总架构图
架构说明
- HR层面,用户进入HR系统后分配工号并加入公司企业微信,员工从企业微信为交互源头,经由后端api——tabby统一处理微信消息加密发送给内网管理平台husky,申请信息解密后处理,生成账号,并针对性对部分可提供接口平台初始化权限或作加强处理。
- 账号密码信息只保留在AD域服务器,各个开源管理平台可并行使用多种认证方式,但应陆续调整为ldap登录方式,而少用/不用系统认证方式
- 其次对于AD账号的统一管理,应该由一个内网安全的最高权限的先导平台统一处理,不设删除接口
- 开源平台一般都预留好AD domain账号认证的接口,有的需要配置,有的需要加装中间件并启用ldap认证;
- 自研内部管理平台没有ldap认证的可以考虑添加,但是如果平台仅供管理员使用,用户从别的平台导入,并且禁止普通用户登录;
进度介绍
- 猪齿鱼已经对接,[开启定时同步], [手工干掉或者修改测试ad ldap用户信息]
- 华为云堡垒机已经对接,[是否可以开启自动同步]
- pms和svn都是php,需要克隆一台phabricator服务器,升级php安装对应版本中间件php-ldap并开启测试
- vpn因为只是内网管理员用来管理公司员工的vpn权限,用户数据从pms同步,只需要验证过来的数据是否有问题
注意点
现在AD服务器对接的系统原来越多,应当谨慎操作,如果在生产服创建的测试账户(垃圾数据)很可能会被定时同步到其他平台,影响各个平台的数据,建议不要做这样的操作,本地装虚拟机(若穷)测试。
来源:oschina
链接:https://my.oschina.net/randolphcyg/blog/4713999