公司内部【统一账号认证体系】实践与实现

狂风中的少年 提交于 2020-11-12 13:53:15

总架构图

统一账号认证体系

架构说明

  1. HR层面,用户进入HR系统后分配工号并加入公司企业微信,员工从企业微信为交互源头,经由后端api——tabby统一处理微信消息加密发送给内网管理平台husky,申请信息解密后处理,生成账号,并针对性对部分可提供接口平台初始化权限或作加强处理。
  2. 账号密码信息只保留在AD域服务器,各个开源管理平台可并行使用多种认证方式,但应陆续调整为ldap登录方式,而少用/不用系统认证方式
  3. 其次对于AD账号的统一管理,应该由一个内网安全的最高权限的先导平台统一处理,不设删除接口
  4. 开源平台一般都预留好AD domain账号认证的接口,有的需要配置,有的需要加装中间件并启用ldap认证;
  5. 自研内部管理平台没有ldap认证的可以考虑添加,但是如果平台仅供管理员使用,用户从别的平台导入,并且禁止普通用户登录;

进度介绍

  1. 猪齿鱼已经对接,[开启定时同步], [手工干掉或者修改测试ad ldap用户信息]
  2. 华为云堡垒机已经对接,[是否可以开启自动同步]
  3. pms和svn都是php,需要克隆一台phabricator服务器,升级php安装对应版本中间件php-ldap并开启测试
  4. vpn因为只是内网管理员用来管理公司员工的vpn权限,用户数据从pms同步,只需要验证过来的数据是否有问题

注意点

现在AD服务器对接的系统原来越多,应当谨慎操作,如果在生产服创建的测试账户(垃圾数据)很可能会被定时同步到其他平台,影响各个平台的数据,建议不要做这样的操作,本地装虚拟机(若穷)测试。

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!