《宁盾单点登录与泛微OA对接方案》由会员分享,可在线阅读,更多相关《宁盾单点登录与泛微OA对接方案(6页珍藏版)》请在金锄头文库上搜索。
1、一、 背景需求随着企业移动化转型,员工及各类终端在企业网络间进进出出, 传统以防火墙为核心的边界防护已不在安全。企业需要建立更小单位 的、可控的安全管理方案一一以身份为核心的统一管理方案IAM )。1、效率驱动:随着企业的不断壮大,本地及SAAS应用的数量 也在不断增加,为提高员工办公效率,减少在各应用间登录切换的次 数及频率,企业需要统一应用门户,即用户一次登录,即可访问权限 内所有应用多应用系统统一单点登录(SSO)2、安全保障:在多应用统一门户建成后,单点登录的账号安全比 某个应用的安全认证更为重要。一旦账号密码泄漏将造成用户权限内 多业务系统的信息泄漏。为防止弱密码、僵尸账号、账号密码
2、泄漏等 安全隐患,多因子认证(MFA)成为单点登录的标配。二、泛微OA对接方案1、泛微OA商业应用库对接方案正常情况下,企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用,有些是商业应用,有些则是自己研发的应用系统,因此 面向不同的应用系统,提供不同的对接协议及对接方案。提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接 协议及API工具供用户选择。面向自硏应用,开发Easy SSO对接 协议实现快速连接;面向商业应用则通过建立商业应用库的方式供用 户选择。客户在部署统一身份及单点登录认证服务器(DKEY AM)后,在商业应用库中选择对应应用操作系统即可一键实
3、现对接。泛微OA作为企业常用办公工具,已完成商业应用库对接。为节省对接流程及周期,建议使用商业应用库快速实现应用对接,以提高部署效率。2、多因子安全认证提供手机令牌、硬件Token短信挑战码等动态令牌形式,同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。3、应用权限设置基于账号源/用户组/用户角色等方式设置用户的可访问权限,确保只 有有权限的用户才有察看的权限。员工在可在 NDSSO User Center 门户内进行查看。4、移动端企业微信/钉钉授权移动端用户可在企业微信/钉钉中授权SSO应用至用户,亥方案即取即用,免安装客户端,另外企业微信/钉钉有大厂保障,安全可靠。三、
4、 部署方案支持本地及私有云部署,兼容 AD、LDAP、HR、OA 等账号源实现 统一身份管理,并支持在AM系统内实现对AD账号增、删、改、 查的同步操作。1、两台服务器通信,一台负责部署DKEY AM统一身份及单点登录管理系统,一台用于部署用户 User Center 应用系统,同时将User Center 的服务器地址与 DKEY AM 系统联动。2、 多因子认证标配,无需额外部署服务器;3、如有用到企业微信/钉钉,还需额外准备企业微信/钉钉应用服 务器,已安装的可以忽略。四、 方案价值1、 统一应用门户单点登录。集成 B/S、C/S 应用集中于统一认证 门户中,实现用户一次认证即可访问权限
5、内应用,提升员工访问 效率。2、 统一安全认证。在账号密码的基础上增加动态密码或采用企业 微信/钉钉“扫一扫”免密认证提升单点登录认证安全;3、完善的商业应用库。IAM管理平台通过不断完善商业应用的对接建立起完善的的商业应用库,以缩短对接工期,实现快速上 线。4、Easy SSO 对接协议,缩短自研应用系统的对接周期。5、单点登录系统内特权应用多重加密。对于重要特权应用,处于 安全考虑,为企业特权应用提供二次动态认证验证环节,即用户 在完成单点登录验证后,访问特权应用时还需使用多因子验证才 可通行。6、统一身份管理,兼容 AD、 LDAP、 HR、 OA 等多账号源系统 实现统一身份管理,在
6、AM 系统内实现 AD 账号的增、删、改、查的同步操作,管理员无需再AM和AD中来回操作;7、最小可见权限,基于RBAC的权限访问控制,User Center 内只允许用户对权限内应用可见。8、密码自服务,无论是密码的修改抑或是动态密码的激活/绑定 都可以在密码自服务中实现,从而减轻运维操作成本。9、定时自动关闭,为防止用户离开后被他人操作, User Center 定时关闭功能可有效防止信息泄密及非法操作。智能安全接入,从宁盾开始。宁盾成立以来专注于动态密码双因 素认证市场,并以技术为导向,于 2013 年正式上线网络认证系统, 形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用 的移动化及云发展趋势,宁盾不断创新身份与访问安全管理技术,形 成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、 统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi 认证管理等多个产品线于一体的全场景解决方案。
