对任何企业来讲,身份信息管理都是一项繁重的工作,一是要保证人员和组织架构信息的准确性,二是使这些信息能够在不同的目录或应用中高效地交互。
特别是对于中大型企业来说,在复杂的商业环境下,IT人员不仅要管理内部员工,还有大量的合作伙伴,供应商等多种类型人员需要进行身份信息和权限的管理。因此,不同类型的大量人员和组织架构信息分布在不同的系统中,使身份信息管理这项工作的难度大大增加。
另外,随着企业渐渐从传统的本地架构向云端迁移,若继续使用像AD、OA这样的传统目录对身份信息进行管理和推送,他们的高操作难度和与云应用连接的低可行性都会增加HR和IT人员工作的时间和人力成本。对于中大型企业来说,这个问题会更加明显。
玉符科技的统一身份认证(统一目录)能够集成所有本地或云端的目录和应用,将分布在不同目录中的不同类型人员和组织架构信息进行集中管理,也可将信息推送至已集成的本地或云端的应用中。这样既能保证信息的准确性,又可以使信息在不同系统和应用中高效地交互。
接下来,详细说说统一目录是如何工作的。
简单来说,统一身份认证统一目录做了三件事:
**多源集成:**集成任意本地或云端部署的目录(例如HR系统、OA系统、AD)和应用(例如钉钉、Office 365),为数据管理和交互提供基础。
**统一管理:**将所有上游身份源中的人员身份信息和组织架构信息导入至统一目录,进行集中管理,并统一信息格式。
**按需推送:**根据下游目录或应用所需的人员身份信息和组织架构信息及具体格式,从统一目录进行推送。
一、多源集成
多源集成,就是将统一目录以外的本地或云端部署的应用或目录服务集成到统一目录上来。无论是应用还是目录,从谁导入数据谁就是上游(IDP,身份源),谁接收数据谁就是下游(SP,服务提供方)。
在现实情况中,许多企业面临的问题是拥有多个目录,无法确认单一身份源。原因可以是不同目录中包含的属性信息不同,或不同目录中存储了不同部门的人员身份信息。
假设,由HR管理的HR系统中存储了人员的姓名、邮箱、手机号三个属性信息;由IT人员管理的OA系统中存储了姓名、生日、手机号三个属性信息。
某员工只告知IT人员需更换手机号码,所以此信息仅在OA中进行了更新。由于HR和OA系统之间无法进行数据交互,所以“手机号”这个信息的更新在不同目录中无法同步,数据就会存在不一致性。当企业使用像钉钉这样以手机号为准的应用时,IT该从哪个系统获取呢?
如果企业可以明确自己的单一身份源(例如AD),并可以直接将AD与下游的应用打通(如下图所示),有人会认为AD和统一目录其实是完全一样的作用。AD在云时代需要被取代的原因:高操作难度和与云应用集成的低可行性。
玉符统一目录的多源集成,解决了企业无法确认单一身份源的问题,为人员和组织架构的信息数据管理和交互提供了强大的基础。
作为IT管理员,若希望仅在一个目录(假设HR)中更改信息后即可同步至所有其他目录(AD、OA),通过统一目录的多源集成,将HR中的人员和组织架构信息导入至统一目录,再将其他身份源创建为新应用作为下游接收数据就可实现,这样也完全避免了身份信息更新不同步带来的混乱。
二、统一管理
统一管理就是为企业建立单一身份源,将全部人员身份信息和组织架构信息导入,并统一格式。
假设企业有多个身份源:HR、OA、AD,三个源中包含人员和部门不同的属性信息,且格式不同。
在没有玉符统一目录的支撑下,企业只能花费大量的时间和人力成本对不同的目录进行管理或确认单一身份源。除了会造成上述信息更新不同步的问题,还会因为信息表达格式不同而带来更多的混乱。
玉符统一目录的统一管理就是将三个身份源中所包含的所有属性信息导入,并以同样的表达格式(例如姓名是汉字形式,手机号不包含“-”)集中在一起。在信息导入的过程中,玉符通过属性编辑器和脚本引擎对所有的属性信息进行了映射(Gender→性别)和转换(部门+职位→职级),IT管理员也可以在统一目录中添加/修改人员或组织架构的属性。
这样一来,企业所有人员和部门的全部信息都会以相同的表达格式展现在统一目录中,统一目录可直接作为单一身份源,为外部应用或目录推送数据。
并且,企业可以选择直接在统一目录中进行人员或部门信息的更新,将所有上游身份源转至下游去接收数据。成功地将不同目录间M(个IDP)*N(个SP)的复杂关系降低为M+N+1(统一目录)。
三、按需推送
在没有多源集成的基础上,当企业使用任何本地或云端应用(例如Office 365、钉钉、SAP)时,都需要从不同身份源中获取不同格式的人员和组织架构信息。这个过程想必是混乱且容易出错的。
现在,有了多源集成和统一管理的基础,玉符统一目录可以作为单一身份源和数据中转站,将每个应用所需的属性信息按照所需的格式推送出去。在这个过程中,属性编辑器和脚本引擎会再次发挥作用,IT也无需再去不同的身份源中分别获取信息。
通过玉符统一目录,企业可以将所有人员和组织架构信息集中到一个数据中心进行统一管理。在集成多个源的基础上,既可以保证信息的准确性,又可以高效地进行信息在系统和应用间的交互。同时,原本复杂的应用集成和目录集成工作都不再需要开发,只需简单的配置就可以完成,同时安全又可控。