企业微信客服
“一对一”解答

【安当产品应用案例100集】030-使用企业微信登录Windows,实现工作电脑与业务系统登录方式统一

医院采用企业微信、安当ASP+SLA方案加固办公电脑安全,实现身份信息自动同步、单点登录等,ASP身份认证系统提供多因素认证、统一目录等能力,助力企业实现安全方案。

创建人:五台 最近更改时间:2024-11-08 10:33:48
10

随着越来越多的企业信息系统从intranet开放到internet,企业员工的办公接入方式也越发多样,信息系统面临的数据安全问题也呈现爆发的趋势。一些大企业,比如Google、Microsoft、Huawei有强大的开发能力、IT能力,可以构建出自己的零信任方案。但是对于大多数没有开发能力的企业来说,如何渐进改造老系统,加固安全,就必须选择适合自己的方案。

今天的案例,是一家医院用企业微信、安当ASP身份认证系统、安当SLA操作系统登录软件,来加固办公电脑安全的例子。

一、案例介绍

医院自建有一套HR系统,负责员工信息的管理。另外医院有一些公共Windows终端,原来通过共享账号密码的方式来使用。在一次信息泄露事件发生后,客户希望加固操作系统登录部分的安全。因为一些历史原因,医院的HR系统账号、操作系统账号、OA等其他业务系统账号没有打通,需要相关权限人员在系统之间进行手工同步。工作台电脑因为管理上难以给每个使用者创建账号,就只好共享密码来操作。

另外,医院要求员工使用企业微信,内部部分业务系统可以用企业微信登录。对于Windows系统的账号问题,初步计划使用AD域来解决。

在跟客户详细沟通需求后,安当最后提供了ASP+SLA方案,实现跟HR系统及AD域的对接,系统架构调整为如下:

上图架构,实现了员工入离职时身份信息在HR系统、ASP身份认证平台、AD域之间的自动同步。几个关键的方案优势:

  1. 身份信息自动同步,员工入职登记,离职取消对应的登录权限。
  2. 采用社会化登录方式,兼容客户已改造系统的登录方式。
  3. ASP身份认证平台能够记录每一次用户登录操作日志。
  4. ASP平台+SLA实现了Windows终端的管控,Windows的用户安全策略是通过ASP下发的,用户扫码时的Windows登录账号是由ASP在AD域创建的,用户不需要知道。
  5. 可扩展性好,未来ASP身份认证平台还可以对接其他的业务系统,实现单点登录、RBAC权限控制、增加多因素登录方式等。

二、ASP身份认证系统的其他能力

安当ASP(Authentication Service Platform)身份认证服务系统为企业用户提供集中式的身份、权限、应用管理服务,产品支持云部署或者本地私有化部署。主要功能包括MFA多因素身份认证、SSO单点登录、统一目录、账号全生命周期管理和安全审计。

在跟客户详细沟通确认IT系统架构后,基于ASP身份认证平台的能力,客户后期项目还可以扩展的能力有:

  1. 网络设备上的Radius认证
  2. 老旧系统通过表单代填实现新账号自动登录老系统,并叠加多因素认证。
  3. 关键设备增加UKEY多因素认证
  4. 业务系统之间的单点登录

安当深耕安全行业,在身份安全和数据安全方面都有很多的积累,致力于帮助客户实现成本收益最佳的最适合企业业务需求的的安全方案。

文章作者:太白 ©本文章解释权归安当西安研发中心所有