单点登录(Single Sign-On,简称 SSO)是一种常见的企业身份验证方案,用户通过一次登录即可访问多个应用系统。然而,如果企业没有完成『身份整合与统一』这一步,那么这个单点登录方案就不能算是理想的解决方案。
在探讨这个问题之前,我们需要先理解统一身份的概念。统一身份是指将企业中所有用户的身份信息整合到一个中央数据库或身份提供者(Identity Provider,简称 IDP)中,进行统一管理,如权限分配、账号生命周期自动化管理等等。这样一来,无论是在企业内部还是外部,用户只需进行一次身份验证,即可获得对所有应用系统的访问权限。
先收拢离散的身份,统一管理,才能让SSO单点登录方案的投入与效果最大化,做到用户、IT管理、企业三者都能从中受益。那么,没有实现身份统一的单点登录,会面临哪些挑战?以下这个案例,将帮助我们更好理解统一身份对单点登录的重要性。
既有单点登录未完成身份统一,信息化管理面临挑战
项目背景:
某药物研究机构拥有上千名员工,十余个应用,为提高用户办公体验和信息化管理水平,该机构引入了某品牌IAM系统实现SSO单点登录,身份源来自于泛微OA。但在落地应用后,信息化管理的痛点仍然存在:
- 机构的安全、网络、安防产品没有身份源,若和IAM对接十分棘手麻烦,客户不想折腾;
- 单点登录据客户反馈不支持LDAP协议,无法对接LDAP协议应用,不利于业务拓展;
- 虽然一定范围实现了SSO单点登录,但还是需要维护多套账号,治标不治本,实际并没有完成身份整合和统一。
构建统一身份中台,整合身份、应用全场景
解决方案:
在该项目中,上游身份源除了泛微OA系统,还有机构的通行证、AD域、LDAP服务、企业微信及其他第三方平台等身份源。每一个身份源都可能对应着下游的特定应用系统,在整合多个身份源时就需要身份中台能够配置不同的字段属性推送给下游应用。显然,传统的IAM身份和访问管理系统不能满足这一需求。
对于该机构面临的痛点与挑战,宁盾提供了统一身份中台解决方案。首先,搭建统一身份中台,整合泛微OA、通行证、AD、LDAP、企业微信及其他应用的身份源。宁盾身份目录提供标准LDAP服务,并高度兼容微软AD、IBM、Apache、OpenLDAP等,支持自定义配置字段属性。作为统一身份中台的核心,宁盾身份目录负责从泛微OA同步账户,提供给下游IAM系统和安全、网络、安防设备,做身份认证,主要包括深信服(行为管理、桌面云、零信任)、华为Campus平台、某品牌IAM系统以及海康门禁。
使用宁盾统一身份中台后
其次,针对员工、访客的网络认证场景,可借助统一身份中台内置的有线无线网络认证模块,兼容各种厂商、品牌的网络设备,并根据机构需求灵活设置认证方式和定制化Portal页面,提升安全水平和机构品牌形象。
最后,对于网络、桌面云、零信任、上网行为管理等产品,可通过统一身份中台的MFA多因素认证能力对用户做强身份鉴别,以提高信息化管理的安全水位。
企业的信息化管理需要清晰的规划,才能找到适合该企业的安全方案。尤其是企业内部存在着多种类别的身份源(泛微OA、企业微信、钉钉、飞书、HR、ERP等)、应用系统的时候,更应该通过统一身份中台来增强信息化管理的水平,让安全与高效同行,让安全更好地服务于业务。