一家百人企业的无口令化体验
发布时间:2021-06-25 06:55:13|浏览次数:759
无口令化的体验到底是什么样,我们通过一家客户来具体看一下。这是一家100人左右的外包软件企业,这家企业有自己的产品、研发、销售团队。
来看看大概环境和系统情况
门禁:大厦门禁系统,硬件实验室有单独门禁
网络:自有的wifi、cisco vpn
电脑:win 10笔记本、mac
OA系统:企业微信
邮箱系统:企业微信邮箱
服务器:内网自建、两家云服务
手机:android、iOS
系统:CRM、财务系统、企业微信后台、微信开放平台、各种国家财务网站、产品研发(禅道、jumpserver、wiki、jenkins、hadoop、hive)
整体无口令框架
无口令平台部署于SaaS云平台,使用了云服务商提供的安全防护、TEE级的密钥管理系统。
核心认证方式
1、企业微信扫码:
用于web应用登录,当用户加入公司后,这是默认开启的认证方式。
2、企业微信、微信小程序:支持推送+生物特征、OTP+生物特征
推送+生物特征:通过微信推送,要求用户确认,确认后使用指纹、人脸进行验证。
OTP+生物特征:OTP在开通过程中存储密钥信息到小程序空间中,认证时待用户通过指纹、人脸确认后,生成OTP。
一些传统系统,使用radius、kerberos协议时,otp是最优的无口令化选择。
3、Win Hello 和 Mac KeyChain
密钥存储于设备安全芯片中,使用设备自带指纹、口令解锁密钥,是最安全便捷多因子认证方案。
4、短信验证码
根据场景和安全性,进行如下总结:
员工入职 1.管理员将员工拉入公司企业微信,分配必要的权限,开通企业微信扫码登录; 2.无口令系统自动同步用户信息; 3.管理员通过无口令系统,管理员工可以使用的web应用; 4.员工首次登录无口令系统,使用企业微信扫码登录; 5.进入系统后,须绑定微信小程序,可选绑定win hello或mac keychain。 员工离职 管理员将员工从企业微信删除,无口令系统自动处理用户删除。 1.通过企业微信客户端、网站登入,可进入无口令系统门户; 2.通过门户进行免口令跳转。 大数据系统的使用 1.通过命令行进入大数据系统,比如hadoop、hive; 2.使用小程序OTP,在界面中录入OTP完成相应授权。 VPN的链接 1.通过命令行进入VPN登录界面,当前为openVPN; 2.使用小程序OTP,在界面中录入OTP完成相应授权。 WIFI的链接
内部办公的使用
1.管理员在进行wifi配置时,使用无口令平台提供的portal界面,当前设备为华为无线路由;
2.在界面中,使用短信验证码、小程序、win hello完成最终认证。
服务器的使用 1.管理员将服务器,通过jumpserver堡垒机进行管理。对某个员工,管理员需要在jumpserver中配置使用的服务器; 2.员工通过企业微信客户端、网站登入,可进入无口令系统门户; 3.有权限员工,可看见jumpserver入口; 4.点击进行无口令跳转; 5.在jumpserver中进行系统管理、维护。 SaaS应用的使用 1.有些SaaS应用,常为多位员工,共享一个账户。比如当前公司的微信公众号、阿里云维护平台、招聘平台、应用商店。管理员在设置应用后,可以选择哪些用户可以使用当前账号; 2.员工通过企业微信客户端、网站登入,可进入无口令系统门户; 3.有权限员工,可看见当前应用入口; 4.点击进行无口令跳转。 SaaS应用的临时授权 1.当某些紧急情况,员工可以选择将账户临时交由其它员工使用。在没有无口令平台时,只能分享账户、密码,现在无口令平台可以支持员工设置临时授权。管理员可以对有这类需求应用,单独开启临时授权; 2.员工通过企业微信客户端、网站登入,可进入无口令系统门户; 3.有权限员工,可看见当前应用入口; 4.对需要临时分享的账户,进行设置,可设置时间、次数; 5.分享账户登录无口令平台,即可看见当前登录入口。