管理，應(yīng)該是一個(gè)熵減的過(guò)程。管理的使命是讓企業(yè)內(nèi)部的生產(chǎn)力，甲乙丙多方的生產(chǎn)關(guān)系，遍布全球的生產(chǎn)資料能有序高效的運(yùn)行。企業(yè)越來(lái)越多的使用第三方能力，比如，人力，財(cái)務(wù)，物流等等。買方往往會(huì)得到某個(gè)SaaS系統(tǒng)的賬號(hào)。這些三方系統(tǒng)要融入企業(yè)現(xiàn)有的管理體系經(jīng)常充滿挑戰(zhàn)。像IAM等認(rèn)證授權(quán)系統(tǒng)的對(duì)接，審計(jì)粒度等。這些要求會(huì)讓它們游離于體系之外，它們是無(wú)序的離散的。這帶來(lái)了混亂，讓系統(tǒng)熵增。

應(yīng)該通過(guò)管理手段讓他們變得有序，這需要工具。

1. 痛點(diǎn)

1.1. 互聯(lián)網(wǎng)企業(yè)：不想把密碼告訴別人但總是有臨時(shí)授權(quán)的需求

眾所周知，有些系統(tǒng)的賬號(hào)是要法人注冊(cè)的，小公司無(wú)所謂，一個(gè)老板仨員工，誰(shuí)干都一樣。而公司做大做強(qiáng)以后，各部門都很健全了，還讓老板動(dòng)手就挺尷尬。我有一個(gè)朋友小王，他是市場(chǎng)部總監(jiān)，電商的賬號(hào)在老板那里。有一天，老板對(duì)他說(shuō)：“小王，你處理一下電商的那個(gè)投訴，我把登錄的賬號(hào)密碼給你，你不要告訴其他人。”

小王總監(jiān)說(shuō)：“好的，老板，我親自處理。”

從這個(gè)場(chǎng)景中我們可以感受到老板挺別扭，王總監(jiān)也挺為難。對(duì)老板來(lái)說(shuō)只要把賬號(hào)密碼給出去，就已經(jīng)“泄露”了。而王總監(jiān)本來(lái)可以把具體的工作安排給其他人做，但為保守秘密，只能自己做。

1.2. 政府單位和國(guó)企：因案授權(quán)缺乏工具，行為審計(jì)粒度不足

政府單位和國(guó)企購(gòu)買的第三方服務(wù)賬號(hào)有限，在系統(tǒng)內(nèi)也是因案授權(quán)按需使用。這些系統(tǒng)根據(jù)業(yè)務(wù)的敏感度，管理員設(shè)置了不同的訪問(wèn)方式，有的可以直接訪問(wèn)，有的需要安裝特定的VPN，有的還需要VPN+IP綁定。登錄方式除了最常見(jiàn)的賬號(hào)密碼，手機(jī)短信，掃碼之外，還有Ukey證書(shū)，生物信息登錄等等。沒(méi)有賬號(hào)共享工具會(huì)影響辦案辦事效率。同時(shí)，在體系內(nèi)把三方賬號(hào)因案再授權(quán)時(shí)，對(duì)成員的使用行為缺乏細(xì)粒度的審計(jì)。

1.3. 外貿(mào)物流：每次分享完賬號(hào)，就改一次密碼

外貿(mào)物流企業(yè)日常訂艙會(huì)經(jīng)常訪問(wèn)五個(gè)網(wǎng)站，每個(gè)網(wǎng)站都有一個(gè)企業(yè)主體的賬號(hào)，有幾個(gè)員工專門負(fù)責(zé)。雖是專人專崗但有時(shí)也會(huì)需要臨時(shí)把賬號(hào)給其他人用，用完后老板都會(huì)手工改一下密碼。不過(guò)依賴人工的都不太可靠，有時(shí)會(huì)忘記改，老板就會(huì)比較擔(dān)心會(huì)不會(huì)有不專業(yè)的人士誤操作。他的擔(dān)心是有道理的，這些系統(tǒng)是企業(yè)的生命線，容不得有閃失。

從上面的幾個(gè)案例中我們總結(jié)了賬號(hào)資產(chǎn)管理的幾個(gè)痛點(diǎn)。

1、 缺乏使用審計(jì)(誤操作無(wú)法追溯)

2、 非授權(quán)使用(用戶二次傳播賬號(hào)密碼)

3、 缺乏管理流程(人員變動(dòng)賬號(hào)沒(méi)有回收)

4、 工作效能低(使用條件苛刻，VPN和IP綁定，使用Ukey等)

2. 貝銳洋蔥頭是賬號(hào)管理工具

2.1. 系統(tǒng)架構(gòu)

企業(yè)需要一套內(nèi)部的賬號(hào)資產(chǎn)管理系統(tǒng)，用于規(guī)范企業(yè)內(nèi)成員對(duì)各平臺(tái)賬號(hào)的使用。貝銳洋蔥頭提供了一個(gè)解決方案。它基于C/S架構(gòu)，客戶端是一個(gè)企業(yè)瀏覽器，服務(wù)器可以私有化部署也可以使用貝銳的SaaS服務(wù)。

2.2. 設(shè)計(jì)原則

基于4A原則(Account、Authentication、Authorization、Audit)，成員執(zhí)行登錄操作，認(rèn)證成功后獲得相應(yīng)的授權(quán)，授權(quán)包括他可以使用哪些第三方系統(tǒng)的賬號(hào)。成員在使用這些賬號(hào)訪問(wèn)對(duì)應(yīng)的網(wǎng)站應(yīng)用時(shí)， 他的訪問(wèn)行為會(huì)被審計(jì)。

2.2.1. 賬號(hào)

對(duì)接組織現(xiàn)有的賬號(hào)管理體系，如企業(yè)微信，釘釘，飛書(shū)，OpenLDAP, AD域等，洋蔥頭也支持格爾等政府單位常用的PKI系統(tǒng)。無(wú)論是將目錄服務(wù)中的組織架構(gòu)動(dòng)態(tài)同步到洋蔥頭管理后臺(tái)，還是半同步半手工建立組織架構(gòu)，洋蔥頭SaaS版和私有化版均可以支持。

2.2.2. 認(rèn)證

支持傳統(tǒng)的賬號(hào)密碼認(rèn)證，短信，掃碼，OTP，OAuth2.0, SAML等常見(jiàn)的認(rèn)證方式。

2.2.3. 授權(quán)

管理員在服務(wù)器端配置策略，下發(fā)給洋蔥頭執(zhí)行。策略的下發(fā)對(duì)象是“用戶” ，策略下發(fā)給用戶A，可以理解為是對(duì)A的授權(quán)。當(dāng)用戶A登錄洋蔥頭時(shí)，即獲得相應(yīng)的授權(quán)。

2.2.4. 審計(jì)

作為一套完整的toB系統(tǒng)，審計(jì)是必不可少的。在對(duì)用戶授權(quán)之后， 用戶訪問(wèn)業(yè)務(wù)網(wǎng)站時(shí)的操作會(huì)被審計(jì)。審計(jì)的粒度包括PUT, POST等請(qǐng)求明文，當(dāng)用戶有鼠標(biāo)點(diǎn)擊動(dòng)作時(shí)還會(huì)進(jìn)行截圖存檔。洋蔥頭的審計(jì)行為是明確的告知用戶的，僅限于指定網(wǎng)站。用戶在其他網(wǎng)站上的操作不會(huì)被審計(jì)。

2.3. 洋蔥頭的核心功能

洋蔥頭企業(yè)賬號(hào)資產(chǎn)管理系統(tǒng)有以下核心功能。

2.3.1. 強(qiáng)審計(jì)

審計(jì)是企業(yè)管理閉環(huán)中不可或缺的環(huán)節(jié)，傳統(tǒng)上企業(yè)會(huì)使用上網(wǎng)行為管理或終端安全管理產(chǎn)品。但隨著TLS/SSL應(yīng)用層加密的普及，端側(cè)和網(wǎng)絡(luò)設(shè)備已經(jīng)很難審計(jì)到業(yè)務(wù)內(nèi)容了。洋蔥頭在審計(jì)方面具有特殊的優(yōu)勢(shì)，它是瀏覽器，所有內(nèi)容在瀏覽器呈現(xiàn)出來(lái)之后都是明文的。洋蔥頭可以對(duì)用戶訪問(wèn)網(wǎng)站的行為進(jìn)行細(xì)粒度的審計(jì)，包括PUT, POST, GET, HEAD等請(qǐng)求的明文，洋蔥頭還可以在用戶點(diǎn)擊鼠標(biāo)時(shí)對(duì)屏幕進(jìn)行截圖。

審計(jì)策略是管理員下發(fā)的只能針對(duì)具體的業(yè)務(wù)網(wǎng)站，用戶側(cè)可以清晰的看到自己在訪問(wèn)哪些網(wǎng)站時(shí)被審計(jì)，當(dāng)用戶沒(méi)有使用洋蔥頭時(shí)，或訪問(wèn)的是個(gè)人網(wǎng)站時(shí)，審計(jì)策略不會(huì)生效。這個(gè)特性在強(qiáng)審計(jì)之外有效保護(hù)了用戶的隱私，避免功能被濫用。

2.3.2. 賬號(hào)代填

企業(yè)購(gòu)買的第三方系統(tǒng)大多需要通過(guò)瀏覽器訪問(wèn)，它們大多是web服務(wù)。通常，人們?cè)谠L問(wèn)這些第三方系統(tǒng)的網(wǎng)站時(shí)需要手工填寫賬號(hào)密碼(這個(gè)賬號(hào)即是本文所說(shuō)的“賬號(hào)資產(chǎn)”)。使用洋蔥頭后，管理員在控制臺(tái)下發(fā)策略，將訪問(wèn)第三方系統(tǒng)“W”的賬號(hào)授權(quán)給用戶A。當(dāng)用戶A登錄洋蔥頭訪問(wèn)“W”時(shí)將不再需要手工填寫賬號(hào)密碼，洋蔥頭會(huì)幫用戶代填，這個(gè)過(guò)程是由洋蔥頭根據(jù)策略自動(dòng)執(zhí)行的，洋蔥頭在代填密碼時(shí)還會(huì)把密碼遮罩起來(lái)，避免密碼被用戶A獲得。用戶不知道密碼，也就不會(huì)泄露密碼。同時(shí)，密碼由管理員統(tǒng)一管理，也可以保證密碼強(qiáng)度，密碼定期更新等管理制度的執(zhí)行。

2.3.3. 登錄憑證分發(fā)

用戶使用普通瀏覽器登錄第三方系統(tǒng)的網(wǎng)站后，瀏覽器會(huì)在cookie，LocalStorage等位置存儲(chǔ)token、用戶id、設(shè)備ID等一系列登錄憑證。管理員在使用洋蔥頭第一次登錄成功后，洋蔥頭會(huì)把這些登錄憑證上傳到服務(wù)器。管理員在控制臺(tái)通過(guò)策略把這些登錄憑證授權(quán)給企業(yè)內(nèi)部成員。當(dāng)成員登錄洋蔥頭時(shí)，洋蔥頭會(huì)根據(jù)策略將登錄憑證同步到本地，用戶訪問(wèn)第三方系統(tǒng)網(wǎng)站時(shí)自動(dòng)處于登錄狀態(tài)。

2.3.4. Ukey映射

一些第三方系統(tǒng)的網(wǎng)站在登錄時(shí)需要使用Ukey， 賬號(hào)是存儲(chǔ)在Ukey中的。這種情況下賬號(hào)代填功能無(wú)效。 同時(shí)，由于第三方系統(tǒng)的網(wǎng)站會(huì)通過(guò)瀏覽器檢測(cè)本地的Ukey設(shè)備，即使遠(yuǎn)端的洋蔥頭瀏覽器獲得了cookie等登錄憑證，由于遠(yuǎn)端沒(méi)有接入U(xiǎn)key，也依然無(wú)法訪問(wèn)第三方系統(tǒng)的網(wǎng)站。洋蔥頭通過(guò)USB-over-IP技術(shù)，將本地的Ukey映射到遠(yuǎn)端洋蔥頭設(shè)備中，實(shí)現(xiàn)Ukey遠(yuǎn)程接入。這樣，Ukey在物理上只需要接入一臺(tái)設(shè)備，即可以遠(yuǎn)程授權(quán)給多臺(tái)設(shè)備使用。

3. 洋蔥頭的價(jià)值

注：需要部署洋蔥頭私有化版本，使用時(shí)請(qǐng)遵守各平臺(tái)協(xié)議。

在數(shù)字化、云化加速的今天，企業(yè)賬號(hào)已不僅僅是一個(gè)登錄入口，而是關(guān)乎業(yè)務(wù)安全、運(yùn)營(yíng)效率與合規(guī)責(zé)任的核心資產(chǎn)。

從賬密管理到特權(quán)賬號(hào)管控，從權(quán)限授權(quán)到因案/因事授權(quán)、一事一授，管理的本質(zhì)，就是將分散無(wú)序的賬號(hào)資源納入有序可控的體系中，實(shí)現(xiàn)從“熵增”到“熵減”的轉(zhuǎn)變。

貝銳洋蔥頭，正是幫助企業(yè)構(gòu)建這一秩序的關(guān)鍵工具。

它用精細(xì)化的權(quán)限控制、可追溯的行為審計(jì)、安全可控的賬號(hào)共享，讓每一次訪問(wèn)都有章可循，讓每一個(gè)授權(quán)都有跡可查。當(dāng)賬號(hào)管理不再是隱患，而是生產(chǎn)力的一部分，企業(yè)才能真正釋放數(shù)字化協(xié)作的潛能。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）