传统的单点登录SSO方案往往仅解决以下问题:多应用系统入口不统一,导致员工需要切换多个登录地址,重复多次登录,极大影响业务访问效率及员工登录体验。随着IT基础设施的增多,企业对全场景(如网络、VPN、云桌面等基础设施与应用、终端)的统一认证提出了更多的需求。而单靠传统的SSO单点登录方案并不能解决这些问题。
以近期实施的某个项目为例,针对企业面临的多场景统一认证与SSO单点登录问题,宁盾给出了解决方案——统一身份中台。将LDAP、身份同步、SSO、用户自服务等多个能力基于一身,扩充了SSO单点登录之外的其他身份认证场景,减少企业内部维护多个系统的工作量,达成集中审计、入离职账号及权限自动化管理等目标。
开源LDAP、SSO服务,无法满足复杂的业务需求
某中外合资企业有千人规模,在IT建设中采用了开源的LDAP、RADIUS、SSO服务,这些实际上已能满足业务使用,但多套系统的管理、维护复杂且费时,缺少集中审计,IT负责人希望能够将三套开源系统替换成一整套系统。同时,客户希望这一整套系统能够为网络、邮箱、VPN、应用等场景上实现LDAP统一身份认证及SSO单点登录,以HR系统内的组织架构和账号为主身份源,员工用HR内的账号登录以上4类场景,提高业务协同效率及用户体验。
企业身份建设目标:
• 替换开源LDAP,同步HR系统内组织架构和账号;
• 邮箱涉及海外业务,人员离职后邮箱账号由新员工继承;
• 对接VPN、网络、邮箱、网盘等应用,提供统一身份认证和SSO单点登录;
• 总部与分公司单独管理两套LDAP账号体系。
搭建统一身份中台同步HR系统账号,优化账号管理流程
原先,该公司HR系统、邮箱、LDAP账号管理存在断点,LDAP账号开通和关闭均为手动操作。每当有人员入职、离职时,HR在人事系统中更新账号状态,IT在邮箱系统及VPN中也需要及时手动更新,开源的SSO单点登录系统也需要手动维护账号。
宁盾为该公司搭建了统一身份中台系统,除SSO单点登录能力外,它还拥有LDAP认证服务能力,可存储目录账号,用以迁移开源LDAP上的数据及同步HR系统内的组织架构和账号信息。通过流程变更,实现账号管理自动化,并能规避账号回收不及时带来的安全风险。
统一身份中台内置的SSO模块自然地承接了非LDAP应用的认证,账号的流转全程自动化,且IT也只需维护统一身份中台即可,对比开源的SSO单点登录,统一身份中台的一体化优势更受客户青睐。
设置账号同步有效期,满足业务上邮箱延用需求
由于该公司有大量海外业务,主要通过邮箱进行。公司内存在离职人员的邮箱在一段时间内延用的情况,以保障业务可持续。流程变更后,邮箱账号来自于宁盾统一身份中台,当人员离职时,对应的邮箱账号会随着LDAP账号禁用而自动禁用。
为满足此业务场景,由IT人员在某些账号上设置有效期字段,宁盾统一身份中台会根据此字段进行同步,保留离职人员邮箱,且已离职人员不再有权限修改邮箱密码,安全与业务双重需求得到满足。
用户自服务自主改密,为统一身份认证奠定基础
统一身份认证需要使用账号密码来进行,从HR系统同步账号时并没有密码信息。因此,宁盾统一身份中台为该客户提供了用户自服务功能,基于web端的自助服务平台,员工收到修改密码短信提醒后,可在上面自主修改/重置密码、修改手机号等,既保证了统一身份认证体系健全,也让用户在SSO单点登录应用时及时改密、找回,不影响办公进度,更让IT人员得以从大量琐碎工作中解放出来,兼顾了用户体验与运维效率。
多个站点多套LDAP体系,支撑多分支业务需求
多分支业务需求,需要有其他目录服务。宁盾统一身份中台支持多租户/多站点,可快速扩容到其他分支。在本项目中,宁盾为该客户新建2个站点,即创建2个LDAP服务,对应2个BaseDN,以支撑分支业务。
引入宁盾统一身份中台系统后,既对网络、应用(邮箱、网盘、VPN等)多个场景实现LDAP统一身份认证,也支撑了其他业务应用快速实现SSO单点登录。账号的变更操作也从原先的多次变为HR仅在人事系统中更新一次即可,将手动管理账号提升为自动化账号管理,效率大幅提升的同时,安全等级也正向递增。用户自服务让IT的精力不再被改密、找回密码的琐碎工作所占据,专心维护IT资产。多个能力集于一身的统一身份中台,简化了运维工作,成本更经济,效果更出众。