首页 > 其他分享 >账号从HR系统到AD域再到邮箱等应用系统,如何自动化管理员工账号生命周期?

账号从HR系统到AD域再到邮箱等应用系统,如何自动化管理员工账号生命周期?

时间:2022-11-10 17:00:20浏览次数:45  
标签:AD 账号 HR 系统 业务 员工 应用 身份 宁盾

随着企业的发展壮大,员工数量越来越多,业务系统数量也越来越多,同时伴随着员工入/离职、调岗等情况不断发生,企业 IT 运维承担着巨大的压力。主要体现在以下几个方面:


IT 运维成本高


企业内部员工多、应用多,员工入离职、调岗等频繁发生。

(1)员工入职时,要在 OA 或者 HR 系统中加入新用户,在相应的业务系统中加入新用户,并开启对应权限;反之亦然。

(2)当员工从一个岗位调整到另外一个岗位,或者员工晋升时,需要调整其在相关业务系统中的角色或者删除、添加对应用户。


在没有自动化管理时,IT 运维要手动做大量的工作,不仅消耗大量运维成本,而且由于操作不及时、操作失误等原因,都可能给企业的业务系统正常运行和业务数据安全造成不良影响。


业务系统访问存在风险


企业中业务系统繁多,有针对销售的销售管理系统(如 Salesforce、销售易、纷享销客),有针对开发的版本控制系统(如 Gitlab、JIRA、禅道),也有针对财务的财务管理软件(如金蝶、用友)等等,不同部门或者不同角色的员工访问的业务系统不同,同一应用中可访问的内容范围也不尽相同。如此复杂的权限管理规则,通过人工手动处理,出错的几率较高,一旦出错重要业务数据泄露,会给企业造成较大的损失。


审计不够方便


  • 谁在什么时间访问了什么业务系统?
  • 谁审批了哪个用户的哪方面的申请?
  • 谁在什么时间往哪个业务系统添加/删除了用户?
  • 谁在什么时间把哪个业务系统中的哪个用户的权限做了变更?
  • ......


这些审计信息分散在各个业务系统中,缺少一张全局的总表,增加审计工作量。


宁盾身份管理自动化方案思路


身份管理自动化方案基于宁盾 NDS 身份目录服务进行,

  • 第一步:将企业内现有的本地 AD 域身份、社交身份(企业微信/飞书/钉钉)、临时身份(外包、供应商)、云上身份(OKTA、Google)等连接打通,收拢起来统一集中管理。
  • 第二步:根据规则、事件、任务三个策略将上游身份源内的任何变动操作同步给下游应用。HR/OA系统内账号新增、删除、调整都会自动同步到下游应用里。
  • 第三步:再利用单点登录对接企业内各应用系统后,实现员工凭借一个身份一次性访问所有已授权的应用,提高办公效率。


方案组成


见下图,主要包括三个模块:通用目录 Universal Directory(即NDS)、应用 Applications、同步器 Synchronizer,分别负责统一身份管理、应用接入和身份自动化。

账号从HR系统到AD域再到邮箱等应用系统,如何自动化管理员工账号生命周期?_字段

那么,这三个模块是怎么工作的?


场景一:业务系统初次接入


当企业接入新的业务系统时,宁盾身份管理系统提供一键初始化功能,IT 运维人员只要预先设置好同步规则,即可一键完成新业务系统的身份导入。

账号从HR系统到AD域再到邮箱等应用系统,如何自动化管理员工账号生命周期?_运维_02


场景二:员工入职


某企业有一批新员工入职,其中有一些入职财务部门,一些入职研发部门。财务部门的员工需要用到金蝶财务系统和 OA 系统;研发部门的员工需要用到 Bitbucket 和 OA 系统。这三个系统的用户字段各有不同,假设:

  • OA系统需要name、mobile、email三个字段
  • 金蝶系统需要 name、mobile 两个字段
  • Bitbucket需要 name、email 连个字段


那么,同步器的工作流程示意图如下:

账号从HR系统到AD域再到邮箱等应用系统,如何自动化管理员工账号生命周期?_字段_03


事件:

当宁盾身份管理系统中新增用户时,会触发 UserAdded 事件,当该事件发生时,将会根据设定的规则向下游业务系统同步身份数据。


规则:

如下表所示,每个业务系统配置自己的同步范围和字段。


业务系统

同步范围

同步字段

OA系统

财务部门、研发部门

name、mobile、email

金蝶系统

财务部门

name、mobile

Bitbucket

研发部门

name、email


任务:本例为自动化执行任务

每添加一个用户将触发一个任务,一个任务包含1~N个task item。本例中的任务只包含一个task item(“添加用户组”事件,且用户组中有多个用户时,触发的任务将包含多个task item)。


任务模块支持查看 task 及 task item 的执行状态、执行结果,支持对失败的 task item 单条/批量重新执行。


场景三:员工申请业务系统使用权限


员工A需要使用业务系统A,但是目前没有权限。TA 在门户网站提出申请,申请后触发“应用申请”事件,该事件将会触发一个“审批执行任务”,该任务不会立即执行,当管理员审批通过后,执行该事件,为员工A分配业务系统A的访问权限。

账号从HR系统到AD域再到邮箱等应用系统,如何自动化管理员工账号生命周期?_字段_04


单点登录 SSO

单点登录功能提供业务系统统一登录门户以及多种登录方式,管理员在管理后台根据企业需要选择合适的登录方式。

账号从HR系统到AD域再到邮箱等应用系统,如何自动化管理员工账号生命周期?_运维_05

单点登录SSO门户


账号从HR系统到AD域再到邮箱等应用系统,如何自动化管理员工账号生命周期?_单点登录_06

登录门户登录方式可选


用户名密码登录方式,可以开启双因素认证,在静态密码基础上再多一步动态密码验证,确保业务系统访问安全。对于非常重要的业务系统,支持二次认证,即在门户中访问该业务系统时需要再次输入动态密码。


此外,单点登录门户提供员工自服务能力

  • 支持员工自助修改账号密码;
  • 支持员工自助注册账号:针对临时工等特殊员工,支持自助注册账号,待管理员审批通过后,注册成功;
  • 支持员工自助申请应用:员工可以申请使用某个没有权限的应用,待管理员审批通过后,可以使用。


应用集成 1000+


宁盾目前已经集成1000+应用,且仍在持续集成中。宁盾支持对接 SAML2.0、OAuth2.0、OIDC 等标准协议的商用软件;支持以宁盾自研 EasySSO 协议对接企业的自研应用,对接简单、使用安全;支持以表单代填方式对接无法改造的老旧应用。下面截图是一部分目前已经对接的应用。

账号从HR系统到AD域再到邮箱等应用系统,如何自动化管理员工账号生命周期?_运维_07


日志&报表


宁盾身份管理系统提供丰富的日志和报表,为审计人员提供合规性报告。包括:管理员操作日志、应用访问日志、登录认证日志、应用权限一览表等。在宁盾系统中可以总览企业所有业务系统的权限、访问信息等审计数据。

账号从HR系统到AD域再到邮箱等应用系统,如何自动化管理员工账号生命周期?_字段_08


在实现身份管理的基础上,一些安全厂商不断为其产品整合扩展更多能力。以上这些问题也是 IGA( Identity Governance and Administration)身份治理和管理所要解决的方向。Gartner 认为 IGA 不仅可以证明身份治理的合规性,也支持持续为权限管理安全保驾护航,以确保数字身份没有错误地配置访问权限,保证访问速度与准确性。


身份治理和管理(IGA)是一种基于策略的身份管理和访问控制方法,可以有效地降低风险,并改进整个组织范围内的合规性。理解 IGA 首先要分别理解这两个部分——身份治理和身份管理。前者涉及到职责、角色管理、日志记录、分析和报告的分离。后者涉及凭据和帐户管理、设备和用户配置和取消配置,以及权限管理。


宁盾身份管理方案正是 IGA 产品能力的体现,如需要了解更多细节,可以访问宁盾官网。

标签:AD,账号,HR,系统,业务,员工,应用,身份,宁盾
From: https://blog.51cto.com/u_13466321/5841886

相关文章