来源:宁盾科技
2023-05-27 05:18:27
某国企下属分公司成立于上世纪80年代末,随着业务不断发展壮大,公司人员增多,公司内部陆续采购了许多应用来提升销售、财务、营销、人事等管理工作。然而,不同的应用使用不同的身份管理,不仅IT管理员需要维护员工的多套身份信息,运维工作庞大,员工登录各个应用也需要记忆不同的账号密码,办公体验有待提升。
(资料图片)
为此,该公司的IT负责人找到宁盾,提出了需求:“现在,我们公司用的是钉钉,希望可以通过钉钉扫码的方式,让员工单点登录应用、接入内网等。”
缺少统一身份,各职能效率受阻
经过梳理发现,该公司早年并未规划过身份管理体系,因此多年来都未曾搭建微软AD、OpenLDAP等目录服务来存储、管理组织架构和用户信息,提供统一认证和鉴权。
因此,本质上是由于公司内部没有统一身份认证中心,从而使得各个应用无法统一认证,各个职能部门的工作效率都受到影响,但其表象很容易让 IT 人员认为 SSO 单点登录能解决该问题。
应用管理员:“这么多业务系统,每次手工创建、删除账号很麻烦,能不能直接自动同步钉钉的组织架构和人员信息?最好能用钉钉的组织来管理权限。”
HR:“人员入职、调岗时,是否可以自动将钉钉账号同步到域账号,以及邮箱、OA系统?不然我要对接好几个人才能让新同事拿到所有账号。”
IT负责人:“公司里的好几个应用,如QNAP威联通NAS、360天擎等仅支持LDAP协议,无法实现单点登录,有没有办法解决?”
安全专员:“人员离职时,各种相关应用和设备的账号以及电脑账号都得冻结,容易有遗漏或操作不及时,有什么好办法?”
员工:“能不能不要记那么多应用的用户名和密码呀?一键登录可以节省很多时间。”
同步钉钉组织架构,新建LDAP目录
要解决单点登录问题,该公司首先要搭建LDAP目录服务,以钉钉通讯录内的组织架构和用户信息为主账号源,建立统一身份认证体系。此时,就要借助宁盾身份目录作为企业新建的LDAP目录服务,同步拉取钉钉内的用户信息。
其次,宁盾身份目录将用户信息同步给各个应用,实现员工账号生命周期自动化管理。人员入职、调岗、离职引起的账号创建、变更、删除,在钉钉内操作完成后都会自动同步到应用内,权限同理。
然后,通过多种协议如LDAP、OIDC、SAML、OAUTH、EasySSO等协议对接应用,实现单点登录。
基于钉钉组织架构和用户信息同步搭建本地LDAP
使用宁盾目录服务后的账号管理流程图
与OpenLDAP相比,宁盾身份目录拥有易上手的操作界面,配置简单且售后持续在线,IT管理员用起来更方便、更省心。
通过宁盾目录服务,该公司保留了员工原来的钉钉扫码登录的认证方式,实现单点登录、扫码入网,无论是HR、运维、员工,工作效率都得到极大提升,且避免了员工入离职账号操作不及时产生的潜在风险。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解更多内容,可前往宁盾官网博客解锁更多干货)
关键词:
