文章來源 / Ken Hsu
隨著不同的資安挑戰和防護技術演進,許多企業都深知密碼強度的重要性,但若是導入過於複雜的密碼機制,反而可能會影響到員工的生產效率。此時,透過導入適當的身份識別管理方案,可以協助組織在維持生產力和維護安全之間取得平衡,例如提升人員存取資源所需的速度,同時評估存取權是否應該隨著時間而變更。簡單來說,員工帳號在不同階段的流動,就稱為使用者的生命周期狀態更改。
Okta Lifecycle Management - 生命週期管理方案擁有的亮點功能:
1. 產品開箱即用的功能,可滿足客戶7成以上的應用場景。
2. 提供完整產品SDK 文件,滿足串接多元的客製化需求。
由於客戶擁有為數不少的地端及雲端 App ,為人員配置對應的應用程式權限以及管理工作並不容易。藉由 Okta 帳號生命週期管理(LCM),可幫助企業組織自動執行與員工加入、異動或離開組織相關的IT流程。
透過 Okta LCM,可以減輕 IT 與 HR 對於新增人員時設定 APP 權限的負擔以及對於離職人員帳號處理,避免因遺漏帳號後續仍存取公司機敏資訊的風險。
部署於現有架構的流程:
1. 查看應用程式是否已經在 Okta Integration Network(OIN)上有支援
2. 將應用程式加入至 Okta
3. (可選)將 SCIM 設定整合至 App 中
4. 設定應用程式整合配置
5. 配發使用者/群組應用程式權限
在常態情況下,常需將使用者App權限需要逐一設定在每個平台上,但是透過 Okta JIT provisioning 功能,IT 只要在地端 AD 上配置好帳號及群組等資訊,當使用者登入時,Okta 會自動在平台上創建帳號並依據地端設定群組權限配置對應的 APP 存取權限。
另一方面,當公司有新進員工或既有員工離職時,可以透過 SCIM 自動新增或刪除帳號在外部系統。(例如: Google Workspace, Microsoft 365, Salesforce ... 等)
以 Zscaler 為範例,在 Zscaler 中開起 SCIM Provision 功能並將 Base URL 和 Bearer Token 寫回至 Okta 上,即可設定 Okta 透過 SCIM 推送管理使用者帳號。無須使用者登入該平台設定帳號綁定等複雜作業。
Okta 整合 Zscaler 的 API 設定用於推送 SCIM
Okta 推送帳號至 Zscaler 平台的相關細節
總結而言,企業常會有數十多個應用程式、數百個使用者帳號管理以及合理的權限配發,對於企業無論是管理員、或是 HR,都會有相當大的挑戰。透過 Okta 的 LCM 管理設定,讓系統自動配對,讓 IT 跟 HR 減輕負擔的同時加強避免機敏資料外洩的風險。
Comments