企业统一身份中台,如何比传统单点登录SSO做得更好?

news2024/12/23 9:09:08

传统的单点登录SSO方案往往仅解决以下问题:多应用系统入口不统一,导致员工需要切换多个登录地址,重复多次登录,极大影响业务访问效率及员工登录体验。随着IT基础设施的增多,企业对全场景(如网络、VPN、云桌面等基础设施与应用、终端)的统一认证提出了更多的需求。而单靠传统的SSO单点登录方案并不能解决这些问题。


以近期实施的某个项目为例,针对企业面临的多场景统一认证与SSO单点登录问题,宁盾给出了解决方案——统一身份中台。将LDAP、身份同步、SSO、用户自服务等多个能力基于一身,扩充了SSO单点登录之外的其他身份认证场景,减少企业内部维护多个系统的工作量,达成集中审计、入离职账号及权限自动化管理等目标。


开源LDAP、SSO服务,无法满足复杂的业务需求


某中外合资企业有千人规模,在IT建设中采用了开源的LDAP、RADIUS、SSO服务,这些实际上已能满足业务使用,但多套系统的管理、维护复杂且费时,缺少集中审计,IT负责人希望能够将三套开源系统替换成一整套系统。同时,客户希望这一整套系统能够为网络、邮箱、VPN、应用等场景上实现LDAP统一身份认证及SSO单点登录,以HR系统内的组织架构和账号为主身份源,员工用HR内的账号登录以上4类场景,提高业务协同效率及用户体验。


企业身份建设目标:

• 替换开源LDAP,同步HR系统内组织架构和账号;

• 邮箱涉及海外业务,人员离职后邮箱账号由新员工继承;

• 对接VPN、网络、邮箱、网盘等应用,提供统一身份认证和SSO单点登录;

• 总部与分公司单独管理两套LDAP账号体系。


搭建统一身份中台同步HR系统账号,优化账号管理流程


原先,该公司HR系统、邮箱、LDAP账号管理存在断点,LDAP账号开通和关闭均为手动操作。每当有人员入职、离职时,HR在人事系统中更新账号状态,IT在邮箱系统及VPN中也需要及时手动更新,开源的SSO单点登录系统也需要手动维护账号。


宁盾为该公司搭建了统一身份中台系统,除SSO单点登录能力外,它还拥有LDAP认证服务能力,可存储目录账号,用以迁移开源LDAP上的数据及同步HR系统内的组织架构和账号信息。通过流程变更,实现账号管理自动化,并能规避账号回收不及时带来的安全风险。

e649a15ac4760ae1dc469edc627d7034.jpeg

统一身份中台内置的SSO模块自然地承接了非LDAP应用的认证,账号的流转全程自动化,且IT也只需维护统一身份中台即可,对比开源的SSO单点登录,统一身份中台的一体化优势更受客户青睐。


设置账号同步有效期,满足业务上邮箱延用需求


由于该公司有大量海外业务,主要通过邮箱进行。公司内存在离职人员的邮箱在一段时间内延用的情况,以保障业务可持续。流程变更后,邮箱账号来自于宁盾统一身份中台,当人员离职时,对应的邮箱账号会随着LDAP账号禁用而自动禁用。


为满足此业务场景,由IT人员在某些账号上设置有效期字段,宁盾统一身份中台会根据此字段进行同步,保留离职人员邮箱,且已离职人员不再有权限修改邮箱密码,安全与业务双重需求得到满足。


用户自服务自主改密,为统一身份认证奠定基础


统一身份认证需要使用账号密码来进行,从HR系统同步账号时并没有密码信息。因此,宁盾统一身份中台为该客户提供了用户自服务功能,基于web端的自助服务平台,员工收到修改密码短信提醒后,可在上面自主修改/重置密码、修改手机号等,既保证了统一身份认证体系健全,也让用户在SSO单点登录应用时及时改密、找回,不影响办公进度,更让IT人员得以从大量琐碎工作中解放出来,兼顾了用户体验与运维效率。


多个站点多套LDAP体系,支撑多分支业务需求


多分支业务需求,需要有其他目录服务。宁盾统一身份中台支持多租户/多站点,可快速扩容到其他分支。在本项目中,宁盾为该客户新建2个站点,即创建2个LDAP服务,对应2个BaseDN,以支撑分支业务。

73c28a40e9911ddeb8ce49cfb2947a4c.jpeg引入宁盾统一身份中台系统后,既对网络、应用(邮箱、网盘、VPN等)多个场景实现LDAP统一身份认证,也支撑了其他业务应用快速实现SSO单点登录。账号的变更操作也从原先的多次变为HR仅在人事系统中更新一次即可,将手动管理账号提升为自动化账号管理,效率大幅提升的同时,安全等级也正向递增。用户自服务让IT的精力不再被改密、找回密码的琐碎工作所占据,专心维护IT资产。多个能力集于一身的统一身份中台,简化了运维工作,成本更经济,效果更出众。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1466010.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Jmeter基础(2) 目录介绍

目录 Jmeter目录介绍bin目录docsextrasliblicensesprintable_docs Jmeter目录介绍 在学习Jmeter之前,需要先对工具的目录有些了解,也会方便后续的学习 bin目录 examplesCSV目录中有CSV样例jmeter.batwindow 启动文件jmeter.shMac/linux的启动文件jmete…

flink内存管理,设置思路,oom问题,一文全

flink内存管理 1 内存分配1.1 JVM 进程总内存(Total Process Memory)1.2 Flink 总内存(Total Flink Memory)1.3 JVM 堆外内存(JVM Off-Heap Memory)1.4 JVM 堆内存(JVM Heap Memory)…

如何在Pycharm中导入第三方库(以pyecharts为例子)

打开Pycharm 点击右上角文件->设置->项目->pythonProject(Python解释器) 点击下图号 下一步:在搜索栏中直接搜索第三方包pyecharts并安装即可 以上便为使用Pycharm安装第三方库的全过程。 温馨小提示,如果大家在Pychar…

研学活动报名平台系统功能清单

中小学生社会实践活动、研学旅行等素质教育活动报名与管理平台,功能包含:活动分类,活动管理,在线报名缴费,扫码核销,会员特权体系,在线商城,研学互动。系统支持入驻老师自行创建研学…

代码随想录算法训练营第二十六天|39. 组合总和、40.组合总和II、131.分割回文串

39. 组合总和 刷题https://leetcode.cn/problems/combination-sum/description/文章讲解https://programmercarl.com/0039.%E7%BB%84%E5%90%88%E6%80%BB%E5%92%8C.html视频讲解https://www.bilibili.com/video/BV1KT4y1M7HJ/?vd_sourceaf4853e80f89e28094a5fe1e220d9062 回溯…

【数据分享】2014-2024年全国监测站点的逐年空气质量数据(15个指标\免费获取)

空气质量的好坏反映了空气的污染程度,在各项涉及城市环境的研究中,空气质量都是一个十分重要的指标。空气质量是依据空气中污染物浓度的高低来判断的。 我们发现学者王晓磊在自己的主页里面分享了2014年5月以来的全国范围的到站点的逐时空气质量数据&am…

【Python笔记-设计模式】组合模式

一、说明 组合模式是一种结构型设计模式, 你可以使用它将对象组合成树状结构, 并且能像使用独立对象一样使用它们。 (一) 解决问题 处理树形结构:可以很好地处理树形结构的数据,使得用户可以统一对待单个对象和对象组合。统一接…

【LeetCode每日一题】 单调栈的案例 42. 接雨水

这道题是困难,但是可以使用单调栈,非常简洁通俗。 关于单调栈可以参考单调栈总结以及Leetcode案例解读与复盘 42. 接雨水 给定 n 个非负整数表示每个宽度为 1 的柱子的高度图,计算按此排列的柱子,下雨之后能接多少雨水。 示例 …

2 物理层(五):传输介质

目录 1 传输介质1.1 有线传输媒体1、双绞线2、同轴电缆3、光纤 1.2 无线传输媒体1、无线电波段分配2、微波通信3、卫星通信4、红外通信和激光通信 1 传输介质 物理层传输的二进制比特流需要在传输介质上实现。传输介质是数据传输的物理通道,它还能连接主机和各种网…

【JAVA】中的静态代理、动态代理以及CGLIB动态代理

目录 1.静态代理 2.动态代理 3.cglib代理 代理模式是java中最常用的设计模式之一,尤其是在spring框架中广泛应用。对于java的代理模式,一般可分为:静态代理、动态代理、以及CGLIB实现动态代理。 对于上述三种代理模式,分别进行…

Kubernetes 二进制部署 《easzlab / kubeasz项目部署》(一)

Kubernetes 二进制部署 - easzlab / kubeasz项目部署 1. 准备工作1.1 设置防火墙1.2 设置SeLinux1.3 设置时区及时间同步1.4 配置域名解析1.5 确认SSH开启1.6 IP转发1.7 安装docker1.8 关闭swap 2. 服务器规划2.1 基本架构图2.2 官方建议2.3 实践服务器规划 3. 服务器配置3.1 配…

基于MPPT最大功率跟踪算法的涡轮机控制系统simulink建模与仿真

目录 1.课题概述 2.系统仿真结果 3.核心程序与模型 4.系统原理简介 5.完整工程文件 1.课题概述 基于MPPT最大功率跟踪算法的涡轮机控制系统simulink建模与仿真.mppt采用爬山法实现,仿真输出MPPT控制效果,功率,转速等。 2.系统仿真结果 …

SQL注入漏洞解析--less-2

首先我们进入第二关 思路: 1.先判断是什么类型的注入 2.根据类型我们在找注入点 步骤: 1.提示我们输入id数字,那我们先输入1猜一下 2.这里正常回显,当我们后边加上时可以看到报错,且报错信息看不到数字&#xff0…

Go 中如何高效遍历目录?探索几种方法

嗨,大家好!我是波罗学。本文是系列文章 Go 技巧第十八篇,系列文章查看:Go 语言技巧。 目录遍历是一个很常见的操作,它的使用场景有如文件目录查看(最典型的应用如 ls 命令)、文件系统清理、日志…

知识积累(二):损失函数正则化与权重衰减

文章目录 1. 欧氏距离与L2范数1.1 常用的相似性度量 2. 什么是正则化?参考资料 本文只介绍 L2 正则化。 1. 欧氏距离与L2范数 欧氏距离也就是L2范数 1.1 常用的相似性度量 1)点积 2)余弦相似度 3)L1和L2 2. 什么是正则化&…

游戏史上五个定价最高的量产型游戏机

你买过微软和索尼的下一代游戏机PS5和XBOX吗? PS5光驱版售价499美元,无光驱版售价399美元,高端版售价499美元,入门版售价低至299美元。 对于这样的定价,你觉得贵还是便宜呢? 为什么不让我们垂直比较整个游戏…

前端数据可视化:ECharts使用

可视化介绍 ​  ​  应对现在数据可视化的趋势,越来越多企业需要在很多场景(营销数据,生产数据,用户数据)下使用,可视化图表来展示体现数据,让数据更加直观,数据特点更加突出。   ​  数据可视化主要目…

【论文精读】IBOT

摘要 掩码语言建模(MLM)是一种流行的语言模型预训练范式,在nlp领域取得了巨大的成功。然而,它对视觉Transformer (ViT)的潜力尚未得到充分开发。为在视觉领域延续MLM的成功,故而探索掩码图像建模(MIM),以训练更好的视觉transforme…

ico图片怎么制作(图片怎么变成ico格式)

ico图片一般命名为favicon.ico,主要用于作为缩略的网站标志,显示在浏览器的地址栏或者在标签中,一般用网站logo来制作。那么ico图片怎么制作?Logo图片怎么变成ico格式?下面boke112百科就跟大家说一说ico图片制作步骤&a…

【C++】——模板初阶 | STL简介

前言: 模板初阶 | STL简介 文章目录 一、模板初阶1.1 函数模板1.2 类模板 二、STL简介 (了解) 一、模板初阶 泛式编程(Generic Programming)指的是一种编程范式,其核心思想是编写可以在不同数据类型上通用的代码&#…