某科技型企業(yè)成立于2009年，主要從事ICT基礎設施、云基礎架構軟件研發(fā)和服務，通過提供最適合的技術，已為1萬多家企業(yè)構建復雜業(yè)務系統(tǒng)和應用軟件。

該企業(yè)發(fā)展十分迅速，在去年成功上市。為了更好地提高企業(yè)經(jīng)營管理效率，信息化建設也在近兩年逐步得到重視。但隨著業(yè)務系統(tǒng)和員工增多，導致賬號難以統(tǒng)一管理，運維壓力大。該企業(yè)的IT負責人吳經(jīng)理找到寧盾，迫切需要一個統(tǒng)一身份管理解決方案，集中管理用戶身份、資源訪問和設備，并且能隨著公司的快速發(fā)展而擴展。

客戶：某科技型企業(yè)

規(guī)模：1000名員工

問題：系統(tǒng)分散，管控不集中

目標：統(tǒng)一身份管理

一、背景 Background

通過和吳經(jīng)理的溝通得知目前該企業(yè)已有十幾套業(yè)務系統(tǒng)，包括外采系統(tǒng)（泛微OA、用友ERP、企業(yè)郵箱、深信服等），開發(fā)系統(tǒng)（Gitlab、Confluence、JIRA、禪道等），自研系統(tǒng)（有的事業(yè)部為了提高工作效率自行開發(fā)）。隨著公司業(yè)務快速擴張，企業(yè)員工數(shù)也在不斷增加。

業(yè)務系統(tǒng)、員工數(shù)量逐漸增多，十余套系統(tǒng)需單獨維護賬號和權限的增刪改，不能集中管理，對運維部門來說是浩大的工作量。除此之外，集團的業(yè)務系統(tǒng)一部分由信息部管理，一部分事業(yè)部自研系統(tǒng)是部門自己管理，管控不集中，就有可能存在員工離職后賬號沒有及時刪除而引發(fā)安全事件的情況。

吳經(jīng)理告訴我們：“目前企業(yè)已有700多名員工，未來將增長到1000多人。不僅人員在新增和流動，業(yè)務系統(tǒng)也在新增，管控不集中，安全存在隱患，我希望可以實現(xiàn)統(tǒng)一管理。” 在和寧盾溝通的過程中，他也提出了很多疑問：

（1）統(tǒng)一認證身份源從哪里來？將 AD 還是 HR 系統(tǒng)作為賬號源？用哪個做認證？賬號怎么同步？

（2）下游系統(tǒng)多，是否都能支持接入？通過什么協(xié)議接入？

（3）如何建立主從賬號管理？

（4）用了單點登錄（SSO）后原來的系統(tǒng)還能登錄嗎？是在哪里驗證？

（5）密碼是調(diào)接口的嗎？是明文還是加密傳輸？是否需要解析？有證書加密方式嗎？

（6）POC測試和實施過程中，會不會影響正常用戶使用？

? ? ? ? ?……

寧盾在詳細溝通需求后，為客戶打造了一個統(tǒng)一身份管理解決方案，由統(tǒng)一身份管理、賬號生命周期管理、單點登錄、多因素認證幾個部分組成。

“我們研究了很多市面上的廠商，但能滿足我們需求的是寧盾?！眳墙?jīng)理說道。

二、解決方案 Solutions

1、統(tǒng)一身份管理

通過統(tǒng)一身份管理，打通、整合分散在各應用中的用戶身份信息，建立一個統(tǒng)一的用戶身份信息庫，實現(xiàn)用戶憑借一個身份通行企業(yè)。

將外部用戶源接入進來集中管理，并同步給下游業(yè)務應用

由于各個系統(tǒng)分散，每個系統(tǒng)都需要通過人工單獨創(chuàng)建、刪除、修改等，該科技型企業(yè)曾經(jīng)每月花費幾十個小時進行賬號配置——吳經(jīng)理說現(xiàn)在這些情況呈指數(shù)級減少。他們現(xiàn)在可以將所有身份信息進行統(tǒng)一管理，無縫地將身份信息提供給設備和其他連接的 IT 資源，并通過 RBAC（基于角色的）的控制策略輕松調(diào)整員工的訪問權限。

“寧盾的方案幫我們省去了80%的配置時間，員工的協(xié)作效率得到了顯著提升?！眳墙?jīng)理說到。

除了更快地進行賬號配置外，吳經(jīng)理還對密碼重置功能贊不絕口，他回憶說：“我們過去每隔幾周就會看到幾十個密碼重置的需求?，F(xiàn)在，我們一個月也很難收到一個，很大程度上是因為員工可以很容易地自助重置密碼?！?/p>

2、賬號生命周期管理

通過賬號生命周期管理，可以統(tǒng)一管理用戶賬號的創(chuàng)建、變更到注銷/凍結的流程，并通過身份供給，將賬號及組織架構（權限）同步至下游各應用系統(tǒng)，實現(xiàn)自動/半自動化管理。

曾經(jīng)該科技型企業(yè)員工入職時需要找每個系統(tǒng)的管理員開通賬號，離職或轉(zhuǎn)崗時還需要找對應負責人修改權限，流程非常繁瑣，且如果沒有及時停用離職員工賬號，易出現(xiàn)安全隱患。通過寧盾賬號生命周期管理，優(yōu)化了該科技型企業(yè)的入職離職流程，HR可以通過一個系統(tǒng)輕松啟動員工入職、離職流程。

“這是我們建立的最好的入職體驗之一，”吳經(jīng)理說?！靶聠T工和HR經(jīng)常稱贊它有多棒?！?/p>

3、單點登錄SSO

通過整合多個應用系統(tǒng)，在跨業(yè)務系統(tǒng)訪問中，用戶只需登錄一次，認證通過后就可以訪問權限內(nèi)的其他所有業(yè)務系統(tǒng)。

JIRA 單點登錄SSO效果演示：

寧盾單點登錄（SSO）研發(fā)系統(tǒng)JIRA演示

“我們員工需要記住的密碼數(shù)量由10多個減少到1個，通過一個門戶就可以登錄所有業(yè)務系統(tǒng)。用戶體驗很不錯！”吳經(jīng)理說。

員工可以輕松、快速、安全地在應用程序之間切換，只有授權用戶才能訪問工具和系統(tǒng)?！拔覀兯械膯T工在內(nèi)部訪問我們的業(yè)務系統(tǒng)時，都很樂意登錄統(tǒng)一門戶?！彼^續(xù)說道。

4、多因素認證

通過多因素認證，在單點登錄門戶上添加動態(tài)口令二次認證過程，加強登錄入口賬號安全，降低因弱密碼問題引發(fā)的安全風險。

為了提升安全性，該科技型企業(yè)為用戶和管理控制臺、應用程序以及 Mac 和 Linux 系統(tǒng)添加了多因素身份驗證（MFA）。

吳經(jīng)理感嘆道：“員工為了方便記憶，經(jīng)常會設置123456、Aa1111、admin等這種弱密碼，以前總是擔驚受怕安全漏洞，現(xiàn)在得以完美解決。”

三、客戶價值 Result

通過實施寧盾統(tǒng)一身份管理解決方案，能夠簡化用戶管理、降本增效、并加強安全性。吳經(jīng)理告訴我們，“統(tǒng)一身份管理的好處是巨大的，影響到每個人。對于員工來說，只需要一套賬號密碼就可以訪問權限內(nèi)的所有業(yè)務系統(tǒng)，體驗很好；對于管理員來說，用戶配置變得非常自動化，整體流程得到了簡化，運維效率從沒有這么高過。”

如果您有興趣了解在您自己的 IT 環(huán)境中使用寧盾是否能實現(xiàn)類似的結果和好處，吳經(jīng)理也建議大家可以免費試用。

（本文來源于寧盾，僅供學習和參考，未經(jīng)授權禁止轉(zhuǎn)載和復制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）