员工离职后，账号权限怎么自动化回收？

news2024/11/25 15:58:28

最近一则离职员工报复前东家的新闻引人注目。起因是该员工被公司辞退后怀恨在心，于是用自己的笔记本电脑入侵了前公司的服务器，进入了该公司的法国站、英国站、德国站三个亚马逊店铺，进行了大幅调低商品价格、主动向客户发起退款、调高广告预算、删除店铺货件、删除店铺活动、更改收款账户、更改店铺密码等一系列操作，导致几个店铺的低价订单量激增且部分无法撤销，向客户发起的退款无法挽回，并产生大量广告费用，造成经济损失152.08万元。

无独有偶，西安一家外贸公司近期也遭遇了类似事件，两名离职员工为了报复公司获得利益，篡改了亚马逊店铺的账号密码和收款银行卡，并在店铺里下架产品、调低价格，造成公司损失600多万人民币。

离职员工还能通过原来的账户访问企业内部信息和核心资源，这类事件并不少见。根据国外的一项调查显示，83%的离职员工承认可以继续访问前雇主的账户，更糟糕的是，这些员工中有56%表示他们保留访问权限的具体目的是伤害他们的前雇主。

离职员工保留前雇主账号的种类

要防止这类问题，使企业免于蒙受巨额经济损失，最重要的是防患于未然。专业、详细的离职流程可以确保完成两件重要的事情：通过注销或停用离职员工的账号权限和其他不安全的身份验证方案来阻止未经授权的访问，其次善意的离职流程也可以减少离职员工报复前公司的动机。

对于 HR 来说，理想的员工入离职流程，应该是这样的：

• 新员工办理入职时，在HR系统内的组织架构和部门岗位所对应的账号/权限都会自动同步到其他账号源或业务系统中，如 AD域/OpenLDAP、邮箱、CRM、ERP或者JIRA、Office 365、NAS 等系统。

• 当该员工调岗、晋升、离职，HR系统内的账号/权限变动都会及时同步给其他业务系统，无需再在各个系统里单独维护账号和权限，一键实现自动化入离职流程。

然而，HR和其他系统管理员在实际工作中面临各种身份管理问题：

• 身份运维问题

企业HR系统、各业务系统账号分离，未能协同使用，IT需要多处创建、修改和删除账号，工作压力大、手动操作容易失误。

• 安全合规问题

从HR同步的账号信息滞后或流失，例如员工离职未能及时在邮箱中删除该用户账户等，为身份管理和安全合规带来一定难度。

• 开发成本问题

企业需要定制开发HR与统一身份的用户信息同步系统，由HR系统触发至统一身份，并且可以通过统一身份同步添加、删除至下游业务系统，对HR厂商及企业来说，定制开发代价大、推动难。

• 员工权限问题

员工账户涉及正式员工、临时工、经销商、供应链伙伴等多种角色，需要设置不同的权限。

• 流程效率问题

员工入离职整个过程中，HR需要对接财务部、行政部、研发部或市场部等各个业务部门进行账号权限开通、停用等操作，流程复杂，效率较低。

在实际场景中，存在大量的员工入职、离职的账户管理，对 HR 和 IT 人员来说是一个极大的挑战。运维人员难以实现在一个系统内对所有人员的身份信息和同一个人员的多维度字段信息进行集中统一管理。

“随着公司发展，人员不断增多，涉及几十个应用系统内的账号手动创建、删除，账户生命周期管理等，管理员工作量巨大，但凡出现错漏容易造成安全隐患。”

————来自客户的真实反馈

宁盾统一身份平台一键入离职自动化

针对企业客户在员工账号生命周期管理方面的需求，宁盾提供员工入离职自动化管理解决方案。NingDS身份目录云平台充当HR系统和下游业务系统（即依赖HR系统账号源的应用）之间的桥梁及身份中台角色。

将HR/AD/社交账号源接入进来集中管理，并同步给下游业务应用

HR系统对接 NingDS 身份目录云平台后，在 HR 系统内的员工入离调转等操作自动同步至NingDS中，并根据企业需求自动向下游业务应用供应组织架构、账号/权限信息，为企业建立集中、权威的统一身份管理平台，统一管理维护。实现员工入离调转时，一键开启、修改或回收各个业务系统账号权限，简化 HR 和 IT 复杂繁琐的重复工作，提升工作效率。

NingDS基于 LDAP、SAML、REST API 等协议集成了 OA、ERP、NAS、邮箱等关键基础应用，Gitlab、Bitbucket、Jenkins等核心研发应用，VPN、堡垒机、Zabbix等运维监控应用，并为这些应用供应统一身份信息，以便管理员进行统一管理。对于员工来说，只需记住一套账号密码，登录一次即可访问权限内的所有应用，无需多次重复输入用户名、密码。