某科技型企業(yè)成立于2009年，主要從事ICT基礎(chǔ)設(shè)施、云基礎(chǔ)架構(gòu)軟件研發(fā)和服務(wù)，通過(guò)提供最適合的技術(shù)，已為1萬(wàn)多家企業(yè)構(gòu)建復(fù)雜業(yè)務(wù)系統(tǒng)和應(yīng)用軟件。

該企業(yè)發(fā)展十分迅速，在去年成功上市。為了更好地提高企業(yè)經(jīng)營(yíng)管理效率，信息化建設(shè)也在近兩年逐步得到重視。但隨著業(yè)務(wù)系統(tǒng)和員工增多，導(dǎo)致賬號(hào)難以統(tǒng)一管理，運(yùn)維壓力大。該企業(yè)的IT負(fù)責(zé)人吳經(jīng)理找到寧盾，迫切需要一個(gè)統(tǒng)一身份管理解決方案，集中管理用戶身份、資源訪問和設(shè)備，并且能隨著公司的快速發(fā)展而擴(kuò)展。

客戶：某科技型企業(yè)

規(guī)模：1000名員工

問題：系統(tǒng)分散，管控不集中

目標(biāo)：統(tǒng)一身份管理

一、背景 Background

通過(guò)和吳經(jīng)理的溝通得知目前該企業(yè)已有十幾套業(yè)務(wù)系統(tǒng)，包括外采系統(tǒng)（泛微OA、用友ERP、企業(yè)郵箱、深信服等），開發(fā)系統(tǒng)（Gitlab、Confluence、JIRA、禪道等），自研系統(tǒng)（有的事業(yè)部為了提高工作效率自行開發(fā)）。隨著公司業(yè)務(wù)快速擴(kuò)張，企業(yè)員工數(shù)也在不斷增加。

業(yè)務(wù)系統(tǒng)、員工數(shù)量逐漸增多，十余套系統(tǒng)需單獨(dú)維護(hù)賬號(hào)和權(quán)限的增刪改，不能集中管理，對(duì)運(yùn)維部門來(lái)說(shuō)是浩大的工作量。除此之外，集團(tuán)的業(yè)務(wù)系統(tǒng)一部分由信息部管理，一部分事業(yè)部自研系統(tǒng)是部門自己管理，管控不集中，就有可能存在員工離職后賬號(hào)沒有及時(shí)刪除而引發(fā)安全事件的情況。

吳經(jīng)理告訴我們：“目前企業(yè)已有700多名員工，未來(lái)將增長(zhǎng)到1000多人。不僅人員在新增和流動(dòng)，業(yè)務(wù)系統(tǒng)也在新增，管控不集中，安全存在隱患，我希望可以實(shí)現(xiàn)統(tǒng)一管理。” 在和寧盾溝通的過(guò)程中，他也提出了很多疑問：

（1）統(tǒng)一認(rèn)證身份源從哪里來(lái)？將 AD 還是 HR 系統(tǒng)作為賬號(hào)源？用哪個(gè)做認(rèn)證？賬號(hào)怎么同步？

（2）下游系統(tǒng)多，是否都能支持接入？通過(guò)什么協(xié)議接入？

（3）如何建立主從賬號(hào)管理？

（4）用了單點(diǎn)登錄（SSO）后原來(lái)的系統(tǒng)還能登錄嗎？是在哪里驗(yàn)證？

（5）密碼是調(diào)接口的嗎？是明文還是加密傳輸？是否需要解析？有證書加密方式嗎？

（6）POC測(cè)試和實(shí)施過(guò)程中，會(huì)不會(huì)影響正常用戶使用？

? ? ? ? ?……

寧盾在詳細(xì)溝通需求后，為客戶打造了一個(gè)統(tǒng)一身份管理解決方案，由統(tǒng)一身份管理、賬號(hào)生命周期管理、單點(diǎn)登錄、多因素認(rèn)證幾個(gè)部分組成。

“我們研究了很多市面上的廠商，但能滿足我們需求的是寧盾。”吳經(jīng)理說(shuō)道。

二、解決方案 Solutions

1、統(tǒng)一身份管理

通過(guò)統(tǒng)一身份管理，打通、整合分散在各應(yīng)用中的用戶身份信息，建立一個(gè)統(tǒng)一的用戶身份信息庫(kù)，實(shí)現(xiàn)用戶憑借一個(gè)身份通行企業(yè)。

將外部用戶源接入進(jìn)來(lái)集中管理，并同步給下游業(yè)務(wù)應(yīng)用

由于各個(gè)系統(tǒng)分散，每個(gè)系統(tǒng)都需要通過(guò)人工單獨(dú)創(chuàng)建、刪除、修改等，該科技型企業(yè)曾經(jīng)每月花費(fèi)幾十個(gè)小時(shí)進(jìn)行賬號(hào)配置——吳經(jīng)理說(shuō)現(xiàn)在這些情況呈指數(shù)級(jí)減少。他們現(xiàn)在可以將所有身份信息進(jìn)行統(tǒng)一管理，無(wú)縫地將身份信息提供給設(shè)備和其他連接的 IT 資源，并通過(guò) RBAC（基于角色的）的控制策略輕松調(diào)整員工的訪問權(quán)限。

“寧盾的方案幫我們省去了80%的配置時(shí)間，員工的協(xié)作效率得到了顯著提升?！眳墙?jīng)理說(shuō)到。

除了更快地進(jìn)行賬號(hào)配置外，吳經(jīng)理還對(duì)密碼重置功能贊不絕口，他回憶說(shuō)：“我們過(guò)去每隔幾周就會(huì)看到幾十個(gè)密碼重置的需求。現(xiàn)在，我們一個(gè)月也很難收到一個(gè)，很大程度上是因?yàn)閱T工可以很容易地自助重置密碼?！?/p>

2、賬號(hào)生命周期管理

通過(guò)賬號(hào)生命周期管理，可以統(tǒng)一管理用戶賬號(hào)的創(chuàng)建、變更到注銷/凍結(jié)的流程，并通過(guò)身份供給，將賬號(hào)及組織架構(gòu)（權(quán)限）同步至下游各應(yīng)用系統(tǒng)，實(shí)現(xiàn)自動(dòng)/半自動(dòng)化管理。

曾經(jīng)該科技型企業(yè)員工入職時(shí)需要找每個(gè)系統(tǒng)的管理員開通賬號(hào)，離職或轉(zhuǎn)崗時(shí)還需要找對(duì)應(yīng)負(fù)責(zé)人修改權(quán)限，流程非常繁瑣，且如果沒有及時(shí)停用離職員工賬號(hào)，易出現(xiàn)安全隱患。通過(guò)寧盾賬號(hào)生命周期管理，優(yōu)化了該科技型企業(yè)的入職離職流程，HR可以通過(guò)一個(gè)系統(tǒng)輕松啟動(dòng)員工入職、離職流程。

“這是我們建立的最好的入職體驗(yàn)之一，”吳經(jīng)理說(shuō)?！靶聠T工和HR經(jīng)常稱贊它有多棒。”

3、單點(diǎn)登錄SSO

通過(guò)整合多個(gè)應(yīng)用系統(tǒng)，在跨業(yè)務(wù)系統(tǒng)訪問中，用戶只需登錄一次，認(rèn)證通過(guò)后就可以訪問權(quán)限內(nèi)的其他所有業(yè)務(wù)系統(tǒng)。

JIRA 單點(diǎn)登錄SSO效果演示：

寧盾單點(diǎn)登錄（SSO）研發(fā)系統(tǒng)JIRA演示

“我們員工需要記住的密碼數(shù)量由10多個(gè)減少到1個(gè)，通過(guò)一個(gè)門戶就可以登錄所有業(yè)務(wù)系統(tǒng)。用戶體驗(yàn)很不錯(cuò)！”吳經(jīng)理說(shuō)。

員工可以輕松、快速、安全地在應(yīng)用程序之間切換，只有授權(quán)用戶才能訪問工具和系統(tǒng)。“我們所有的員工在內(nèi)部訪問我們的業(yè)務(wù)系統(tǒng)時(shí)，都很樂意登錄統(tǒng)一門戶。”他繼續(xù)說(shuō)道。

4、多因素認(rèn)證

通過(guò)多因素認(rèn)證，在單點(diǎn)登錄門戶上添加動(dòng)態(tài)口令二次認(rèn)證過(guò)程，加強(qiáng)登錄入口賬號(hào)安全，降低因弱密碼問題引發(fā)的安全風(fēng)險(xiǎn)。

為了提升安全性，該科技型企業(yè)為用戶和管理控制臺(tái)、應(yīng)用程序以及 Mac 和 Linux 系統(tǒng)添加了多因素身份驗(yàn)證（MFA）。

吳經(jīng)理感嘆道：“員工為了方便記憶，經(jīng)常會(huì)設(shè)置123456、Aa1111、admin等這種弱密碼，以前總是擔(dān)驚受怕安全漏洞，現(xiàn)在得以完美解決。”

三、客戶價(jià)值 Result

通過(guò)實(shí)施寧盾統(tǒng)一身份管理解決方案，能夠簡(jiǎn)化用戶管理、降本增效、并加強(qiáng)安全性。吳經(jīng)理告訴我們，“統(tǒng)一身份管理的好處是巨大的，影響到每個(gè)人。對(duì)于員工來(lái)說(shuō)，只需要一套賬號(hào)密碼就可以訪問權(quán)限內(nèi)的所有業(yè)務(wù)系統(tǒng)，體驗(yàn)很好；對(duì)于管理員來(lái)說(shuō)，用戶配置變得非常自動(dòng)化，整體流程得到了簡(jiǎn)化，運(yùn)維效率從沒有這么高過(guò)。”

如果您有興趣了解在您自己的 IT 環(huán)境中使用寧盾是否能實(shí)現(xiàn)類似的結(jié)果和好處，吳經(jīng)理也建議大家可以免費(fèi)試用。

（本文來(lái)源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）