腾讯云 张斌--企业身份 安全高效

企业身份账号管理——行业简述

 

1.诞生背景

 

IT整体环境的变化，催生了基于云原生安全的统一身份管理需求。第一，随着企业SaaS服务的发展，大量服务认证凭据无法得到统一、有效的管理；第二，IT架构发生根源性的变化，加上疫情的常态化，本地化的身份管理与访问控制IAM方案已难以满足当前需求；第三，多云进一步深化，降本增效需求迫切，统一账号管理需求迫切。

 

2.身份管理面临的挑战

 

员工和用户：

 

办公期间需要记录大量的办公工具地址；不同的应用系统拥有不同的账号和密码体系；账号密码需要定期轮转，或三个月，或半年，员工和用户需要大量的记忆。

 

IT运维：

 

（1）业务正常运行过程中需要考虑如何将企业内部的组织架构、员工信息存储到数据源中，并自动同步或分发到下游业务系统中，保证所有的数据在运行过程中保持一致。所谓数据源就是企业内部管理过程中存放组织架构和人员信息的核心系统。

 

（2）员工身份信息需要做统一认证管理，业务过程中涉及到的应用系统需要与企业内部一个或者多个认证源做集成，但是各个应用系统所支持的认证协议多种多样、甚至有些应用系统不支持认证协议和接口，所以各个应用系统与认证源系统的需要一个统一的认证管理。

 

管理者：

 

管理人员要考虑是否合规，是否符合国家网络安全战略；排除身份管理的安全漏洞，避免业务攻击、数据泄露等损失。

 

3.企业级身份管理平台

 

所谓企业级身份管理平台，就是能够把企业内部每个员工的身份能够统一的管理起来的系统。员工的身份存在于企业内部，并承载于各个系统，如何让各个系统中的员工、组织架构的信息保持安全、一致、高效传递，是设置企业身份管理平台时需要考虑的问题。上图六个环节构成了企业级身份管理平台需要考量的六大管理模块。

 

应用场景

 

1.无密码办公

 

很多企业比较推崇这个场景，因为它可以大幅减少密码传递，提升员工办公效率。所谓无密码办公，员工在办公期间不需要知道任何应用系统的账号密码，甚至不需要知道门户的账号密码，只需要拿起手机扫码就可以通过企微、钉钉、飞书等移动办公工具一次性登录企业内部的管理系统，进而单点登录各种各样的应用系统。

 

2.身份管理系统升级

 

TO B领域的很多企业，尤其是大中型传统企业有做全员账号统一管理的意识；车企、政府机关等需要对用户的登录、登出等作认证管理，类似的产品早在二三十年前就有了，但过去的办公环境都局限于内网，管理工具也只管理内网的工具和应用。随着云的发展、业务的发展和快速响应客户需求的迫切性提升，企业需要新的云端账号管理工具。

 

腾讯云账号连接器可以在认证和数据源方面与原有的IAM系统打通，将业务系统中的员工账号统一管理，并与旧的IAM系统打通，逐步将旧的应用系统过渡到腾讯云账号连接器。

 

3.集团型公司管理

 

集团型公司的结构是网状或金字塔形的，设置了多层级的管理员和平行的管理员，这时就要考虑实现管理员分级分权。举例来说，如果审计人员拥有应用的管理权限、授权权限等一些用不到的权限，可能会发生误操作的状况，也不利于日常办公，所以我们给审计人员只开通日志审计的管理员身份。所以从功能层面我们需要根据人员身份设立不同个的管理员身份，比如专门管理应用的上架的管理员、账号同步统一管理的管理员等。

 

4.防范身份数据泄露

 

用统一的管理工具防范员工离职导致的身份数据泄露，消除手动关停权限的安全隐患。

 

5.C端用户身份治理

 

百姓登录政务平台时需要身份认证，与此类似，车企C端也需要作认证，管理消费者、经销商等。

 

产品功能及方案介绍

 

统一目录：管理组织架构人员信息，从上游数据源拉起数据，向下游分发；认证源配置管理。

 

应用集成管理：涉及应用的上架、单点登录配置、应用权限分配管理、登录策略管理等。

 

账号生命周期管理：腾讯云账号连接器起桥梁作用，让上游的身份数据源按业务规则同步到下游。

 

账号同步

 

上游对接AD、HR、OA等常见的企业内部的数据库，将上游的数据源拉到账号连接器，账号连接器根据下游业务系统的业务需求向下游系统同步。

 

认证集成

 

账号连接器支持自有账号密码体系的认证、短信的认证、以及第三方认证源的对接，如图所示。

 

单点登录

 

此环节有三个场景。第一，在账号连接器登录页输入账号连接器的账号密码或者第三方认证源的账号密码登录门户；第二，在应用系统里点击登录跳转到账号连接器页面做认证；第三，通过企微、飞书、钉钉等系统内置的工作台单点登录应用系统。

 

预集成应用

 

账号连接器在统一认证身份领域有天然集成属性，被它集成的应用系统越多，能力越强。企业使用腾讯云账号连接器后会发现符合标准的应用都会在应用市场上架；腾讯专门的生态团队会持续拓展各个赛道的头部应用；使用腾讯的系统后可以直接配置，无需集成上架。对于企业来说，预集成应用可以节省集成成本，缩短项目周期，降低成本。

 

日志审计

 

员工的操作行为都会以日志的方式沉淀下来，以报表的方式输出，管理人员可以看报表，也可以输入到第三方报表系统中，为账号审计作准备。

 

账号合规审计与权限审计

 

账号合规审计指管理重复账号、未实名的账号、僵尸账号等；权限审计指权限的查看、权限日志的存储和输出等。

 

关键特性

 

在使用腾讯云账号连接器前，企业上新的应用系统支持的协议和接口不同，需要一一对接。使用腾讯云账号连接器之后就方便多了，大大减少了工作量。

 

成功案例

 

1.IEGG出海项目

 

背景：

 

（1）无统一身份认证平台。日常业务开展涉及系统100+，各系统账号管理分散，希望实现统一身份认证平台，打通单点登录和账号同步。

 

（2）业务权限分配复杂。企业存在外部人员，系统众多，避免混乱，希望实现系统授权按照内外部人员隔离。

 

（3）海外数据合规要求。海外法律法规要求，数据不能存储在国内，需要在海外部署系统。

 

方案：部署两套腾讯云账号连接器，企业版对接腾讯内部办公系统；业务版对接业务系统；有效规避系统针对内外部人员权限分配风险。通过账号密码登录腾讯云账号连接器之后单点登录应用系统，向下主动推送数据，通过账号连接器拉取数据。单点登录的过程中作权限划分，内部员工和外部人员都有登录系统的方法。

 

2.某企业服务企业

 

它有两个认证源，一个是企业微信，可以通过扫码的方式登录腾讯云账号连接器的门户；另一个是通过销售易CRM登录腾讯云账号连接器的门户。数据源是指人员信息存储于销售易的系统中，当把认证表数据源集成好之后，可以通过单点登录的方式登录所有应用系统。

 

3.某传媒客户 — 搭建统一身份认证平台

 

此企业人员变动频繁，员工构成复杂，需要一套维护员工账号密码并能自动增删改查的体系。腾讯云账号连接器可以打通上游数据源与下游业务系统，在设置好同步频率和同步的时间节点后，它会自动管理下游账号。