首页 > 其他分享 >不是IAM身份和访问管理系统用不起,而是统一身份中台更有性价比

不是IAM身份和访问管理系统用不起,而是统一身份中台更有性价比

时间:2023-12-21 19:04:16浏览次数:32  
标签:IAM 单点 登录 用不起 OA 身份 统一

单点登录(Single Sign-On,简称 SSO)是一种常见的企业身份验证方案,用户通过一次登录即可访问多个应用系统。然而,如果企业没有完成『身份整合与统一』这一步,那么这个单点登录方案就不能算是理想的解决方案。


在探讨这个问题之前,我们需要先理解统一身份的概念。统一身份是指将企业中所有用户的身份信息整合到一个中央数据库或身份提供者(Identity Provider,简称 IDP)中,进行统一管理,如权限分配、账号生命周期自动化管理等等。这样一来,无论是在企业内部还是外部,用户只需进行一次身份验证,即可获得对所有应用系统的访问权限。


先收拢离散的身份,统一管理,才能让SSO单点登录方案的投入与效果最大化,做到用户、IT管理、企业三者都能从中受益。那么,没有实现身份统一的单点登录,会面临哪些挑战?以下这个案例,将帮助我们更好理解统一身份对单点登录的重要性。


既有单点登录未完成身份统一,信息化管理面临挑战


项目背景:

某药物研究机构拥有上千名员工,十余个应用,为提高用户办公体验和信息化管理水平,该机构引入了某品牌IAM系统实现SSO单点登录,身份源来自于泛微OA。但在落地应用后,信息化管理的痛点仍然存在:

  1. 机构的安全、网络、安防产品没有身份源,若和IAM对接十分棘手麻烦,客户不想折腾;
  2. 单点登录据客户反馈不支持LDAP协议,无法对接LDAP协议应用,不利于业务拓展;
  3. 虽然一定范围实现了SSO单点登录,但还是需要维护多套账号,治标不治本,实际并没有完成身份整合和统一。


不是IAM身份和访问管理系统用不起,而是统一身份中台更有性价比_IAM


构建统一身份中台,整合身份、应用全场景


解决方案:

在该项目中,上游身份源除了泛微OA系统,还有机构的通行证、AD域、LDAP服务、企业微信及其他第三方平台等身份源。每一个身份源都可能对应着下游的特定应用系统,在整合多个身份源时就需要身份中台能够配置不同的字段属性推送给下游应用。显然,传统的IAM身份和访问管理系统不能满足这一需求。


对于该机构面临的痛点与挑战,宁盾提供了统一身份中台解决方案。首先,搭建统一身份中台,整合泛微OA、通行证、AD、LDAP、企业微信及其他应用的身份源。宁盾身份目录提供标准LDAP服务,并高度兼容微软AD、IBM、Apache、OpenLDAP等,支持自定义配置字段属性。作为统一身份中台的核心,宁盾身份目录负责从泛微OA同步账户,提供给下游IAM系统和安全、网络、安防设备,做身份认证,主要包括深信服(行为管理、桌面云、零信任)、华为Campus平台、某品牌IAM系统以及海康门禁


不是IAM身份和访问管理系统用不起,而是统一身份中台更有性价比_IAM_02

使用宁盾统一身份中台后



其次,针对员工、访客的网络认证场景,可借助统一身份中台内置的有线无线网络认证模块,兼容各种厂商、品牌的网络设备,并根据机构需求灵活设置认证方式和定制化Portal页面,提升安全水平和机构品牌形象。


最后,对于网络、桌面云、零信任、上网行为管理等产品,可通过统一身份中台的MFA多因素认证能力对用户做强身份鉴别,以提高信息化管理的安全水位。


企业的信息化管理需要清晰的规划,才能找到适合该企业的安全方案。尤其是企业内部存在着多种类别的身份源(泛微OA、企业微信、钉钉、飞书、HR、ERP等)、应用系统的时候,更应该通过统一身份中台来增强信息化管理的水平,让安全与高效同行,让安全更好地服务于业务。


标签:IAM,单点,登录,用不起,OA,身份,统一
From: https://blog.51cto.com/u_13466321/8926002

相关文章

  • 【一个小发现】VictoriaMetrics 中 vmselect 的 `-search.denyPartialResponse` 选项
    作者:张富春(ahfuzhang),转载时请注明作者和引用链接,谢谢!cnblogs博客zhihuGithub公众号:一本正经的瞎扯一直以为vmselect的-search.denyPartialResponse选项是在vm-storage超时的时候返回预测的结果。实际测试是这样的:当vm-select对应的后端有多个vm-storage时,......
  • CF1804F Approximate Diameter 题解
    题目链接点击打开链接题目解法很有意思的题,但不难首先一个显然的结论是:算着边的加入,直径长度递减第一眼看到误差范围是2倍,可以想到二分可以观察到如果取答案为\(\frac{n}{2}\)可以覆盖到\(\frac{n}{4}\)(上下取整不重要),那这样每次可以把值域范围缩小4倍,然后只要二分直......
  • 有关Hutool工具实用技巧-身份证、手机、姓名等脱敏信息验证
    今天给大家介绍关于Hutool工具实用技巧-身份证、手机、姓名等脱敏信息验证。非常实用,且也体现出Hutool工具这个Java类库的强大场景:在开发系统过程中,经常会接触到大量的数据信息,这些数据信息可能包含身份证号、手机号、姓名、卡号等各种敏感信息。而有些用户需求是不允许,这些敏感......
  • [THM] 身份验证绕过补档
    用户名枚举在尝试查找身份验证漏洞时,要完成的一个有用的练习是创建有效用户名列表,我们稍后将在其他任务中使用该列表。 网站错误消息是整理此信息以构建有效用户名列表的重要资源。如果我们转到AcmeIT支持网站(http://10.10.237.210/customers/signup)注册页面,我们有一个创......
  • 免费scrum敏捷管理工具Leangoo领歌私有部署新增第三方身份认证和API对接
    ​为了不断提升我们的产品质量和服务水平,Leangoo持续不断地关注并响应客户的需求。最近,我们完成了一轮新的功能优化和升级!让我们一起来看看吧~Leangoo私有部署支持第三方身份认证对接Leangoo提供两种方式进行身份认证对接a.商户自行提供OAuth服务如果您作为商户希望自行......
  • UI 优先的统一身份认证系统 Casdoor
    Casdoor是一个基于OAuth2.0/OIDC的UI优先集中认证/单点登录(SSO)平台,简单点说,就是Casdoor可以帮你解决 用户管理 的难题,你无需开发用户登录注册等与用户鉴权相关的一系列功能,只需几个步骤,简单配置,与你的主应用配合,便可完全托管你的用户模块,简单省心,功能强大。仓......
  • nginx启用身份安全认证
    修改Nginx配置文件 server{listen80;server_nameexample.com;#替换成自己的域名或IP地址location/{proxy_passhttp://localhost:18080;#将请求转发到SkyWalking服务器auth_basic"Restricted";#启用基本身份验证,显示提示信息auth_basic_user_file/etc......
  • Linux 用户身份切换
    Linux用户身份切换什么?在Linux系统当中还要作身份切换?这是为什么?可能有下面几个原因安全性:身份切换可以限制用户的权限,防止恶意操作和数据泄漏。多用户环境:在多用户环境中,每个用户拥有自己的账户和权限,需要通过身份切换来切换用户。程序运行:某些程序需要以不同的权限运行,例如管......
  • 墨者学院—Webmin未经身份验证的远程代码执行漏洞
    一、概述Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。据统计,互联网上大约有13w台机器使用Webmin。当用户开启Webmin密码重置功能后,攻击者可以通过发送POST请求在目标系统中执行任意命令,且无需身份验......
  • hive身份验证
    Hive通过HiveServer2对外提供服务,HiveServer2是一种能使客户端执行Hive查询的服务。HiveServer2实现了一个新的基于Thrift的RPC接口,该接口可以处理客户端并发请求。当前版本支持Kerberos,LDAP以及自定义可插拔身份验证。新的RPC接口也是JDBC和ODBC客户端更好的......