随着企業的發展壯大,員工數量越來越多,業務系統數量也越來越多,同時伴随着員工入/離職、調崗等情況不斷發生,企業 IT 運維承擔着巨大的壓力。主要展現在以下幾個方面:
IT 運維成本高
企業内部員工多、應用多,員工入離職、調崗等頻繁發生。
(1)員工入職時,要在 OA 或者 HR 系統中加入新使用者,在相應的業務系統中加入新使用者,并開啟對應權限;反之亦然。
(2)當員工從一個崗位調整到另外一個崗位,或者員工晉升時,需要調整其在相關業務系統中的角色或者删除、添加對應使用者。
在沒有自動化管理時,IT 運維要手動做大量的工作,不僅消耗大量運維成本,而且由于操作不及時、操作失誤等原因,都可能給企業的業務系統正常運作和業務資料安全造成不良影響。
業務系統通路存在風險
企業中業務系統繁多,有針對銷售的銷售管理系統(如 Salesforce、銷售易、紛享銷客),有針對開發的版本控制系統(如 Gitlab、JIRA、禅道),也有針對财務的财務管理軟體(如金蝶、用友)等等,不同部門或者不同角色的員工通路的業務系統不同,同一應用中可通路的内容範圍也不盡相同。如此複雜的權限管理規則,通過人工手動處理,出錯的幾率較高,一旦出錯重要業務資料洩露,會給企業造成較大的損失。
審計不夠友善
● 誰在什麼時間通路了什麼業務系統?
● 誰審批了哪個使用者的哪方面的申請?
● 誰在什麼時間往哪個業務系統添加/删除了使用者?
● 誰在什麼時間把哪個業務系統中的哪個使用者的權限做了變更?
......
這些審計資訊分散在各個業務系統中,缺少一張全局的總表,增加審計工作量。
甯盾身份管理自動化方案思路
身份管理自動化方案基于甯盾 NDS 身份目錄服務進行,
● 第一步:将企業内現有的本地 AD 域身份、社交身份(企業微信/飛書/釘釘)、臨時身份(外包、供應商)、雲上身份(OKTA、Google)等連接配接打通,收攏起來統一集中管理。
● 第二步:根據規則、事件、任務三個政策将上遊身份源内的任何變動操作同步給下遊應用。HR/OA系統内賬号新增、删除、調整都會自動同步到下遊應用裡。
● 第三步:再利用單點登入對接企業内各應用系統後,實作員工憑借一個身份一次性通路所有已授權的應用,提高辦公效率。
方案組成
見下圖,主要包括三個子產品:通用目錄 Universal Directory(即NDS)、應用 Applications、同步器 Synchronizer,分别負責統一身份管理、應用接入和身份自動化。
那麼,這三個子產品是怎麼工作的?
場景一:業務系統初次接入
當企業接入新的業務系統時,甯盾身份管理系統提供一鍵初始化功能,IT 運維人員隻要預先設定好同步規則,即可一鍵完成新業務系統的身份導入。
場景二:員工入職
某企業有一批新員工入職,其中有一些入職财務部門,一些入職研發部門。财務部門的員工需要用到金蝶财務系統和 OA 系統;研發部門的員工需要用到 Bitbucket 和 OA 系統。這三個系統的使用者字段各有不同,假設:
● OA系統需要name、mobile、email三個字段
● 金蝶系統需要 name、mobile 兩個字段
● Bitbucket需要 name、email 連個字段
那麼,同步器的工作流程示意圖如下:
事件:
當甯盾身份管理系統中新增使用者時,會觸發 UserAdded 事件,當該事件發生時,将會根據設定的規則向下遊業務系統同步身份資料。
規則:
如下表所示,每個業務系統配置自己的同步範圍和字段。
| 業務系統 | 同步範圍 | 同步字段 |
| OA系統 | 财務部門、研發部門 | name、mobile、email |
| 金蝶系統 | 财務部門 | name、mobile |
| Bitbucket | 研發部門 | name、email |
任務:本例為自動化執行任務
每添加一個使用者将觸發一個任務,一個任務包含1~N個task item。本例中的任務隻包含一個task item(“添加使用者組”事件,且使用者組中有多個使用者時,觸發的任務将包含多個task item)。
任務子產品支援檢視 task 及 task item 的執行狀态、執行結果,支援對失敗的 task item 單條/批量重新執行。
場景三:員工申請業務系統使用權限
員工A需要使用業務系統A,但是目前沒有權限。TA 在門戶網站提出申請,申請後觸發“應用申請”事件,該事件将會觸發一個“審批執行任務”,該任務不會立即執行,當管理者審批通過後,執行該事件,為員工A配置設定業務系統A的通路權限。
單點登入 SSO
單點登入功能提供業務系統統一登入門戶以及多種登入方式,管理者在管理背景根據企業需要選擇合适的登入方式。
甯盾單點登入SSO門戶
登入門戶登入方式可選
使用者名密碼登入方式,可以開啟雙因素認證,在靜态密碼基礎上再多一步動态密碼驗證,確定業務系統通路安全。對于非常重要的業務系統,支援二次認證,即在門戶中通路該業務系統時需要再次輸入動态密碼。
此外,單點登入門戶提供員工自服務能力:
● 支援員工自助修改賬号密碼;
● 支援員工自助新增賬號:針對臨時工等特殊員工,支援自助新增賬號,待管理者審批通過後,注冊成功;
● 支援員工自助申請應用:員工可以申請使用某個沒有權限的應用,待管理者審批通過後,可以使用。
應用內建 1000+
甯盾目前已經內建1000+應用,且仍在持續內建中。甯盾支援對接 SAML2.0、OAuth2.0、OIDC 等标準協定的商用軟體;支援以甯盾自研 EasySSO 協定對接企業的自研應用,對接簡單、使用安全;支援以表單代填方式對接無法改造的老舊應用。下面截圖是一部分目前已經對接的應用。
日志&報表
甯盾身份管理系統提供豐富的日志和報表,為審計人員提供合規性報告。包括:管理者記錄檔、應用通路日志、登入認證日志、應用權限一覽表等。在甯盾系統中可以總覽企業所有業務系統的權限、通路資訊等審計資料。
在實作身份管理的基礎上,一些安全廠商不斷為其産品整合擴充更多能力。以上這些問題也是 IGA( Identity Governance and Administration)身份治理和管理所要解決的方向。Gartner 認為 IGA 不僅可以證明身份治理的合規性,也支援持續為權限管理安全保駕護航,以確定數字身份沒有錯誤地配置通路權限,保證通路速度與準确性。
身份治理和管理(IGA)是一種基于政策的身份管理和通路控制方法,可以有效地降低風險,并改進整個組織範圍内的合規性。了解 IGA 首先要分别了解這兩個部分——身份治理和身份管理。前者涉及到職責、角色管理、日志記錄、分析和報告的分離。後者涉及憑據和帳戶管理、裝置和使用者配置和取消配置,以及權限管理。
甯盾身份管理方案正是 IGA 産品能力的展現,如需要了解更多細節,可以通路甯盾官網咨詢申請試用。