竹云助力汉朔科技解决所面对的挑战
业务发展中面临的挑战
• 多身份源,不同部门分管导致数据差异
汉朔科技存在多个员工身份源,分管在不同的业务部门,包括北森(人事部)、企业微信(人事部)、AD(IT部)。各个不同部门对员工的入转调离都需要进行操作,不同部门之间通过工单或邮件方式交换信息,经常信息不一致导致处理延迟或数据差异。
•多套业务应用,应用权限及日常管理不便
汉朔科技在日常研发和业务运营中,使用了40多套应用。
研发管理上:不同产线的多套Gitlab;资源管理上:齐治堡垒机、微软Azure、Grafana(监控分析)、Zabbix(监控分析)、ELK(日志管理)、seafile(云存储);业务管理上:Odoo(ERP和CRM)、预算管理、SAP Concur等;办公管理上:北森(人事系统)、泛微(办公系统)、企业微信(移动办公)、魔学院(培训系统)、Jira(项目管理与事务跟踪)、Confulence(知识管理)、微软AD等。
随同人员的入职,各应用管理员需根据工单,手工对其岗位授权不同的应用访问权限,经常导致处理延迟。同时,在人员离职后,因没有统一权限视图,无法及时获知该员工在职事所拥有的所有应用权限,导致个别应用权限未能及时关闭和清理,导致安全隐患。
• 全球化身份管理和运营成本高
汉朔科技的员工分布在全球,日常需跨域跨时区协同办公。人事管理、应用管理、业务管理等方面无法快速协同,管理员每天都陷入为全球员工开建各种应用账号,调整权限,重置密码等繁琐的工作中,将导致运营成本增高。
•员工日常访问应用,使用不便不便
员工日常使用的应用有些和AD做了集成,例如Jira、Wiki等,使用AD账号密码登录;有些无法和AD集成的,例如Concur、泛微、魔学院等,需使用各自的用户密码登录,导致员工在使用这些应用的过程中分辨不清到底需要用什么用户名来登录。同时,即使和AD集成统一认证的应用,之间也不能实现单点登录。严重影响了员工使用体验和业务协同效率。
•合规审计不便
汉朔科技的相应业务开展需要应对国内、国外审计要求,如ISO27001、等保三级、SOC2等等。这些审计要求都对用户身份鉴别、密码安全强度、员工应用权限视图等方面提出了相应检查点。
但之前的应用管理分散,各自有各自的管理体系,用户数据分离、密码管理要求不一、应用账号及权限分散,导致应对审计要求,需要查询员工到底拥有哪些系统的访问权限时,只能一个个应用的分析和导出。又因员工在各系统中账号名等信息项不一致,导致无法关联相应信息,造成信息碎片,无法整体获取员工权限视图。
竹云IDaaS解决方案
汉朔科技针对以上需求,选择竹云IDaaS建立统一身份管理体系。
•串联上下游业务,实现身份数据一致性
将北森作为上游统一身份源,人事部门在北森中对员工入职调离操作后,竹云IDaaS随同入转调离事件,将机构信息、身份信息等同步到企业微信和AD中,保证多个身份源之间的数据一致性。
•简化身份管理流程,实现自动化作业化
竹云IDaaS连接下游各应用系统,通过基于用户组/岗位的自动授权策略,自动化的完成员工应用账号的开设、变更和关闭,提高工作效能。在员工入职后能够快速开通相应系统访问权限,即开即用;在员工离职后,竹云自动关闭其应用账号,杜绝安全隐患和信息资产外泄。
•简化员工操作,提高工作效能
汉朔科技自研了一套员工工作门户(Hi Hanshow),通过竹云IDaaS提供的SAML/OIDC等协议组件串接所有应用系统后,将IDaaS保护的所有应用挂接到该Portal上。员工可选择AD账号密码、短信验证码、企业微信扫码等方式认证成功一次后,即可通达所有有权访问的应用。
•提供全流程审计能力,帮助企业达到合规要求
竹云IDaaS通过自适应MFA、统一密码策略、统一应用权限视图等功能,同时提供详实的管理员操作、员工访问信息,以用户为基点,回溯其历史过程,帮助企业快速达到合规审计要求。
效果示意