从HR系统到Windows AD域再到应用系统，如何自动化管理员工账号生命周期？

宁盾Nington

已于 2022-11-03 10:58:26 修改

阅读量1.2k

点赞数

分类专栏：宁盾国产化身份域管（微软AD替代）文章标签： windows 自动化运维微软 microsoft

于 2022-10-21 19:52:43 首次发布

本文链接：https://blog.csdn.net/yuzijiang11111/article/details/127452704

版权

宁盾国产化身份域管（微软AD替代）专栏收录该内容

164 篇文章 8 订阅

订阅专栏

随着企业的发展壮大，员工数量越来越多，业务系统数量也越来越多，同时伴随着员工入/离职、调岗等情况不断发生，企业 IT 运维承担着巨大的压力。主要体现在以下几个方面：

IT 运维成本高

企业内部员工多、应用多，员工入离职、调岗等频繁发生。

员工入职时，要在 OA 或者 HR 系统中加入新用户，在相应的业务系统中加入新用户，并开启对应权限；反之亦然。
当员工从一个岗位调整到另外一个岗位，或者员工晋升时，需要调整其在相关业务系统中的角色或者删除、添加对应用户。

在没有自动化管理时，IT 运维要手动做大量的工作，不仅消耗大量运维成本，而且由于操作不及时、操作失误等原因，都可能给企业的业务系统正常运行和业务数据安全造成不良影响。

业务系统访问存在风险

企业中业务系统繁多，有针对销售的销售管理系统（如 Salesforce、销售易、纷享销客），有针对开发的版本控制系统（如 Gitlab、JIRA、禅道），也有针对财务的财务管理软件（如金蝶、用友）等等，不同部门或者不同角色的员工访问的业务系统不同，同一应用中可访问的内容范围也不尽相同。如此复杂的权限管理规则，通过人工手动处理，出错的几率较高，一旦出错重要业务数据泄露，会给企业造成较大的损失。

审计不够方便

谁在什么时间访问了什么业务系统？
谁审批了哪个用户的哪方面的申请？
谁在什么时间往哪个业务系统添加/删除了用户？
谁在什么时间把哪个业务系统中的哪个用户的权限做了变更？
......

这些审计信息分散在各个业务系统中，缺少一张全局的总表，增加审计工作量。

身份管理自动化方案思路

宁盾身份管理自动化方案基于NDS身份目录服务进行，

第一步：将企业内现有的本地 AD 域身份、社交身份（企业微信/飞书/钉钉）、临时身份（外包、供应商）、云上身份（OKTA、Google）等连接打通，收拢起来统一集中管理。
第二步：根据规则、事件、任务三个策略将上游身份源内的任何变动操作同步给下游应用。HR/OA系统内账号新增、删除、调整都会自动同步到下游应用里。
第三步：再利用单点登录对接企业内各应用系统后，实现员工凭借一个身份一次性访问所有已授权的应用，提高办公效率。

方案组成

见下图，主要包括三个模块：通用目录 Universal Directory（即NDS）、应用 Applications、同步器 Synchronizer，分别负责统一身份管理、应用接入和身份自动化。

那么，这三个模块是怎么工作的？

场景 1：业务系统初次接入

当企业接入新的业务系统时，宁盾身份管理系统提供一键初始化功能，IT 运维人员只要预先设置好同步规则，即可一键完成新业务系统的身份导入。

场景 2：员工入职

某企业有一批新员工入职，其中有一些入职财务部门，一些入职研发部门。财务部门的员工需要用到金蝶财务系统和 OA 系统；研发部门的员工需要用到 Bitbucket 和 OA 系统。这三个系统的用户字段各有不同，假设：

OA系统需要name、mobile、email三个字段
金蝶系统需要 name、mobile 两个字段
Bitbucket需要 name、email 连个字段

那么，同步器的工作流程示意图如下：

事件：

当Nington身份管理系统中新增用户时，会触发 UserAdded 事件，当该事件发生时，将会根据设定的规则向下游业务系统同步身份数据。

规则：

如下表所示，每个业务系统配置自己的同步范围和字段。

业务系统	同步范围	同步字段
OA系统	财务部门、研发部门	Name、mobile、email
金蝶系统	财务部门	Name、mobile
Bitbucket	研发部门	Name、email

任务：本例为自动化执行任务

每添加一个用户将触发一个任务，一个任务包含1~N个task item。本例中的任务只包含一个task item（“添加用户组”事件，且用户组中有多个用户时，触发的任务将包含多个task item）。

任务模块支持查看 task 及 task item 的执行状态、执行结果，支持对失败的 task item 单条/批量重新执行。

场景 3：员工申请业务系统使用权限

员工A需要使用业务系统A，但是目前没有权限。TA 在门户网站提出申请，申请后触发“应用申请”事件，该事件将会触发一个“审批执行任务”，该任务不会立即执行，当管理员审批通过后，执行该事件，为员工A分配业务系统A的访问权限。

单点登录 SSO

单点登录功能提供业务系统统一登录门户以及多种登录方式，管理员在管理后台根据企业需要选择合适的登录方式。

登录门户

登录方式可选

用户名密码登录方式，可以开启双因素认证，在静态密码基础上再多一步动态密码验证，确保业务系统访问安全。对于非常重要的业务系统，支持二次认证，即在门户中访问该业务系统时需要再次输入动态密码。

此外，单点登录门户提供员工自服务能力：

支持员工自助修改账号密码；
支持员工自助注册账号：针对临时工等特殊员工，支持自助注册账号，待管理员审批通过后，注册成功；
支持员工自助申请应用：员工可以申请使用某个没有权限的应用，待管理员审批通过后，可以使用。

日志&报表

宁盾身份管理系统提供丰富的日志和报表，为审计人员提供合规性报告。包括：管理员操作日志、应用访问日志、登录认证日志、应用权限一览表等。在Nington系统中可以总览企业所有业务系统的权限、访问信息等审计数据。

在实现身份管理的基础上，一些安全厂商不断为其产品整合扩展更多能力。以上这些问题也是 IGA （ Identity Governance and Administration）身份治理和管理所要解决的方向。Gartner 认为 IGA 不仅可以证明身份治理的合规性，也支持持续为权限管理安全保驾护航，以确保数字身份没有错误地配置访问权限，保证访问速度与准确性。

身份治理和管理（IGA）是一种基于策略的身份管理和访问控制方法，可以有效地降低风险，并改进整个组织范围内的合规性。理解 IGA 首先要分别理解这两个部分——身份治理和身份管理。前者涉及到职责、角色管理、日志记录、分析和报告的分离。后者涉及凭据和帐户管理、设备和用户配置和取消配置，以及权限管理。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制）