 IGA（ Identity Governance and Administration）身份治理和管理所要解決的方向。Gartner 認(rèn)為 IGA 不僅可以證明身份治理的合規(guī)性，也支持持續(xù)為權(quán)限管理安全保駕護(hù)航，以確保數(shù)字身份沒有錯誤地配置訪問權(quán)限，保證訪問速度與準(zhǔn)確性。

身份治理和管理（IGA）是一種基于策略的身份管理和訪問控制方法，可以有效地降低風(fēng)險(xiǎn)，并改進(jìn)整個組織范圍內(nèi)的合規(guī)性。理解 IGA 首先要分別理解這兩個部分——身份治理和身份管理。前者涉及到職責(zé)、角色管理、日志記錄、分析和報(bào)告的分離。后者涉及憑據(jù)和帳戶管理、設(shè)備和用戶配置和取消配置，以及權(quán)限管理。

寧盾身份管理方案正是 IGA 產(chǎn)品能力的體現(xiàn)，如需要了解更多細(xì)節(jié)，可以點(diǎn)擊在線咨詢申請?jiān)囉谩?br/>

（本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）