随着企业的发展壮大,员工数量越来越多,业务系统数量也越来越多,同时伴随着员工入/离职、调岗等情况不断发生,企业 IT 运维承担着巨大的压力。主要体现在以下几个方面:
IT 运维成本高
企业内部员工多、应用多,员工入离职、调岗等频繁发生。
(1)员工入职时,要在 OA 或者 HR 系统中加入新用户,在相应的业务系统中加入新用户,并开启对应权限;反之亦然。
(2)当员工从一个岗位调整到另外一个岗位,或者员工晋升时,需要调整其在相关业务系统中的角色或者删除、添加对应用户。
在没有自动化管理时,IT 运维要手动做大量的工作,不仅消耗大量运维成本,而且由于操作不及时、操作失误等原因,都可能给企业的业务系统正常运行和业务数据安全造成不良影响。
业务系统访问存在风险
企业中业务系统繁多,有针对销售的销售管理系统(如 Salesforce、销售易、纷享销客),有针对开发的版本控制系统(如 Gitlab、JIRA、禅道),也有针对财务的财务管理软件(如金蝶、用友)等等,不同部门或者不同角色的员工访问的业务系统不同,同一应用中可访问的内容范围也不尽相同。如此复杂的权限管理规则,通过人工手动处理,出错的几率较高,一旦出错重要业务数据泄露,会给企业造成较大的损失。
审计不够方便
- 谁在什么时间访问了什么业务系统?
- 谁审批了哪个用户的哪方面的申请?
- 谁在什么时间往哪个业务系统添加/删除了用户?
- 谁在什么时间把哪个业务系统中的哪个用户的权限做了变更?
- ......
这些审计信息分散在各个业务系统中,缺少一张全局的总表,增加审计工作量。
宁盾身份管理自动化方案思路
身份管理自动化方案基于宁盾 NDS 身份目录服务进行,
- 第一步:将企业内现有的本地 AD 域身份、社交身份(企业微信/飞书/钉钉)、临时身份(外包、供应商)、云上身份(OKTA、Google)等连接打通,收拢起来统一集中管理。
- 第二步:根据规则、事件、任务三个策略将上游身份源内的任何变动操作同步给下游应用。HR/OA系统内账号新增、删除、调整都会自动同步到下游应用里。
- 第三步:再利用单点登录对接企业内各应用系统后,实现员工凭借一个身份一次性访问所有已授权的应用,提高办公效率。
方案组成
见下图,主要包括三个模块:通用目录 Universal Directory(即NDS)、应用 Applications、同步器 Synchronizer,分别负责统一身份管理、应用接入和身份自动化。
那么,这三个模块是怎么工作的?
场景一:业务系统初次接入
当企业接入新的业务系统时,宁盾身份管理系统提供一键初始化功能,IT 运维人员只要预先设置好同步规则,即可一键完成新业务系统的身份导入。
场景二:员工入职
某企业有一批新员工入职,其中有一些入职财务部门,一些入职研发部门。财务部门的员工需要用到金蝶财务系统和 OA 系统;研发部门的员工需要用到 Bitbucket 和 OA 系统。这三个系统的用户字段各有不同,假设:
- OA系统需要name、mobile、email三个字段
- 金蝶系统需要 name、mobile 两个字段
- Bitbucket需要 name、email 连个字段
那么,同步器的工作流程示意图如下:
事件:
当宁盾身份管理系统中新增用户时,会触发 UserAdded 事件,当该事件发生时,将会根据设定的规则向下游业务系统同步身份数据。
规则:
如下表所示,每个业务系统配置自己的同步范围和字段。
业务系统 | 同步范围 | 同步字段 |
OA系统 | 财务部门、研发部门 | name、mobile、email |
金蝶系统 | 财务部门 | name、mobile |
Bitbucket | 研发部门 | name、email |
任务:本例为自动化执行任务
每添加一个用户将触发一个任务,一个任务包含1~N个task item。本例中的任务只包含一个task item(“添加用户组”事件,且用户组中有多个用户时,触发的任务将包含多个task item)。
任务模块支持查看 task 及 task item 的执行状态、执行结果,支持对失败的 task item 单条/批量重新执行。
场景三:员工申请业务系统使用权限
员工A需要使用业务系统A,但是目前没有权限。TA 在门户网站提出申请,申请后触发“应用申请”事件,该事件将会触发一个“审批执行任务”,该任务不会立即执行,当管理员审批通过后,执行该事件,为员工A分配业务系统A的访问权限。
单点登录 SSO
单点登录功能提供业务系统统一登录门户以及多种登录方式,管理员在管理后台根据企业需要选择合适的登录方式。
单点登录SSO门户
登录门户登录方式可选
用户名密码登录方式,可以开启双因素认证,在静态密码基础上再多一步动态密码验证,确保业务系统访问安全。对于非常重要的业务系统,支持二次认证,即在门户中访问该业务系统时需要再次输入动态密码。
此外,单点登录门户提供员工自服务能力:
- 支持员工自助修改账号密码;
- 支持员工自助注册账号:针对临时工等特殊员工,支持自助注册账号,待管理员审批通过后,注册成功;
- 支持员工自助申请应用:员工可以申请使用某个没有权限的应用,待管理员审批通过后,可以使用。
应用集成 1000+
宁盾目前已经集成1000+应用,且仍在持续集成中。宁盾支持对接 SAML2.0、OAuth2.0、OIDC 等标准协议的商用软件;支持以宁盾自研 EasySSO 协议对接企业的自研应用,对接简单、使用安全;支持以表单代填方式对接无法改造的老旧应用。下面截图是一部分目前已经对接的应用。
日志&报表
宁盾身份管理系统提供丰富的日志和报表,为审计人员提供合规性报告。包括:管理员操作日志、应用访问日志、登录认证日志、应用权限一览表等。在宁盾系统中可以总览企业所有业务系统的权限、访问信息等审计数据。
在实现身份管理的基础上,一些安全厂商不断为其产品整合扩展更多能力。以上这些问题也是 IGA( Identity Governance and Administration)身份治理和管理所要解决的方向。Gartner 认为 IGA 不仅可以证明身份治理的合规性,也支持持续为权限管理安全保驾护航,以确保数字身份没有错误地配置访问权限,保证访问速度与准确性。
身份治理和管理(IGA)是一种基于策略的身份管理和访问控制方法,可以有效地降低风险,并改进整个组织范围内的合规性。理解 IGA 首先要分别理解这两个部分——身份治理和身份管理。前者涉及到职责、角色管理、日志记录、分析和报告的分离。后者涉及凭据和帐户管理、设备和用户配置和取消配置,以及权限管理。
宁盾身份管理方案正是 IGA 产品能力的体现,如需要了解更多细节,可以访问宁盾官网。
标签:AD,账号,HR,系统,业务,员工,应用,身份,宁盾 From: https://blog.51cto.com/u_13466321/5841886