公司内部【统一账号认证体系】实践与实现
总架构图 架构说明 HR层面,用户进入HR系统后分配工号并加入公司企业微信,员工从企业微信为交互源头,经由后端api—— tabby 统一处理微信消息加密发送给内网管理平台 husky ,申请信息解密后处理,生成账号,并针对性对部分可提供接口平台初始化权限或作加强处理。 账号密码信息只保留在AD域服务器,各个开源管理平台可并行使用多种认证方式,但应陆续调整为ldap登录方式,而少用/不用系统认证方式 其次对于AD账号的统一管理,应该由一个内网安全的最高权限的先导平台统一处理,不设删除接口 开源平台一般都预留好AD domain账号认证的接口,有的需要配置,有的需要加装中间件并启用ldap认证; 自研内部管理平台没有ldap认证的可以考虑添加,但是如果平台仅供管理员使用,用户从别的平台导入,并且禁止普通用户登录; 进度介绍 猪齿鱼已经对接,[开启定时同步], [手工干掉或者修改测试ad ldap用户信息] 华为云堡垒机已经对接,[是否可以开启自动同步] pms和svn都是php,需要克隆一台phabricator服务器,升级php安装对应版本中间件php-ldap并开启测试 vpn因为只是内网管理员用来管理公司员工的vpn权限,用户数据从pms同步,只需要验证过来的数据是否有问题 注意点 现在AD服务器对接的系统原来越多,应当谨慎操作,如果在生产服创建的测试账户(垃圾数据