企业安全建设之基础办公安全体系建设（统一账号认证系统）

有幸拜读了李斌老师的《企业信息安全建设与运维指南》，书中详细介绍了基础安全建设、自动化系统建设、业务安全体系建设，受益匪浅。

结合李斌老师的书，做了随笔整理。

 

企业办公网安全体系建设，包括终端基础安全体系、防火墙和VPN、入侵检测/防御系统、邮件系统安全和统一账号认证系统建设。

 

1. 企业办公网安全体系建设

之前的文章有介绍：企业安全建设之基础办公安全体系建设（终端基础安全）企业安全建设之基础办公安全体系建设（防火墙、VPN和上网行为管理）企业安全建设之基础办公安全体系建设（入侵检测与防御系统）企业安全建设之基础办公安全体系建设（邮件安全）

 

本篇介绍统一账号认证系统

2. 统一账号认证系统

在企业中，往往有许多不同的内部系统，如OA系统、邮箱系统、各种运营管理平台、呼叫中心系统、支持开发/测试/发布过程中的系统，公司员工会使用到这些系统，当系统越来越多，且公司员工越来越多时，企业内部系统账号安全问题就会逐渐凸显，如图。

 

建议建设统一账号认证系统，解决以上问题，实现以下目标。

· 为内部系统提供统一登陆入口。

· 为内部系统提供统一认证管理，并统一用户账号，统一安全机制。

· 实现单点登录功能（通过统一认证系统登录一个系统后，无须再次登录即可访问其他系统）。

· 提供账号密码修改、重置入口。

· 提供用户登录登出统一日志管理功能。

· 提供账号统一注销功能。

 

2.1 统一账号认证系统实现方案

2.1.1 统一账号认证系统功能架构

统一认证系统架构图如下所示，主要包括认证源、认证管理系统、认证服务和用户接入。

 

1）认证源

使用Windows AD域作为认证源，服务认证系统通过LDAP协议调用。

2）认证管理系统

包括第三方接入管理系统和账号管理中心。

· 第三方接入管理系统：提供第三方应用接入管理，如分配client_id和client_secret，这一步是为了保证只有经过认证管理系统授权的第三方应用才能接入，避免被应用系统非授权访问。

· 账号管理中心：提供账号统一管理服务，如账户名、手机号码等基础信息，传入账号密码并通过LDAP协议认证用户账号密码的有效性；提供统一的Web Portal，方便用户修改用户基础信息，定期修改AD账号密码。

3）认证服务系统

服务认证系统提供给第三方web系统或app接入，web系统接入采用OAuth 2.0协议，App接入使用系统提供的SDK。

OAuth 2.0协议的交互流程如下。

· A 第三方应用请求用户授权。

· B 用户同意授权并返回Code给第三方授权。

· C 第三方应用通过Code向授权服务器申请授权。

· D 授权服务器返回Access Token给第三方。

· E 第三方应用通过Access Token向资源服务器请求相关资源。

· F 第三方应用获得受保护资源。

4）用户接入

主要包括app接入（如公司内部应用的移动客户端）和web应用接入（主要通过浏览器访问）。

 

2.1.2 统一认证系统接入流程

第三方web应用系统接入统一认证系统的时序图如图所示。假设公司有两个系统已经接入统一认证系统，分别为A系统和B系统，用户通过统一认证系统需要同时访问A系统和B系统。

 

1）用户通过统一认证系统访问A系统。

· 浏览器请求登录第三方系统。

· 第三方系统发现用户未登录。

· 第三方系统请求跳转到统一认证系统。

· 返回统一认证系统的登录页面，同时会带上redirect_uri供认证成功后跳回该页面。

· 用户输入账号密码登录。

· 进行认证，比对AD域中的账号密码是否正确。

· 统一认证系统跳转到redirect_uri，并返回code。

· 第三方系统使用code请求在统一认证系统中获取access_token。

· 统一认证系统返回access_token。

· 第三方系统使用access_token请求获取用户信息。

· 用户信息返回。

· 登录第三方系统A，进入首页。

2）用户在已经登录A系统的条件下访问B系统（已接入统一认证系统）。

· 用户请求登录B系统。

· 发现未登录。

· 跳转至统一认证系统。

· 验证用户已经登录。

· 返回access_token。

· 通过access_token获取用户信息。

· 返回用户信息。

· 登录第三方系统B，进入首页。

需要注意的是，access_token必须设置有效期，由统一认证系统维护有效期，第三方系统定期请求判断令牌是否有效，失效后应该重定向到登录界面。单个系统注销登录后，其他系统的登录状态也会失效，必须重新通过统一认证系统验证再次登录。

 

2.1.3账号安全认证和管理功能实现

1）账号安全认证

web统一认证系统必须在内网才能访问，如需远程访问则需要通过SSL VPN登录后才能访问，认证时需要输入正确的账号密码。

2）账号安全管理

· 提供统一认证Portal，用户登录统一认证系统后可以查看基本信息。

· 提供修改账号密码功能，设置密码复杂度规则和密码验证，统一密码修改入口，可解决弱密码问题。

· 提供密码重置功能，重置密码前需要进行短信验证。

· 提供AD账号密码过期自动发送邮件提醒功能。

· 提供离职员工账号回收功能。

3）日志统一审计

在统一认证系统上记录用户登录、登出日志，满足安全合规需求和审计需求。

 

本章主要介绍了--企业安全建设之基础办公安全体系建设（统一账号认证系统），企业办公网安全体系建设，包括终端基础安全体系、防火墙和VPN、入侵检测/防御系统、邮件系统安全和统一账号认证系统建设 五个部分就介绍完了

有需要了解基础办公安全体系建设或者编写相关文档的师傅，可以私聊公众号发送“安全体系”获取pdf版。

刚入行萌新热爱学习与收藏。感谢各位师傅支持与关注

“如侵权请私聊公众号删文”

欢迎关注 系统安全运维 

觉得不错点个“赞”、“在看”哦

本文始发于微信公众号（系统安全运维）：企业安全建设之基础办公安全体系建设（统一账号认证系统）