亲爱的网友们,很多人可能对线上系统的统一身份认证方案和OA系统双因素身份认证解决方案不是很了解,所以今天我来和大家分享一些关于线上系统的统一身份认证方案和OA系统双因素身份认证解决方案的知识,希望能够帮助大家更好地了解这个话题。
本文目录一览
线上系统的统一身份认证方案
线上系统主要是对中间件、日志、任务等的监控运维,由于是提供外网访问的出口,所以不能没有身份认证。经梳理,现公司需管理的线上系统包括以下几种:以上系统的账户密码默认都是使用各自的一套,并无法实现互通。这就是给运维这些账户带来极大的工作量,特别是公司人员规模超过100人以上,随着人员的离职和入职,经常有需要开通和关停账号。
为了提高线上系统的账户运维效率及安全,我们需要就具体的系统所支持的统一身份认证方式提出对应的对接办法。
metersphere: https://www.jianshu.com/p/b4ce64984eff
zabbix: https://blog.csdn.net/qq_37960324/article/details/94004999
二是中间件系统,rabbitmq和konga,优先级比较低,且rabbitmq和应用程序有强相关,暂时不考虑实现,放在最低优先级。konga的配置权限,也主要在一两个人的手上,待最后来实现。
所以,初期我们只实现sentry和grafana集成ldap。
请参考: https://www.jianshu.com/p/103d5cfb6c07 (sentry对接ldap)
中间件的管理,官方有提供一套管理界面,但是它的免费版往往没提供身份鉴权模块,这给我们的运维管理带来极大的不便。这些管理界面是面向开发和测试人员使用,站在安全的角度,是有身份鉴权的需求的。
既然默认不支持统一身份认证如LDAP,二次开发的成本是巨大的,不是我们的首考,所以我们的思路转向通过API网关鉴权的方式。
访问一个系统,前置一个api网关,除了可以增加身份认证,还可以配置其他的网关插件,比如日志、监控、流控等等。也就是说,我们甚至可以知道每个用户的访问及操作情况。
nginx作为老牌的API网关,nginx+ldap的实现方案,请参考: https://www.jianshu.com/p/70543ab5201f
OA系统(海信集团)双因素身份认证解决方案
1、密码设置简单,非常容易被撞库破解;2、密码设置复杂,非常容易忘记密码,增加网络管理员无意义工作;
3、设置统一或有规律的密码,一旦单点被破,极易引发全面危机;
4、定期更改密码,容易密码混淆,难以记住;
5、做密码本、存储位置容易泄漏,引发全面危机;
6、员工离职,需要修改密码,增加管理员工作量;
采用CKEY DAS做密码加固,登录时需要做二次身份认证。实现效果如下:
“ 用户名 + 静态密码 + 动态密码 = 成功登录 ”
认证前提:
1、在业务系统上启用Radius模块或调用CKEY HttpsAPI接口;;
2、和CKEY DAS认证服务器完成Radius对接或API对接;
登录流程:
1、用户输入“用户名+静态密码+动态密码”访问目标主机;
2、目标主机通过Radius Client或API同时将用户名+静态密码发送到企业用户源做静态认证、将用户名+动态密码发送到CKEY DAS认证服务器做动态认证;
3、用户源和CKEY DAS分别对认证做反馈;
4、当且仅当用户源认证和CKEY DAS认证同时通过时,才能成功访问,否则登录失败;
CKEY DAS(中科恒伦双因素认证系统)基于标准的Radius协议和TACACS+协议,为网络设备、业务系统、操作系统提供身份认证、授权和审计,同时支持API、SDK对接方式,满足所有主流场景。
CKEY DAS可以完美对接微软ExChange OWA、 Sharepoin、 OA、ERP、金蝶、HR、CRM、SAP、oracle、智邦国际、用友等主流业务系统,获得数百家企业客户高度认证。
总结:以上就是本站针对你的问题搜集整理的答案,希望对你有所帮助。