雲棲號案例庫:【點擊查看更多上雲案例】
不知道怎麼上雲?看雲棲號案例庫,瞭解不同行業不同發展階段的上雲方案,助力你上雲決策!
公司介紹
維他奶(公司官網地址:https://www.vitasoy.com)成立於1940年,在中國大陸、中國香港,美國、澳大利亞等地設有廠房,公司員工遍佈上海、廣州、香港等多個分支機構。隨着業務的高速發展,維他奶集團的應用系統數量也不斷增長,移動辦公、遠程辦公和外網訪問的需求日益增加。如何有效管理衆多應用系統中的用戶賬號和權限,如何在保證安全的前提下,爲用戶在使用不同終端時提供高效、快捷的訪問體驗,成爲公司在數字化轉型進程中面臨的挑戰。
業務痛點
- 應用系統與用戶數量日益增加,管理複雜、成本較高。
維他奶的原有IT系統基礎架構是基於AD域控開發的,在企業業務高速增長、應用系統數量持續增加的階段,無法對大量的內部賬號、訪問權限依託於AD域進行有效管理,全盤重新開發的時間和人力成本都比較高,不適合當前業務要求。
- 身份及認證方式繁雜,員工接入效率不高、可能存在安全隱患。
維他奶的內部應用系統是相對獨立的,員工以往在登錄不同業務系統時,都需要按照系統預設的認證方式進行各自登錄,增加了操作量,一定程度上降低了效率。此外,由於多個系統的相對獨立存在,員工需要記錄與之對應的多套賬戶和登錄密碼,該情形不可避免地會造成員工的記憶困難,同時也更容易發生密碼泄露。
- 賬戶與權限缺乏統一自動化管理。
以往,維他奶內部的應用權限是通過IT管理人員手動操作進行發放的,權限申請的入口繁多,IT團隊的授權工作量很大;而且在員工離職後,需要通過手工下發發權限回收的通知,效率較低且容易遺漏,可能會導致離職員工的權限收回不及時,在技術上留下風險敞口。
- 傳統的VPN訪問方式不適合越來越多的遠程辦公場景。
維他奶的分支機構遍佈中國大陸、中國香港和海外城市,員工以往訪問總部的數據中心時都要通過VPN的方式撥入內網;但隨着業務的增長和疫情突發,遠程辦公快速成爲主要場景,傳統的VPN在大量的遠程接入需求的情況下存在性能瓶頸,且無法對終端設備的安全狀態進行有效管控,一旦終端被劫持或被惡意程序感,可能會通過VPN接入內網並進行非法操作,企業對非法行爲的監控、阻斷和審計管理較爲困難。
解決方案
阿里雲應用身份服務(IDaaS)+應用安全認證網關(SPG)方案
- 統一的賬戶身份及認證管理能力
IDaaS將原先散落在各個業務應用系統內的賬號進行統一管理,將AD/LDAP、釘釘、企業微信等系統內的賬號來源打通,將員工從記錄多個賬戶、密碼的繁瑣操作中解放出來;企業IT人員可以靈活地自定義SSO門戶,並配置除了密碼之外多種認證方式(包括動態令牌、證書和第三方認證員),賦予員工、合作伙伴及客戶一鍵訪問所有被授權應用的能力。尤其是最複雜的SAP系統對接過程中,大大提高了維他奶核心的SAP系統用戶的工作效率。
- 統一的權限管理能力
IDaaS提供了可視化的集中授權能力,能夠通過對員工或部門的一次性配置,使對其的授權訪問範圍在全局生效。在員工的崗位、職務發生變化或者離職時,無需管理人員干預,即可實現權限配置的快速應變和回收,大幅提升權限管理效率,降低運維成本,縮小風險敞口。
- 基於零信任理念的5A應用身份管理,助力企業擁抱安全的遠程辦公體驗
IDaaS通過對員工身份的認證,與SPG相互緊密配合,在保障遠程接入的訪問效率和體驗時,避免業務系統在互聯網上裸奔。
相對於VPN,應用安全認證網關SPG的方案不需要用戶進行遠程撥入,不需要安裝VPN客戶端,員工在內網和外網環境下的使用體驗沒有差別;而且通過反向代理幾時,SPG能夠將業務服務妥善地保護在網關之後,並通過HTTPS加密通道、多種強認證、雙因素認證、黑名單等技術手段來提高交互的安全性,在通過互聯網訪問內網時取代VPN,並依靠阿里云云原生的基礎設施優勢,在業務高峯時期,實現動態擴容,確保體驗,降本增效。
此外,IDaaS作爲一款基於阿里雲原生架構的安全產品,擁有更高的可擴展性和兼容性,在維他奶的IT基礎設施、架構和應用不斷走向雲端的過程中,能夠提供更好的兼容性和擴展性。
證言
“維他奶單點登錄平臺上線以來運行穩定,極大方便了維他奶同事登錄IT系統並獲得一致好評。目前維他奶十多套應用系統已經順利接入,在PC端和移動端做到了免登進入各種系統,充分展示了阿里雲安全產品的技術實力和落地能力。在此,我們對阿里雲IDAAS項目組同事的專業技能和用心服務表示表示誠摯的感謝!”——維他奶集團CIO Lucas
相關產品
- 應用身份服務
應用身份服務(IDaaS)是一個集中式身份管理服務,爲政企客戶提供統一的應用門戶、用戶目錄、單點登錄、集中授權、以及行爲審計等中臺服務。 IDaaS 支持 SAML、OIDC、CAS 等常見身份聯邦協議,也可以與釘釘通訊錄、AD、HR 系統等身份源打通,做到統一的身份權限管理和應用訪問控制。
更多關於應用身份服務的介紹,參見應用身份服務產品詳情頁。
【雲棲號在線課堂】每天都有產品技術專家分享!
在線課堂地址:https://yqh.aliyun.com/live立即加入社羣,與專家面對面,及時瞭解課程最新動態!
【雲棲號在線課堂 社羣】https://c.tb.cn/F3.Z8gvnK