如何在一日内完成5000人企业规模的云桌面账号安全认证部署上线? – 作者:宁盾nington

我们都知道,MFA多因素认证是企业用来保护对数据和应用程序的访问的最有效、最常见的手段之一。在当前疫情期间,大部分企业为了保障业务“不断档”,已推行了虚拟桌面、VPN等方式远程办公,避免人员直接接触、减少出行。

而对于那些在这一特殊时期业务量爆发的企业来说,比如游戏、在线会议、直播等,为承载激增的业务,需要在最短时间内实现双因子认证项目的部署上线或扩容,因此企业对方案的快速部署、快速上线、灵活扩容等,也提出了更高的要求。

这本质上是,对MFA厂商在产品部署的便捷性、运维的易用性、体验的简单性、服务响应的及时性等多个方面能力的综合考验。

这里我们以上周某5000人企业的云桌面安全项目为例,讲述我们如何在1个工作日内,以远程的方式(疫情缘故无法到客户现场),完成该项目的整体实施落地上线。


该双因素认证项目方案拓扑:

图2.png

根据以往经验,双因素认证项目实施过程大致包括如下步骤:

1、准备双因素认证服务器环境;

2、搭建宁盾DKEY AM认证平台;

3、配置双因素认证客户机(虚拟桌面服务器);

4、配置宁盾认证平台,对接认证客户机;

5、配置宁盾认证平台,对接AD,同步外部数据源;

6、配置宁盾认证平台,添加双因素认证策略;

7、派发宁盾令牌至用户;

8、用户激活宁盾令牌;

9、功能测试、系统调试和验收。

通常情况下,我们需要3个工作日来完成一个项目,根据项目复杂度和项目规模略有差别。

此项目客户方要求1个日就完成,就算双方都高度配合,工期上也是非常紧凑的,尤其是涉及到5000个员工的令牌派发和激活,采用常规的令牌形式,比如硬件令牌、APP令牌等,很显然地根本做不到按时交付(硬件令牌需要邮寄,APP令牌需要用户做二维码验证以激活令牌)。那么如何来解决呢?

我们了解到客户公司内部一直以来使用企业微信办公,这时我们创造性研发的新令牌形式——H5令牌就派上用场了。

以H5应用的形式,将宁盾令牌发布至用户企业微信(也可以是钉钉等其他移动办公平台)的工作台中,用只需要点击“H5令牌”图标,就能获取到随着时间变动的6位数字码,从而在访问虚拟桌面时轻松实现身份的二次验证。

图3.png

企业微信H5令牌有以下明显优势:

1、体验的简单性。

员工无需在手机单独安装宁盾令牌APP,只要打开企业微信就能快速获取到动态码。

而且支持一键复制粘贴,认证过程非常快捷简单。

对于在PC端接入的用户,宁盾H5令牌,支持在PC中打开。

图4.png

2、运维的易用性

H5令牌无需派发,用户无需做激活操作。只需要在企业微信中添加H5令牌应用时,对“可见范围”做相应配置,及在宁盾认证平台添加H5令牌形式时配置“作用域”,这样就能实现仅权限内的用户才可访问到H5令牌。

企业微信添加H5令牌,配置“可见范围”

AM添加H5令牌,配置“作用域”图5.png

AM添加H5令牌,配置“作用域”

图6.png

商定出此方案后,立马开始执行。在客户和宁盾密切配合下,当日工作进度如下:

1、上午9:00——10:00

主要工作内容:

实施步骤规划、人员配备安排等准备性工作。

2、上午10:00——12:00

主要工作内容:

部署宁盾认证服务器。(客户方IT准备服务器环境,宁盾工程师远程安装、调试)

3、下午13:00——14:00

主要工作内容:

配置云桌面服务器,将radius认证指向宁盾服务器。(客户方根据文档做配置)

同时在宁盾服务器对接虚拟桌面。(宁盾工程师远程操作)

4、下午14:00——16:00

主要工作内容:

将AD域用户同步至宁盾认证平台,并配置双因素认证策略。(宁盾工程师远程操作,客户方域管理员配合。)

5、下午16:00——18:00

主要工作内容:

在企业微信后台发布“H5令牌”应用,同时在宁盾认证平台添加企业微信H5令牌。(客户方企业微信管理员、宁盾工程师双方配合操作)

6、18:00——20:00

主要工作内容:

双因素认证功能测试、系统配置、系统性能调优等收尾工作。(宁盾工程师远程,客户方配合)

次日,客户公司员工就能在远程办公中体验到双因素认证服务了。目前用户反响良好。

此项目的成功上线,得益于客户方的全力、密切配合。特殊时期,从这个项目中,我们也感受到了国人坚守岗位、不懈奋斗的精神。疫情并没有阻挡大家前进的步伐,我们都在各自的领域默默努力着。

相信抗疫斗争很快会有好的结果,宁盾也将持续在远程移动办公领域为大家的身份安全保驾护航。

来源:freebuf.com 2020-02-20 11:55:23 by: 宁盾nington

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论