IDaaS身份管理之属性映射和表达式

于 2022-11-08 12:08:47 发布
阅读量334 收藏
点赞数
分类专栏: 身份开发 IDaaS 文章标签: java 云原生 企业微信
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39884933/article/details/127748200
版权

身份体系建设可以高效管理用户,通过提供身份智能快发现和修正用户权限,避免遗漏。通过身份管理,能够增加企业对于账号的使用情况的可见性和降低账号的管理难度。

企业的应用系统并非一天建成,往往经历了很长的周期,建设的部门也并非完全统一,出于不同应用系统的不同要求,命名的规范也不尽相同。因此,要统一管理好身份,那么就需要梳理不同账号之前的关系。

在这里插入图片描述

典型场景

我们会发现在各个业务系统中,账号所存储的属性都各不相同,企业中存在AD账号,HR系统,Email系统,OA系统
在这里插入图片描述

如何利用原有的基础设施AD——确保密码不变?

如何利用HR系统中的用户属性: 手机、邮箱、部门等?

如何将HR系统中的属性映射到不同的应用系统

这些都将是我们在身份治理中需要考虑内容

需求分解

那么如果通过OneAuth来进行关联,如何配置做到账号的统一?
我们来拆解下需求:

1. 表达式与映射——从HR 到 OneAuth

账号号来源为HR系统,将HR系统中的属性逐一映射到OneAuth
为了简化用户的认证输入,取邮箱的前缀作为登录名

split({email},"@")[0]
##通过以上表达式来取邮箱的前缀

在这里插入图片描述

2. 表达式与映射——从OneAuth到应用

为了满足应用系统的账号登录需求,将Email映射到邮箱,将工号映射到OA系统

eg. 阿里邮箱为例,可以将OneAuth中用户的email映射到阿里企业邮箱的sub

在这里插入图片描述

3. OneAuth委托AD认证

为了统一管理密码, 需要用到AD认证,那么则需要通过登录名和AD进行匹配。

通过选择账号与SAMAccountName进行匹配,那么当用户登录OneAuth进行认证是,则会委托AD进行认证,用户直接输入AD的密码即可以认证,从而无需用户记忆额外的密码。

在这里插入图片描述

小结

这样,我们就通过【OneAuth】完整的进行了【账号源】与【应用】之间的关联和映射:

在这里插入图片描述

通过以上的关联和管理,我们可以在OneAuth中集中的管理用户的身份:

增加了账号管理的透明性和可见性,在统一的平台维护用户的登录

为用户提供了便利,统一使用AD的密码进行登录,避免记忆多套密码

OneAuth
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
OneAuth 2022.11.23版本更新内容
11-25 444
通 OpenLDAP 协议可读取 OneAuth 中的用户组以及其中的成员。通过自定义Scope 和 Claims 进行 API 和数据的详细访问授权。在部分情况下,当策略和规则引用了位置和网络时无法正确命中策略和规则的问题。适应了更多 Web 网站的通过 GWA 身份认证方法的登录。同步飞书:OneAuth 可以同步飞书中的组织架构和用户。支持通过自定义属性和映射,获取北森中用户的自定义属性。
博客
如何基于钉钉通讯录生成LDAP服务
11-14 1426
如何通过钉钉目录 生成 LDAP服务,让企业运维LDAP更简单
博客
JumpServer 如何配置LDAP服务
11-14 1425
基于云的LDAP服务,快速配置JumpServer LDAP认证
博客
员工如何通过自助方式重置AD密码
11-14 1384
员工忘记AD密码,无法自助重置,通过OneAuth的 AD Agent 能够帮助企业轻松管理AD账号问题。
博客
用酒店门卡思路来深度理解OAuth2.0的工作原理
08-25 374
OAuth 2.0访问令牌和酒店房卡有什么共同点?酒店房卡与OAuth2.0 访问令牌是很相似的。 首先我们来用酒店的7个场景来更好的理解这个问题。01用酒店的7个场景类比这个问题 01前台验证即可获得房卡(验证身份获取Token)在酒店前台办理入住手续,出示您的身份证,您会得到一张房卡,您可以使用它进入您的酒店房间。在 OAuth 中,应用程序将用户发送到他们进行身份验证的 OAuth 服务器(类似于在前台出示身份证),然后 OAuth2.0 服务器将向应用程序发出访问令牌(Token)。02任何可以
博客
使用网络位置限制,保护公司数据安全
08-25 269
IP 限制策略通常是一组组合,例如定义的 IP 范围或单个 IP 地址和时间,因此 IP 限制解决方案允许管理员或组织所有者将单个用户限制为一个或多个预定义的 IP 地址。因此,启用 IP 限制可确保您的重要数据无法在不安全的公共场所或通过未注册的 IP 地址访问。通常,当用户尝试登录/访问其帐户时,IP 限制解决方案会根据允许列表评估登录请求的 IP 地址。如果您不知道您的 IP 地址,您可以通过百度键入“ IP ”来检查您的 IP 地址。动态 IP – 用户每次连接到网络时,IP 地址可能会有所不同。
博客
对于零信任 企业应该知道这22问
08-24 261
在产业数字化升级与业务上云的趋势下,传统企业保护边界逐渐被瓦解,企业被攻击面大幅增加,零信任这一网络安全的理念受到更多的关注,国内外围绕零信任展开大量的研究和实践。企业该如何部署零信任,OneAuth身份引擎云管理安全围绕零信任基于自身应用实践,梳理了22个常见的问题,帮助用户快速理解。Q1大家都在讨论零信任,零信任到底是什么?答:本质上,零信任既不是技术也不是产品,而是一种安全理念,“持续验证,永不信任”是其基本观点。零信任假定网络边界内外的任何访问主体(人/设备/应用),在未经过验证前都不予信任,需要
博客
云原生架构需遵循七个原则
08-23 713
作为一种架构模式,云原生架构通过若干原则来对应用架构进行核心控制。这些原则可以帮助技术主管和架构师在进行技术选型时更加高效、准确,下面将展开具体介绍。服务化原则在软件开发过程中,当代码数量与开发团队规模都扩张到一定程度后,就需要重构应用,通过模块化与组件化的手段分离关注点,降低应用的复杂度,提升软件的开发效率,降低维护成本。随着业务的不断发展,单体应用能够承载的容量将逐渐到达上限,即使通过应用改造来突破垂直扩展(Scale Up)的瓶颈,并将其转化为支撑水平扩展(Scale Out)的能力,在全局并发访问的
博客
使用spring security 实现CAS单点登录
08-22 1259
每次验证时,CAS Server 会根据 TGT签发一个ST,并把ST拼接在service参数中,同时将相应的TGC设置到用户的cookie中(域为CAS Server),并返回302 状态码,指示浏览器重定向到 service,例如 http://cas.client.com/me?在单点登录系统中,需要定义一个独立的认证中心,只有认证中心才能接受用户的用户名密码等安全信息,而其他系统并不提供登录入口,只接受认证中心的间接授权,间接授权通过令牌实现。,只需要登录一次就可以进入多个系统,而不需要重新登录。
博客
东半球最佳的身份引擎服务,诚邀探索
08-12 186
当然,每个组织都不会突然放弃其现有⽹络并将所有东⻄推到云中,但是,新的解决⽅案必须支持混合的场景,通过整合本地⽹路连接到云的场景,逐渐的转变。OneAuth 致力于为未来的云身份管理打造极致体验的产品,接受您对产品的任何挑战,对于采纳的建议,我们将提供精美的礼品一份。在认证环节,OneAuth 提供了非常灵活的策略配置,管理员可以根据能够想到的任意安全考量去设计用户的登录和获取权限的流程。连接消费者,建⽴⾯向消费者的统⼀设计语⾔的登录体验,以及建⽴企业级的⽤户中⼼。配置访问的策略以确定是授予还是拒绝访问。.
博客
如何完成繁杂的身份治理
08-12 433
例如身份源中企业微信的员工离职,管理员在企业微信中将员工状态变更,即同步状态到 OneAuth 中该员工则无法登录 OneAuth 继而收回之前授权的应用权限。OneAuth 的映射和表达式起到了非常关键的作用,无需任何代码,即可简便配置,支持复杂场景的账号关联和映射。例如一些企业,由于历史原因,HR 系统和 AD 的邮箱为公司邮箱,但是身份管理平台,需要简化的用户登录名称,登录名为邮箱前缀,而 OA 系统的登录名为用户 ID ,这就造成了各个系统之间的割裂。身份映射统一管理分散的身份。...
博客
企业如何实现安全可靠的云密码管理
08-12 957
密码在企业应用中充当着身份鉴权的基本角色。云原生的发展国内SaaS类型的应用也日益增多,众多企业开始使用SaaS类的对企业的业务进行管理。如HR SaaS 、CRM、ERP等,对于密码的统一安全管理是众多企业都需要考虑的问题。‍面对众多的员工的应用账号密码应该如何合理有效的进行授权、管理、回收、这可能是众多企业管理员头疼的问题。企业内部存在着一些共享的账号应用,即多人使用同一账号。一般情况下管理员会将明文的账号密码直接分发给员工使用,这可能会造成该应用账号被其他人使用的可能性。当员工离职时,管理员通过修改账
博客
企业应用身份中台,让登录变得更加高效
08-11 310
SaaS的好处是无可争议的,但是在提升便利的同时也带来了新的安全风险。当公司授予用户的访问权限超过完成工作所需的权限,而无法查看或管理多个SaaS和公有云环境中的用户权限时,就容易出现权限越权,影响企业的信息数据泄露等安全隐患。随着近些年的云原生的应用兴起,企业开始对SaaS应用的管理需求日益增高。越来越多的企业开始部署IAM身份管理系统,而对于企业而言自研身份管理类软件成本高、周期长且上线时间慢,而选择一个合适企业身份管理中台,是大多数企业的绝佳选择。OneAuth企业应用身份中台OneAuth 单点登录
博客
北森 x OneAuth,自动化企业员工账号生命周期管理
08-10 524
随着互联网、AI、云计算技术等行业的高速发展,企业信息化建设已成为实现可持续发展和提高企业核心竞争力的重要手段。业务系统的不断增多,员工规模的不断壮大,员工的入职、离职以及权限的开通都需要人工手动来创建,对于大量员工变动的情况下,显然这是一个很重复且的事情,企业往往因为一些业务原因无法及时对离职员工的权限进行收回,易出现企业敏感数据外泄等安全问题。企业应该建设数字化身份生命周期管理,加强对身份管理的重视是当下云时代的有必要注意的问题之一。01.什么是生命周期管理数字化身份生命周期管理是企业内身份伴随其角色进
博客
新一代IAM爆发式增长,混合云时代,企业如何选择云身份管理
08-05 367
根据瞻博网络发布的一项研究报告,未来五年,全球在身份和访问管理( IAM )解决方案上的支出将增长62%,从今年预计的160亿美元增加到2027年的265亿美元。新增的 IAM 市场将主要基于 SaaS 模式(云 IAM ),分析师认为 SaaS 正在迅速成为购买 IAM 解决方案的主要模式——预计到2027年,云IAM将占据 IAM 市场的绝大部分。报告指出:“需要管理的设备和服务比以往任何时候都多,对相关访问权限的要求也不同。”“随着员工在企业中的不同角色迁移,需要跟踪的内容也越来越多,管理身份和访问变
博客
OneAuth云目录,助力企业数字化身份统一管理
08-05 600
一般大型企业内部存在的应用、设备,如堡垒机、防火墙设备、 VPN 网关,无线网络AC控制器等都支持 LDAP 管理功能。建立 LDAP 服务是个相对复杂耗时的过程,企业若想使用 LDAP 服务需要复杂的搭建以及配置,前期部署成本和后期维护成本相对比较高且需要专人维护,对于后期IT运维的要求高且管理维护也颇为复杂。有没有合适解决方案可以既能解决问题又能轻松的使用 LDAP 服务,实现企业现代化建设的数字化身份管理的统一,化繁为简的同时卓越的提升企业管理效率。OneAuth 云目录的特性云目录是&nbs
博客
SSO与密码管理工具的区别:该用哪种?
08-03 180
密码管理器解决方案和单点登录(SSO)有着相同的目的:让用户可以轻松地跨不同的应用程序登录。在这两种技术中,用户只需一次登录即可解锁对多个网站和应用程序的访问。这些相似之处就是为什么人们经常怀疑 SSO 和密码管理器是否是一回事。但事实并非如此。这两种技术都支持多应用程序登录,但方式完全不同。在本文中,我们将更详细地研究这些技术,并帮助您选择最适合您的组织的解决方案。...
博客
OneAuth 7月主题 如果失败,让失败的代价更低
07-28 136
这里是2022年第4期的 OneAuth《身份月报》—— 致力于成为对大家“有用”的 Highlight 看板——每月初通过公众号以及 EDM 邮件等渠道发布。也欢迎大家转发和反馈。对于任何反馈(包括但不限于内容上、形式上)我们不胜感激、并有小惊喜回馈,例如你希望从“身份管理月报”中看到哪些内容;自己推荐的信源、话题、会议等;内容排版或呈现形式上有哪些可以改进的地方等,对与 OneAuth 的期望等等。我们欢迎更多的小
博客
从身份厂商OKTA黑客攻击事件,企业应该注意几大安全问题
07-27 1095
被全球数千家企业使用的认证技术方案公司Okta表示,它正在调查一个潜在的漏洞消息。披露这一消息时,黑客组织 Lapsus$ 在其 Telegram 频道上发布了自称是 Okta内部系统的截图,其中一张似乎显示了 Okta 的 Slack 频道,另一张是 Cloudflare 界面。Okta 是一家拥有超过15,000名客户的身份认证服务,周二表示,攻击者在1月份可以访问支持工程师的笔记本电脑五天。但据该公司称,该服务本身并未遭到破坏。01.OKTA的事件发生回顾Okta 泄密事件的主要原因:内部员工终端缺乏
博客
单点登录对企业的价值体现究竟有多少?
07-27 255
在过去的十年中,企业的 IT 管理员一直在应对企业内部各种不同的关键性变革:随着云服务的发展企业使用云应用越来越多;根据 Mary Meeker of Kleiner Perkins 发布的客户数据显示,企业内部跨部门协作使用的云服务应用系统平均达100多个 ,这个数量远远大于本地部署应用系统的数量。但是,这并不意味着本地部署应用系统会很快被完全取代。事实上,60%的 IT 决策者认为涉及关键业务性数据的应用系统都应该采用本地部署的形式。企业的应用系统数目的不断增多,其所带来的威胁也与日俱增。企业为员工在不

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值