对任何企业来讲,身份信息管理都是一项繁重的工作,一是要保证人员和组织架构信息的准确性,二是使这些信息能够在不同的目录或应用中高效地交互。
特别是对于中大型企业来说,在复杂的商业环境下,IT人员不仅要管理内部员工,还有大量的合作伙伴,供应商等多种类型人员需要进行身份信息和权限的管理。因此,不同类型的大量人员和组织架构信息分布在不同的系统中,使身份信息管理这项工作的难度大大增加。
另外,随着企业渐渐从传统的本地架构向云端迁移,若继续使用像AD、OA这样的传统目录对身份信息进行管理和推送,他们的高操作难度和与云应用连接的低可行性都会增加HR和IT人员工作的时间和人力成本。对于中大型企业来说,这个问题会更加明显。
玉符科技的统一身份认证(统一目录)能够集成所有本地或云端的目录和应用,将分布在不同目录中的不同类型人员和组织架构信息进行集中管理,也可将信息推送至已集成的本地或云端的应用中。这样既能保证信息的准确性,又可以使信息在不同系统和应用中高效地交互。
接下来,详细说说统一目录是如何工作的。
简单来说,统一身份认证统一目录做了三件事:
**多源集成:**集成任意本地或云端部署的目录(例如HR系统、OA系统、AD)和应用(例如钉钉、Office 365),为数据管理和交互提供基础。 **统一管理:**将所有上游身份源中的人员身份信息和组织架构信息导入至统一目录,进行集中管理,并统一信息格式。 **按需推送:**根据下游目录或应用所需的人员身份信息和组织架构信息及具体格式,从统一目录进行推送。
一、多源集成 多源集成,就是将统一目录以外的本地或云端部署的应用或目录服务集成到统一目录上来。无论是应用还是目录,从谁导入数据谁就是上游(IDP,身份源),谁接收数据谁就是下游(SP,服务提供方)。 在现实情况中,许多企业面临的问题是拥有多个目录,无法确认单一身份源。原因可以是不同目录中包含的属性信息不同,或不同目录中存储了不同部门的人员身份信息。
假设,由HR管理的HR系统中存储了人员的姓名、邮箱、手机号三个属性信息;由IT人员管理的OA系统中存储了姓名、生日、手机号三个属性信息。
某员工只告知IT人员需更换手机号码,所以此信息仅在OA中进行了更新。由于HR和OA系统之间无法进行数据交互,所以“手机号”这个信息的更新在不同目录中无法同步,数据就会存在不一致性。当企业使用像钉钉这样以手机号为准的应用时,IT该从哪个系统获取呢?
如果企业可以明确自己的单一身份源(例如AD),并可以直接将AD与下游的应用打通(如下图所示),有人会认为AD和统一目录其实是完全一样的作用。AD在云时代需要被取代的原因:高操作难度和与云应用集成的低可行性。 玉符统一目录的多源集成,解决了企业无法确认单一身份源的问题,为人员和组织架构的信息数据管理和交互提供了强大的基础。
作为IT管理员,若希望仅在一个目录(假设HR)中更改信息后即可同步至所有其他目录(AD、OA),通过统一目录的多源集成,将HR中的人员和组织架构信息导入至统一目录,再将其他身份源创建为新应用作为下游接收数据就可实现,这样也完全避免了身份信息更新不同步带来的混乱。 二、统一管理
统一管理就是为企业建立单一身份源,将全部人员身份信息和组织架构信息导入,并统一格式。
假设企业有多个身份源:HR、OA、AD,三个源中包含人员和部门不同的属性信息,且格式不同。
在没有玉符统一目录的支撑下,企业只能花费大量的时间和人力成本对不同的目录进行管理或确认单一身份源。除了会造成上述信息更新不同步的问题,还会因为信息表达格式不同而带来