单点登录实现后,各个系统之间的账号同步怎么做?
作者:星期一, 九月 28, 20200

随着企业采购的业务系统增多,各个系统账户独立维护使得运维复杂度上升、手动管理难度加大,此外手动操作也会存在一些安全隐患。因此,企业应该开始思考如何打通“烟囱林立”的业务系统,建立自动化的账号同步体系,实现系统之间的高效安全的连接,从而提升整体运维效率和安全性。

账户管理的痛点

具体来说,企业IT部门在维护复杂的业务系统账户时,首先面对的是手动操作带来的高工作量和高风险——内部应用和人员数量不断增加,人员组织架构调整频繁,内部人员角色(正式员工/临时工、渠道/合作伙伴等)也开始变得复杂,每个业务系统的管理员手动进行人员账号的增删改查维护,不仅工作量飙升,并且错漏风险高,容易出现人员已离职但账户未关停的高危情况。

为了减少手动操作次数、降低风险,企业必须实现账号自动同步,即建立以身份源系统为基准自动向下游应用系统同步身份信息变更或账户状态调整的机制,在身份源系统中进行一次人员信息调整或账户状态调整的操作,都可以自动同步到其他已建立账号同步联动关系的应用系统。

但是,在实现账号自动同步过程中又会出现很多技术性的难题:

  • 企业有多个身份源系统(即企业存储组织架构、人员信息的系统,如AD/LDAP、OA、HR、数据库等系统),身份信息存储分散,缺少有效工具进行统一管理;
  • 各应用系统的账号同步接口(人员增删改查接口)不统一,身份数据打通、对接难度高;
  • 由于应用系统间账号同步逻辑复杂,有时只能靠手动维护或代码写死。当企业组织架构调整时或业务系统迭代时,原同步逻辑无法复用,产生大量重复开发工作。
  • 无法对账号同步结果进行排查,缺乏有效途径确定账号状态是否正确。同步过程永远是个“黑盒”,要么全部成功,要么全部重来,无法准确定位某个账号的确切同步状态。

基于 IDaaS 的账号同步怎么做?

IDaaS是基于云提供的身份认证和管理服务,它能够对应解决上述账号同步过程中的痛点。

1. 先让身份信息集中起来

很多应用都有通讯录,但各自存储的人员信息并不完全相同,这些不同系统中的信息需要经过清洗和整合,汇总起来才是全量的身份信息。这就是IDaaS实现自动化账号同步需要做的第一步,整合各个身份源的信息,为下一步向下游应用传输身份数据做准备。

图 1

举个例子,如上图所示,企业在本地部署的微软 AD 存储了公司组织架构和邮箱,但是员工的补充类信息(电话号码、中文名等)都存在 HR 系统中。所以,将微软AD 和HR系统当作为两个不同的身份源, IDaaS 将这两个系统中的身份字段全部拉取过来,并做清洗和整合,储存在的统一目录(Universe Directory, 简称UD)中,再与下游应用系统对接。

这样,未来新的员工入职时,企业IT管理员只需将员工的身份信息录入到微软AD和北森里,IDaaS就会自动创建这个员工在企业内部所有他有权限使用的下游应用系统的账户;同理,员工离职或调转时,IDaaS也会自动删除或更改他在下游系统中的账户状态,无需管理员手动操作,只需预置好同步规则即可。

图 2

在身份源系统的对接方面,IDaaS与传统手动开发、项目制的 IAM 对接有明显的不同,IDaaS提供的是整套标准化的产品,对接非常高效,企业几乎无需手动开发。比如,针对本地部署的AD,企业可以快速下载一个Yufu Agent(如图 1 左侧所示),通过简单的配置就可以接通 AD 与 IDaaS 服务(Yufu Agent 用来保证本地部署的系统和云端的 IDaaS 服务之间的通信)。

2. 轻松对接业务系统,不惧业务逻辑变更

将全量的身份信息拉取到统一目录之后,下一步就是根据业务逻辑,将这些信息合理推送到下游业务系统。下游系统可能是钉钉、CRM、ERP,或是企业自研的、本地部署的系统,或是部署在云端的系统等等。

IDaaS预先集成了市面上主流的 HR/OA/CRM 等系统,企业如果采购了这些系统,整个集成过程只需要配置Corp ID、Secret等项目即可。对于其他应用系统,IDaaS提供基于SCIM协议的同步接口供第三方调用,也可主动适配第三方应用接口进行数据推送,从而快速构建身份源系统与下游系统的账号同步连接。

每个下游业务系统需要的信息的种类可能是不同的,以往手动开发、把同步逻辑写死的方式,实施周期长、不够灵活。在IDaaS 中,业务系统的同步逻辑可以界面化设置,根据需要将代表操作的“节点”(如转换、匹配、更新、创建、删除、通知等等操作),拖拽到同步流的配置页面中,不需要再去写代码去一点一点实现;而当企业需要更改原有同步逻辑,管理员只需在界面上重新调整,也不用大费周章地进行手动二次开发。

图 3

3. 高效实现同步配置和同步预览

除了上文提到的,同步逻辑可以通过拖拽操作节点快速实现,企业也可以根据自身情况在IDaaS界面上自定义其他同步逻辑,比如设定按特定时间、特定频次,按不同应用、不同对象等同步策略,灵活组合多个同步任务、定时更新,如下图所示:

图 4

IDaaS提供整个同步过程的可视化预览服务,帮助企业追溯每次同步操作、同步内容、同步结果及无法同步的原因,从而方便管理员进行针对性修改。账号同步不再是一个“黑盒”,只能全部成功或全部重来。IDaaS同步日志显示某同步批次中 1 个人的信息有错,那么管理员再次配置同步这 1 个人即可,其余人的信息无需再次覆盖更新,以免产生新的错误,这将极大提升IT管理人员的工作效率。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章