云栖号案例库:【点击查看更多上云案例】
不知道怎么上云?看云栖号案例库,了解不同行业不同发展阶段的上云方案,助力你上云决策!
公司介绍
维他奶(公司官网地址:https://www.vitasoy.com)成立于1940年,在中国大陆、中国香港,美国、澳大利亚等地设有厂房,公司员工遍布上海、广州、香港等多个分支机构。随着业务的高速发展,维他奶集团的应用系统数量也不断增长,移动办公、远程办公和外网访问的需求日益增加。如何有效管理众多应用系统中的用户账号和权限,如何在保证安全的前提下,为用户在使用不同终端时提供高效、快捷的访问体验,成为公司在数字化转型进程中面临的挑战。
业务痛点
- 应用系统与用户数量日益增加,管理复杂、成本较高。
维他奶的原有IT系统基础架构是基于AD域控开发的,在企业业务高速增长、应用系统数量持续增加的阶段,无法对大量的内部账号、访问权限依托于AD域进行有效管理,全盘重新开发的时间和人力成本都比较高,不适合当前业务要求。
- 身份及认证方式繁杂,员工接入效率不高、可能存在安全隐患。
维他奶的内部应用系统是相对独立的,员工以往在登录不同业务系统时,都需要按照系统预设的认证方式进行各自登录,增加了操作量,一定程度上降低了效率。此外,由于多个系统的相对独立存在,员工需要记录与之对应的多套账户和登录密码,该情形不可避免地会造成员工的记忆困难,同时也更容易发生密码泄露。
- 账户与权限缺乏统一自动化管理。
以往,维他奶内部的应用权限是通过IT管理人员手动操作进行发放的,权限申请的入口繁多,IT团队的授权工作量很大;而且在员工离职后,需要通过手工下发发权限回收的通知,效率较低且容易遗漏,可能会导致离职员工的权限收回不及时,在技术上留下风险敞口。
- 传统的VPN访问方式不适合越来越多的远程办公场景。
维他奶的分支机构遍布中国大陆、中国香港和海外城市,员工以往访问总部的数据中心时都要通过VPN的方式拨入内网;但随着业务的增长和疫情突发,远程办公快速成为主要场景,传统的VPN在大量的远程接入需求的情况下存在性能瓶颈,且无法对终端设备的安全状态进行有效管控,一旦终端被劫持或被恶意程序感,可能会通过VPN接入内网并进行非法操作,企业对非法行为的监控、阻断和审计管理较为困难。
解决方案
阿里云应用身份服务(IDaaS)+应用安全认证网关(SPG)方案
- 统一的账户身份及认证管理能力
IDaaS将原先散落在各个业务应用系统内的账号进行统一管理,将AD/LDAP、钉钉、企业微信等系统内的账号来源打通,将员工从记录多个账户、密码的繁琐操作中解放出来;企业IT人员可以灵活地自定义SSO门户,并配置除了密码之外多种认证方式(包括动态令牌、证书和第三方认证员),赋予员工、合作伙伴及客户一键访问所有被授权应用的能力。尤其是最复杂的SAP系统对接过程中,大大提高了维他奶核心的SAP系统用户的工作效率。
- 统一的权限管理能力
IDaaS提供了可视化的集中授权能力,能够通过对员工或部门的一次性配置,使对其的授权访问范围在全局生效。在员工的岗位、职务发生变化或者离职时,无需管理人员干预,即可实现权限配置的快速应变和回收,大幅提升权限管理效率,降低运维成本,缩小风险敞口。
- 基于零信任理念的5A应用身份管理,助力企业拥抱安全的远程办公体验
IDaaS通过对员工身份的认证,与SPG相互紧密配合,在保障远程接入的访问效率和体验时,避免业务系统在互联网上裸奔。
相对于VPN,应用安全认证网关SPG的方案不需要用户进行远程拨入,不需要安装VPN客户端,员工在内网和外网环境下的使用体验没有差别;而且通过反向代理几时,SPG能够将业务服务妥善地保护在网关之后,并通过HTTPS加密通道、多种强认证、双因素认证、黑名单等技术手段来提高交互的安全性,在通过互联网访问内网时取代VPN,并依靠阿里云云原生的基础设施优势,在业务高峰时期,实现动态扩容,确保体验,降本增效。
此外,IDaaS作为一款基于阿里云原生架构的安全产品,拥有更高的可扩展性和兼容性,在维他奶的IT基础设施、架构和应用不断走向云端的过程中,能够提供更好的兼容性和扩展性。
证言
“维他奶单点登录平台上线以来运行稳定,极大方便了维他奶同事登录IT系统并获得一致好评。目前维他奶十多套应用系统已经顺利接入,在PC端和移动端做到了免登进入各种系统,充分展示了阿里云安全产品的技术实力和落地能力。在此,我们对阿里云IDAAS项目组同事的专业技能和用心服务表示表示诚挚的感谢!”——维他奶集团CIO Lucas
相关产品
- 应用身份服务
应用身份服务(IDaaS)是一个集中式身份管理服务,为政企客户提供统一的应用门户、用户目录、单点登录、集中授权、以及行为审计等中台服务。 IDaaS 支持 SAML、OIDC、CAS 等常见身份联邦协议,也可以与钉钉通讯录、AD、HR 系统等身份源打通,做到统一的身份权限管理和应用访问控制。
更多关于应用身份服务的介绍,参见应用身份服务产品详情页。
【云栖号在线课堂】每天都有产品技术专家分享!
在线课堂地址:https://yqh.aliyun.com/live立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK