宁盾（IAM） 统一身份与单点登录 – 作者:宁盾nington

业务上，随着企业移动化进程的加速，企业业务上云或引进越来越多的SaaS服务，以为员工移动化办公提供轻量化办公环境。同时需要解决：

Ø  不同用户角色（员工、外包、供应商…）的访问权限问题；

Ø  多账号源的运维管理效率问题；

Ø  员工多业务系统的重复认证问题；

Ø  业务系统移动化办公安全认证问题；

安全上，随着企业移动化及数字化转型，员工允许随时随地办公。同时，企业传统“边界安全”受到来自终端、端口、接口等各方面的安全冲击。因此，以“身份为核心”的“永不信任，持续验证”的“零信任”安全开始被企业接受。要实现“零信任”安全，首先需要建立一个统一的身份管理中心，基于“用户身份+终端”的动态访问认证机制助力企业移动化转型。

一、产品介绍

宁盾IAM 统一身份与单点登录由DKEY AM（身份管理平台）和User Center（用户操作平台）两部分组成。

DKEY AM 由企业IT运维，负责统一账号源、账号生命周期管理、应用管理、用户授权、及安全认证相关设置；

User Center 为用户提供统一认证安全门户，方便其一次认证便可访问权限内应用。

1、统一身份管理：

面向企业多账号源或者业务系统内自建账号源的情况，要实现统一身份管理需满足：

a)  确定唯一主账号源，可以利用现有的AD或者自建LDAP的方式存储用户身份信息；

b)  账号映射：借助与身份相关的“手机号”、“邮箱”、“***”等信息将其他账号源与主账号源建立映射关系；

c)   账号生命周期：在完成账号映射后，借助流程引擎实现账号新建的同步到权限下发/更改、账号冻结/删除的全过程。

d)  访问授权：基于角色/用户组/用户条件的方式授权用户对应用的登录及访问权限；

2、应用管理：

除了常用商业应用，企业还存在部分自研应用，因此面向本地、SaaS服务的B/S、C/S架构应用进行统一管理：

a)  对接协议：面向商业应用支持OAuth2、SAML、OIDC等标准协议，面向企业自研应用提供Easy SSO 协议；

b)  应用类型：满足企业B/S、C/S多架构应用的统一对接需求；

c)   商用应用库：为常用的企业应用建立商业应用库，缩短工期和对接时长。宁盾商业应用库包括SAP、Office365、Salesforce、泛微OA、用友NC、帆软、致远、Teambition、日事清等SaaS服务、Confluence、Jira等研发应用、阿里/腾讯/网易等邮箱系统。

3、安全认证：

由于企业通过单点登录将多个业务系统集中到一个门户网站中进行认证，一旦账号被盗将危害多个应用的使用安全。因此MFA多因素认证常常与单点登录配套使用：

a)  OTP 动态口令形式：在账号密码的基础上增加动态密码提升账号密码认证安全性；

b)  “扫一扫”免密认证形式：借助企业微信/钉钉“扫一扫”免密认证的形式提升认证安全；

推送认证形式：用户手机上接收到PC认证消息时进行免密授权，实现安全认证；

4、用户访问：

a)  PC端User Center：Web端统一认证门户，用于存放业务系统链接及登录；

b)  移动端与企业微信/钉钉等第三方应用工作台整合：移动端统一认证门户，将User Center整合到第三方APP的工作台，避免用户重复安装应用。

二、产品组成

宁盾身份管理平台（DKEY AM）软件一套；用户终端操作平台（User Center）n套；双因子认证令牌n件（按需派发）；

三、产品价值

1、统一身份管理：选定主账号源，并与其他账号源建立映射关系，减少运维账号管理成本；

2、统一认证入口：集中对接多业务系统，减少员工重复认证次数，提升认证体验；

3、安全认证：在账号密码的基础上增加动态密码或使用其他安全认证方式提升单点登录接入安全；

4、安全联动：与宁盾准入控制引擎联动，实现“身份+终端”的安全认证和访问控制管理，一方面实现身份的安全认证及授权，一方面动态控制终端的网络接接入及访问，进而推动企业零信任安全的快速落地。

来源：freebuf.com 2020-03-24 00:53:43 by: 宁盾nington