从HR系统到Windows AD域再到应用系统,如何自动化管理员工账号生命周期?

随着企业的发展壮大,员工数量越来越多,业务系统数量也越来越多,同时伴随着员工入/离职、调岗等情况不断发生,企业 IT 运维承担着巨大的压力。主要体现在以下几个方面:

IT 运维成本高

企业内部员工多、应用多,员工入离职、调岗等频繁发生。

  • 员工入职时,要在 OA 或者 HR 系统中加入新用户,在相应的业务系统中加入新用户,并开启对应权限;反之亦然。

  • 当员工从一个岗位调整到另外一个岗位,或者员工晋升时,需要调整其在相关业务系统中的角色或者删除、添加对应用户。

在没有自动化管理时,IT 运维要手动做大量的工作,不仅消耗大量运维成本,而且由于操作不及时、操作失误等原因,都可能给企业的业务系统正常运行和业务数据安全造成不良影响。

业务系统访问存在风险

企业中业务系统繁多,有针对销售的销售管理系统(如 Salesforce、销售易、纷享销客),有针对开发的版本控制系统(如 Gitlab、JIRA、禅道),也有针对财务的财务管理软件(如金蝶、用友)等等,不同部门或者不同角色的员工访问的业务系统不同,同一应用中可访问的内容范围也不尽相同。如此复杂的权限管理规则,通过人工手动处理,出错的几率较高,一旦出错重要业务数据泄露,会给企业造成较大的损失。

  审计不够方便

  • 谁在什么时间访问了什么业务系统?

  • 谁审批了哪个用户的哪方面的申请?

  • 谁在什么时间往哪个业务系统添加/删除了用户?

  • 谁在什么时间把哪个业务系统中的哪个用户的权限做了变更?

  • ......

这些审计信息分散在各个业务系统中,缺少一张全局的总表,增加审计工作量。

身份管理自动化方案思路

宁盾身份管理自动化方案基于NDS身份目录服务进行,

  • 第一步:将企业内现有的本地 AD 域身份、社交身份(企业微信/飞书/钉钉)、临时身份(外包、供应商)、云上身份(OKTA、Google)等连接打通,收拢起来统一集中管理。

  • 第二步:根据规则、事件、任务三个策略将上游身份源内的任何变动操作同步给下游应用。HR/OA系统内账号新增、删除、调整都会自动同步到下游应用里。

  • 第三步:再利用单点登录对接企业内各应用系统后,实现员工凭借一个身份一次性访问所有已授权的应用,提高办公效率。

方案组成

见下图,主要包括三个模块:通用目录 Universal Directory(即NDS)、应用 Applications、同步器 Synchronizer,分别负责统一身份管理、应用接入和身份自动化。

那么,这三个模块是怎么工作的?

场景 1:业务系统初次接入

当企业接入新的业务系统时,宁盾身份管理系统提供一键初始化功能,IT 运维人员只要预先设置好同步规则,即可一键完成新业务系统的身份导入。

场景 2:员工入职

某企业有一批新员工入职,其中有一些入职财务部门,一些入职研发部门。财务部门的员工需要用到金蝶财务系统和 OA 系统;研发部门的员工需要用到 Bitbucket 和 OA 系统。这三个系统的用户字段各有不同,假设:

  • OA系统需要name、mobile、email三个字段

  • 金蝶系统需要 name、mobile 两个字段

  • Bitbucket需要 name、email 连个字段

那么,同步器的工作流程示意图如下:

事件:

当Nington身份管理系统中新增用户时,会触发 UserAdded 事件,当该事件发生时,将会根据设定的规则向下游业务系统同步身份数据。

规则

如下表所示,每个业务系统配置自己的同步范围和字段。

业务系统

同步范围

同步字段

OA系统

财务部门、研发部门

Name、mobile、email

金蝶系统

财务部门

Name、mobile

Bitbucket

研发部门

Name、email

任务:本例为自动化执行任务

每添加一个用户将触发一个任务,一个任务包含1~N个task item。本例中的任务只包含一个task item(“添加用户组”事件,且用户组中有多个用户时,触发的任务将包含多个task item)。

任务模块支持查看 task 及 task item 的执行状态、执行结果,支持对失败的 task item 单条/批量重新执行。

场景 3:员工申请业务系统使用权限

员工A需要使用业务系统A,但是目前没有权限。TA 在门户网站提出申请,申请后触发“应用申请”事件,该事件将会触发一个“审批执行任务”,该任务不会立即执行,当管理员审批通过后,执行该事件,为员工A分配业务系统A的访问权限。

单点登录 SSO

单点登录功能提供业务系统统一登录门户以及多种登录方式,管理员在管理后台根据企业需要选择合适的登录方式。

登录门户

登录方式可选

用户名密码登录方式,可以开启双因素认证,在静态密码基础上再多一步动态密码验证,确保业务系统访问安全。对于非常重要的业务系统,支持二次认证,即在门户中访问该业务系统时需要再次输入动态密码。

此外,单点登录门户提供员工自服务能力

  • 支持员工自助修改账号密码;

  • 支持员工自助注册账号:针对临时工等特殊员工,支持自助注册账号,待管理员审批通过后,注册成功;

  • 支持员工自助申请应用:员工可以申请使用某个没有权限的应用,待管理员审批通过后,可以使用。

日志&报表

宁盾身份管理系统提供丰富的日志和报表,为审计人员提供合规性报告。包括:管理员操作日志、应用访问日志、登录认证日志、应用权限一览表等。在Nington系统中可以总览企业所有业务系统的权限、访问信息等审计数据。

在实现身份管理的基础上,一些安全厂商不断为其产品整合扩展更多能力。以上这些问题也是 IGA ( Identity Governance and Administration)身份治理和管理所要解决的方向。Gartner 认为 IGA 不仅可以证明身份治理的合规性,也支持持续为权限管理安全保驾护航,以确保数字身份没有错误地配置访问权限,保证访问速度与准确性。

身份治理和管理(IGA)是一种基于策略的身份管理和访问控制方法,可以有效地降低风险,并改进整个组织范围内的合规性。理解 IGA 首先要分别理解这两个部分——身份治理和身份管理。前者涉及到职责、角色管理、日志记录、分析和报告的分离。后者涉及凭据和帐户管理、设备和用户配置和取消配置,以及权限管理。

(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值