企业办公场景常见身份认证问题及简单应对办法

身份认证是企业十分基础的安全管理组件，碎片化且场景化，以往原则能用即可。由于企业移动化带来安全边界的消失，身份认证对于企业安全重要性日益增强，因此企业对它的要求也会提升，不仅要安全，还要好用。

另外，移动办公带来的组织及人员分布呈现多分支及分散式，通过传统集中管控思路无法适应，需要转变成自助化以及自动化，同时尽可能不派发硬件身份验证器或者安装客户端，除非特别环境的安全要求。

场景1：账号安全

背景：主要解决静态密码易遭破解、高强度密码的策略执行无法推进及定期修改难的问题。

方案：双因子认证，通过动态密码或者消息推送认证方式。

应用场景：从之前的VPN、VDI等移动办公场景，逐渐增加至基于公网访问如邮件、企业单点登录门户，二因子认证方式虽然传统但仍然是最便捷稳定的账号安全加固办法。

政策方面：HW及等保2.0推进，让二因子认证在大型数据中心应用渐渐普及，保护堡垒机、网络设备、应用管理后台、关键数据库等；更多令牌形式：企业微信、钉钉等移动终端从用户体验角度，微信及钉钉会企业认为是可信的身份体系，因此通过企业微信、钉钉为Web、SSO应用登录替代账号密码被认为是安全便捷的。

大型企业从安全性出发，会采用EMM或者自建企业移动门户实现移动办公，除了传统短信认证，生物识别、基于设备指纹的多因子认证等智能技术会被采纳。

场景2：访客及BYOD Wi-Fi认证

访客及员工BYOD设备联网是企业移动化的一个安全风险点，如果没有身份认证，访客和BYOD很容易通过连接无线绕过防火墙闯入企业内网，因此用户身份识别是十分必要的，不同于商业场景，企业场景在设计访客接入时候，比较好办法是让员工为访客协助扫码认证授权，实现访客Wi-Fi临时账号申请过程去中心化，另外能够实现可追溯，如果能够定制高大上Portal登录页面那就更赞了，老板一定很Happy。

对于员工自带BYOD，采用连接AD认证并控制只有外网访问权限，对于移动化及安全级别高的企业如金融可考虑安装类似于AirWatch来实现业务访问。

场景3：应用单点登录

Web应用及SaaS服务的普及，因此统一应用的访问入口能够实现一次认证，访问其他业务无需重复验证，企业应用能通过互联网随时随地访问是移动化的重要特性，无论从安全还是便捷方面，单点登录已然成为企业用户安全建设基础。

虽然C/S架构的业务系统已然不是未来趋势，但是在生产制造领域仍然有大量的C/S应用，如ERP、PLM、BPM等，如果占比数量很多，实现其单点登录也是必要的。

同时，将单点登录与企业微信、钉钉打通，即社交账号与企业内部账号（如AD）建立关联关系，是一个基础性工作。

绝大部分企业核心应用仍然在私有数据中心或者内网部署，实现在互联网环境下简单访问内网应用也是业务移动化的诉求之一。

场景4：统一身份的管理流程及自动化

当业务系统数量增多，不同业务系统中创建独立账号，随着员工人数及应用人数的增多，将变成几何级复杂问题，入离职、调岗涉及到重复的账号增加删除封存以及权限变更工作，由于不同业务系统通常会由业务BU管理，存在更多的孤岛，忘记删除离职员工账号等带来的安全管理问题、重复的手工账号管理过程无聊又耗时。

从解决问题来讲，如何将HR结合流程引擎，与统一身份管理结合，实现账号权限管理流程化及业务系统账号管理的自动化，是企业安全管理及提升效率非常必要，对于规模以上企业是必须要解决的问题。

场景5：终端准入

以往，终端准入控制是安全严格行业才会采纳作为边界安全的补充，通常做法是通过安装客户端，而且接入的电脑通常是Windows 电脑，一方面对终端合规性检查同时发起802.1x认证，简而言之，传统终端准入= 802.1X，运维代价与终端数量成正比，往往由于各种问题导致用户无法正常上网，员工痛恨，IT背锅。

在移动时代，由于传统边界渐渐消失，终端变成新的边界之一，因此对访问应用的终端进行认证并分配权限成为安全的基础工作。另外一方面终端已经从原来的Windows PC开始演进变成Win、macOS、iOS、Andriod、IoT等，无论从技术还是管理方面客户端方式已经无法适应新型终端准入发展，因此“轻量化”终端准入是解决问题的核心思维，具体内涵包括“零客户端”或者轻客户端、无需修改网络架构、无需复杂配置，用户认证体验好并尽可能无感知，实现自动化的准入管理。

身份认证及终端合规性：以Windows 加AD的电脑为例，无需安装客户端，即可实现无感知身份认证及终端检查。

准入控制：比如Virtual Firewall技术，能在不修改网络架构、不修改交换机，即可快速实现基于访问控制，部署非常便捷且不对网络运行有影响。

总结：

以上场景基本上涵盖了办公环境中的绝大部分身份认证相关问题，关于数据中心、云服务器，市面上既有对的（云）堡垒机以及特权账号管理方案，在金融、能源、运营商等大型数据中心场景可以考虑对网络设备实现更加精细的权限管理如利用Radius/Tacacs+统一AAA管理进行补充。

在大型企业访客及员工门禁场景人脸识别及线下授权方面，也是身份认证需要考虑的场景问题。

身份管理是一个琐碎、看似简单但解决好不容易的问题，本文只是简单地讲述到在办公场景的一些应用，后续有机会再讲不同行业的场景化思路。

智能安全接入，从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场，并以技术为导向，于2013年正式上线网络认证系统，形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势，宁盾不断创新身份与访问安全管理技术，形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi 认证管理等多个产品线于一体的全场景解决方案。