我们都知道,MFA多因素认证是企业用来保护对数据和应用程序的访问的最有效、最常见的手段之一。在当前疫情期间,大部分企业为了保障业务“不断档”,已推行了虚拟桌面、VPN等方式远程办公,避免人员直接接触、减少出行。
而对于那些在这一特殊时期业务量爆发的企业来说,比如游戏、在线会议、直播等,为承载激增的业务,需要在最短时间内实现双因子认证项目的部署上线或扩容,因此企业对方案的快速部署、快速上线、灵活扩容等,也提出了更高的要求。
这本质上是,对MFA厂商在产品部署的便捷性、运维的易用性、体验的简单性、服务响应的及时性等多个方面能力的综合考验。
这里我们以上周某5000人企业的云桌面安全项目为例,讲述我们如何在1个工作日内,以远程的方式(疫情缘故无法到客户现场),完成该项目的整体实施落地上线。
该双因素认证项目方案拓扑:
根据以往经验,双因素认证项目实施过程大致包括如下步骤:
1、准备双因素认证服务器环境;
2、搭建宁盾DKEY AM认证平台;
3、配置双因素认证客户机(虚拟桌面服务器);
4、配置宁盾认证平台,对接认证客户机;
5、配置宁盾认证平台,对接AD,同步外部数据源;
6、配置宁盾认证平台,添加双因素认证策略;
7、派发宁盾令牌至用户;
8、用户激活宁盾令牌;
9、功能测试、系统调试和验收。
通常情况下,我们需要3个工作日来完成一个项目,根据项目复杂度和项目规模略有差别。
此项目客户方要求1个日就完成,就算双方都高度配合,工期上也是非常紧凑的,尤其是涉及到5000个员工的令牌派发和激活,采用常规的令牌形式,比如硬件令牌、APP令牌等,很显然地根本做不到按时交付(硬件令牌需要邮寄,APP令牌需要用户做二维码验证以激活令牌)。那么如何来解决呢?
我们了解到客户公司内部一直以来使用企业微信办公,这时我们创造性研发的新令牌形式——H5令牌就派上用场了。
以H5应用的形式,将宁盾令牌发布至用户企业微信(也可以是钉钉等其他移动办公平台)的工作台中,用只需要点击“H5令牌”图标,就能获取到随着时间变动的6位数字码,从而在访问虚拟桌面时轻松实现身份的二次验证。
企业微信H5令牌有以下明显优势:
1、体验的简单性。
员工无需在手机单独安装宁盾令牌APP,只要打开企业微信就能快速获取到动态码。
而且支持一键复制粘贴,认证过程非常快捷简单。
对于在PC端接入的用户,宁盾H5令牌,支持在PC中打开。
2、运维的易用性
H5令牌无需派发,用户无需做激活操作。只需要在企业微信中添加H5令牌应用时,对“可见范围”做相应配置,及在宁盾认证平台添加H5令牌形式时配置“作用域”,这样就能实现仅权限内的用户才可访问到H5令牌。
企业微信添加H5令牌,配置“可见范围”
AM添加H5令牌,配置“作用域”
AM添加H5令牌,配置“作用域”
商定出此方案后,立马开始执行。在客户和宁盾密切配合下,当日工作进度如下:
1、上午9:00——10:00
主要工作内容:
实施步骤规划、人员配备安排等准备性工作。
2、上午10:00——12:00
主要工作内容:
部署宁盾认证服务器。(客户方IT准备服务器环境,宁盾工程师远程安装、调试)
3、下午13:00——14:00
主要工作内容:
配置云桌面服务器,将radius认证指向宁盾服务器。(客户方根据文档做配置)
同时在宁盾服务器对接虚拟桌面。(宁盾工程师远程操作)
4、下午14:00——16:00
主要工作内容:
将AD域用户同步至宁盾认证平台,并配置双因素认证策略。(宁盾工程师远程操作,客户方域管理员配合。)
5、下午16:00——18:00
主要工作内容:
在企业微信后台发布“H5令牌”应用,同时在宁盾认证平台添加企业微信H5令牌。(客户方企业微信管理员、宁盾工程师双方配合操作)
6、18:00——20:00
主要工作内容:
双因素认证功能测试、系统配置、系统性能调优等收尾工作。(宁盾工程师远程,客户方配合)
次日,客户公司员工就能在远程办公中体验到双因素认证服务了。目前用户反响良好。
此项目的成功上线,得益于客户方的全力、密切配合。特殊时期,从这个项目中,我们也感受到了国人坚守岗位、不懈奋斗的精神。疫情并没有阻挡大家前进的步伐,我们都在各自的领域默默努力着。
相信抗疫斗争很快会有好的结果,宁盾也将持续在远程移动办公领域为大家的身份安全保驾护航。
来源:freebuf.com 2020-02-20 11:55:23 by: 宁盾nington
请登录后发表评论
注册