随着企业的发展壮大，员工数量越来越多，业务系统数量也越来越多，同时伴随着员工入/离职、调岗等情况不断发生，企业 IT 运维承担着巨大的压力。主要体现在以下几个方面：

IT 运维成本高

企业内部员工多、应用多，员工入离职、调岗等频繁发生。

员工入职时，要在 OA 或者 HR 系统中加入新用户，在相应的业务系统中加入新用户，并开启对应权限；反之亦然。
当员工从一个岗位调整到另外一个岗位，或者员工晋升时，需要调整其在相关业务系统中的角色或者删除、添加对应用户。

在没有自动化管理时，IT 运维要手动做大量的工作，不仅消耗大量运维成本，而且由于操作不及时、操作失误等原因，都可能给企业的业务系统正常运行和业务数据安全造成不良影响。

业务系统访问存在风险

企业中业务系统繁多，有针对销售的销售管理系统（如 Salesforce、销售易、纷享销客），有针对开发的版本控制系统（如 Gitlab、JIRA、禅道），也有针对财务的财务管理软件（如金蝶、用友）等等，不同部门或者不同角色的员工访问的业务系统不同，同一应用中可访问的内容范围也不尽相同。如此复杂的权限管理规则，通过人工手动处理，出错的几率较高，一旦出错重要业务数据泄露，会给企业造成较大的损失。

审计不够方便

谁在什么时间访问了什么业务系统？
谁审批了哪个用户的哪方面的申请？
谁在什么时间往哪个业务系统添加/删除了用户？
谁在什么时间把哪个业务系统中的哪个用户的权限做了变更？
......

这些审计信息分散在各个业务系统中，缺少一张全局的总表，增加审计工作量。

身份管理自动化方案思路

宁盾身份管理自动化方案基于NDS身份目录服务进行，

第一步：将企业内现有的本地 AD 域身份、社交身份（企业微信/飞书/钉钉）、临时身份（外包、供应商）、云上身份（OKTA、Google）等连接打通，收拢起来统一集中管理。
第二步：根据规则、事件、任务三个策略将上游身份源内的任何变动操作同步给下游应用。HR/OA系统内账号新增、删除、调整都会自动同步到下游应用里。
第三步：再利用单点登录对接企业内各应用系统后，实现员工凭借一个身份一次性访问所有已授权的应用，提高办公效率。

方案组成

见下图，主要包括三个模块：通用目录 Universal Directory（即NDS）、应用 Applications、同步器 Synchronizer，分别负责统一身份管理、应用接入和身份自动化。

那么，这三个模块是怎么工作的？

场景 1：业务系统初次接入

当企业接入新的业务系统时，宁盾身份管理系统提供一键初始化功能，IT 运维人员只要预先设置好同步规则，即可一键完成新业务系统的身份导入。

场景 2：员工入职

某企业有一批新员工入职，其中有一些入职财务部门，一些入职研发部门。财务部门的员工需要用到金蝶财务系统和 OA 系统；研发部门的员工需要用到 Bitbucket 和 OA 系统。这三个系统的用户字段各有不同，假设：

OA系统需要name、mobile、email三个字段
金蝶系统需要 name、mobile 两个字段
Bitbucket需要 name、email 连个字段

那么，同步器的工作流程示意图如下：

事件：

当Nington身份管理系统中新增用户时，会触发 UserAdded 事件，当该事件发生时，将会根据设定的规则向下游业务系统同步身份数据。

规则：

如下表所示，每个业务系统配置自己的同步范围和字段。

业务系统	同步范围	同步字段
OA系统	财务部门、研发部门	Name、mobile、email
金蝶系统	财务部门	Name、mobile
Bitbucket	研发部门	Name、email

任务：本例为自动化执行任务

每添加一个用户将触发一个任务，一个任务包含1~N个task item。本例中的任务只包含一个task item（“添加用户组”事件，且用户组中有多个用户时，触发的任务将包含多个task item）。

任务模块支持查看 task 及 task item 的执行状态、执行结果，支持对失败的 task item 单条/批量重新执行。

场景 3：员工申请业务系统使用权限

员工A需要使用业务系统A，但是目前没有权限。TA 在门户网站提出申请，申请后触发“应用申请”事件，该事件将会触发一个“审批执行任务”，该任务不会立即执行，当管理员审批通过后，执行该事件，为员工A分配业务系统A的访问权限。

单点登录 SSO

单点登录功能提供业务系统统一登录门户以及多种登录方式，管理员在管理后台根据企业需要选择合适的登录方式。

登录门户

登录方式可选

用户名密码登录方式，可以开启双因素认证，在静态密码基础上再多一步动态密码验证，确保业务系统访问安全。对于非常重要的业务系统，支持二次认证，即在门户中访问该业务系统时需要再次输入动态密码。

此外，单点登录门户提供员工自服务能力：

支持员工自助修改账号密码；
支持员工自助注册账号：针对临时工等特殊员工，支持自助注册账号，待管理员审批通过后，注册成功；
支持员工自助申请应用：员工可以申请使用某个没有权限的应用，待管理员审批通过后，可以使用。

日志&报表

宁盾身份管理系统提供丰富的日志和报表，为审计人员提供合规性报告。包括：管理员操作日志、应用访问日志、登录认证日志、应用权限一览表等。在Nington系统中可以总览企业所有业务系统的权限、访问信息等审计数据。

在实现身份管理的基础上，一些安全厂商不断为其产品整合扩展更多能力。以上这些问题也是 IGA （ Identity Governance and Administration）身份治理和管理所要解决的方向。Gartner 认为 IGA 不仅可以证明身份治理的合规性，也支持持续为权限管理安全保驾护航，以确保数字身份没有错误地配置访问权限，保证访问速度与准确性。

身份治理和管理（IGA）是一种基于策略的身份管理和访问控制方法，可以有效地降低风险，并改进整个组织范围内的合规性。理解 IGA 首先要分别理解这两个部分——身份治理和身份管理。前者涉及到职责、角色管理、日志记录、分析和报告的分离。后者涉及凭据和帐户管理、设备和用户配置和取消配置，以及权限管理。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制）

从HR系统到Windows AD域再到应用系统，如何自动化管理员工账号生命周期？相关推荐

通过AD域验证登录Linux系统（Linux安装sssd加入Windows AD域）
背景有一台Centos 7 的Linux服务器,需要每个IT管理员都可以登录并进行维护,为了方便账户管理,统一认证,要求Linux服务器登录实现Windows AD域验证. 环境说明 AD域:Win ...
Windows AD域功能介绍、Windows AD域方案介绍
Windows AD域功能介绍.Windows AD域方案介绍功能一.AD域管理 https://www.manageengine.cn/products/ad-manager/ 1.AD域管理通 ...
Windows AD域集成登录、组织结构同步
此设置适合Windows AD域(Windows LDAP),非Windows AD域(比如 Free LDAP)请参考LDAP用户统一登录. 1.进入"系统常用管理功能 " -& ...
win10ad域用户和计算机,Windows AD域通过GPO设置客户端电脑本地管理员账号密
0x01 介绍在实际生产环境中,由于Windows AD域的限制,桌面对客户端电脑进行软件安装或其他系统配置时,均需要管理员权限,而网内客户端众多,不同客户端电脑密码可能都是不同的,也经常忘记本地管 ...
Centos 7加入Windows AD域及搭建基于Windows AD域（即ldap）认证的samba共享
在我的windows server系列的文章中已经搭建好了windows AD域,现在要求Centos 7服务器加入AD域并实现基于AD认证的samba共享. 物理环境: Windows Server ...
windows AD域的特点
AD域项目说明一.权限管理集中.管理成本下降域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理.所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理 ...
Windows ❀ AD域服务器的搭建（LDAP协议）
Windows下AD域服务器是如何搭建的? 一.AD域介绍 1.目录服务定义:目录服务就是按照树状存储信息的模式目录服务特点: 目录服务的数据类型主要是字符型,而不是关系数据库提供的整数.浮点数. ...
网站识别Windows AD 域账号，并自动登录
KDC (windows 2008): 10.0.2.12 (也就是域服务器) Workstation (windows 10): 10.0.2.100(也就是公司域内电脑) Webserver (C ...
Windows AD域备份
AD域备份题目一.创建备份以及快照 **DC** **打开powershell** 提示:有任何问题私聊我题目 AD域备份配置AD域备份,备份文件存储到C:. 一.创建备份以及快照 DC 打开 ...

从HR系统到Windows AD域再到应用系统，如何自动化管理员工账号生命周期？