身份治理是什么?
身份治理可以高效管理用户,通过提供身份智能快速修复高风险用户权限。借助自助功能,用户可以使用 Rest API 和各种连接器启动针对本地应用和云应用的授权。通过身份治理,用户可以灵活地收集现有身份及相关权限和角色,从而加快授权速度。
OneAuth 为身份治理提供了哪些能力?
身份治理:管理用户帐户生命周期,包括权限和配置
系统管理员在对帐户进行管理,如账号的增删调配将自动同步到 OneAuth 中 。通过OneAuth的组自动化功能实现员工的权限自动化管理。不仅节省时间,同时也避免了人为失误而产生的安全风险。例如身份源中企业微信的员工离职,管理员在企业微信中将员工状态变更,即同步状态到 OneAuth 中该员工则无法登录 OneAuth 继而收回之前授权的应用权限。
目录服务:支持云目录 LDAP 功能
OneAuth 支持企业组织架构从 AD 、钉钉、企业微信、等同步到 OneAuth 中。支持LDAP 目录功能,无需运维管理与部署,可使用 LDAP 命令的方式调用 OneAuth 的查询和认证接口;支持应用程序或设备通过 LDAP 协议连接到 OneAuth 的云目录进行身份认证和数据同步。
身份映射统一管理分散的身份
通过映射,实现 身份源--映射系统--应用之间的关联关系的绑定。且可通过表达式对属性进行二次转换以满足各种场景下属性的需求。如统一使用邮箱前缀作为登录名,等等
OneAuth 对身份治理的实践
例如一些企业,由于历史原因,HR 系统和 AD 的邮箱为公司邮箱,但是身份管理平台,需要简化的用户登录名称,登录名为邮箱前缀,而 OA 系统的登录名为用户 ID ,这就造成了各个系统之间的割裂。
不同系统,登录名各不相同,关联关系也各不相同
如何进行多系统的账号关联?即单身份可通过多种登录名称,进行多系统的分别登录实现,身份的统一管理。OneAuth 的映射和表达式起到了非常关键的作用,无需任何代码,即可简便配置,支持复杂场景的账号关联和映射。
OneAuth 的内部使用场景
需求,OneAuth 需要将员工的账号同企业微信同步到 OneAuth中,通过 OneAuth 用户面板一键登录其他应用。由于对账号有统一的需求,需使用企业微信邮箱账号的前缀作为登录名。
在 OneAuth 中通过身份源企业微信映射的数据时使用表达式进行变形处理。
员工可使用该登录名登录公司内部的 LDAP 相关设备与应用。如群晖、GitLab、jumpserver 等。从而实现了人、应用与设备的统一管理,提升IT的部门的管理效率。