身份体系建设可以高效管理用户,通过提供身份智能快发现和修正用户权限,避免遗漏。通过身份管理,能够增加企业对于账号的使用情况的可见性和降低账号的管理难度。
企业的应用系统并非一天建成,往往经历了很长的周期,建设的部门也并非完全统一,出于不同应用系统的不同要求,命名的规范也不尽相同。因此,要统一管理好身份,那么就需要梳理不同账号之前的关系。
典型场景
我们会发现在各个业务系统中,账号所存储的属性都各不相同,企业中存在AD账号,HR系统,Email系统,OA系统
如何利用原有的基础设施AD——确保密码不变?
如何利用HR系统中的用户属性: 手机、邮箱、部门等?
如何将HR系统中的属性映射到不同的应用系统
这些都将是我们在身份治理中需要考虑内容
需求分解
那么如果通过OneAuth来进行关联,如何配置做到账号的统一?
我们来拆解下需求:
1. 表达式与映射——从HR 到 OneAuth
账号号来源为HR系统,将HR系统中的属性逐一映射到OneAuth
为了简化用户的认证输入,取邮箱的前缀作为登录名
split({email},"@")[0]
##通过以上表达式来取邮箱的前缀
2. 表达式与映射——从OneAuth到应用
为了满足应用系统的账号登录需求,将Email映射到邮箱,将工号映射到OA系统
eg. 阿里邮箱为例,可以将OneAuth中用户的email映射到阿里企业邮箱的sub
3. OneAuth委托AD认证
为了统一管理密码, 需要用到AD认证,那么则需要通过登录名和AD进行匹配。
通过选择账号与SAMAccountName进行匹配,那么当用户登录OneAuth进行认证是,则会委托AD进行认证,用户直接输入AD的密码即可以认证,从而无需用户记忆额外的密码。
小结
这样,我们就通过【OneAuth】完整的进行了【账号源】与【应用】之间的关联和映射:
通过以上的关联和管理,我们可以在OneAuth中集中的管理用户的身份:
增加了账号管理的透明性和可见性,在统一的平台维护用户的登录
为用户提供了便利,统一使用AD的密码进行登录,避免记忆多套密码