身份管理系统是任何 IT 部门的核心部分。 只要它在工作,很少有人会注意到它的存在,因此,它通常没有被优化以提高系统的质量。 凭借 16 年开发中央身份管理 (IdM) 服务器解决方案的经验,Univention 确定了如何改进 IdM 的十个步骤,无论您是在本地还是在云中运行 IdM,例如 AWS 上的 UCS. 让我们通过它们。
内容
第 1 步:清点您的应用程序 + 移除影子 IT
在考虑我们的 IT 环境时,我们经常从物理角度考虑,并考虑我们拥有哪些服务器、交换机和电缆。 保留这些清单绝对是任何会计部门的必要条件和要求。 但通常我们很少考虑为我们的软件做同样的事情。 对于可能在 IT 部门之外发展的任何“影子 IT”来说尤其如此。 只有拥有完整的软件列表,您才能继续对您的 IT 进行重大改进。
查找您的官方 IT 服务应该是阅读文档的一部分。 对于影子 IT 而言,这可能并不容易。
我们最喜欢的三种确定正在使用的影子 IT 产品的方法如下:
- 询问您的用户! 这可能是最简单的找出方法。 这也让您有机会更多地了解他们最看重和最需要的服务和工具。
- 向您的会计部门索取供应商列表,并在其中查找为您提供服务的 IT 服务提供商。 这里最常见的应用程序是计划和仪表板工具,例如 Trello。
- 如果贵公司的政策和适用法律允许,请查看您的防火墙。 如果您可以选择导出传出连接并按连接数对其进行排序,您应该了解您的用户正在使用什么。 大多数情况下,您会在这里找到消费者云服务。 Dropbox 和 Box 很可能会在这里弹出。
您通过此扫描过程获得的所有正在使用的应用程序概览允许您改进提供给用户的应用程序集,并将逐渐减少影子 IT,这反过来将减少开销并提高安全性和稳定性。
第 2 步:创建一个领先的服务
在 LDAP、SQL 数据库和在线服务(例如使用 Google 登录)之间,有多种方法可以管理您在组织内的身份。 在大多数情况下,每个应用程序都可以选择维护其用户群,也可能有机会控制其他软件。
明确决定哪个系统应该维护身份是设计系统并确保领先系统拥有所有信息来控制您可以找到的任何应用程序的重要步骤。
请确保您选择的系统可以控制您的应用程序。 例如,UCS 为您的应用程序提供 OpenLDAP 和 AD,以及用于在线服务的众多连接器。 可在 UCS 中找到所有可用的功能和工具 统一应用中心.
做出决定后,您专注于一次集成不同的系统。 如果您使用虚拟化系统,您可能能够创建相关服务器的副本,以确保您在将它们应用到生产环境之前已经涵盖了所有需要的设置。
第 3 步:让您的用户更舒适
大多数用户并不特别关心隐私和数据保护。 虽然管理层经常意识到它们的重要性,但用户经常将它们置于舒适度之后的第二位。 因此,当尝试通过实施中央 IdM 来产生影响时,它可以为用户带来的便利通常是接受和成功的关键工具。 因此,虽然“相同用户相同密码”策略可能足以满足管理员或您的策略的要求,但只有使用单点登录系统,您才能让您的用户相信您的服务比他们可能的任何服务更好在家里使用。
第 4 步:尽量减少您的工作
现在,用户舒适度和应用程序覆盖率是继续接受您的 IdM 的基本要素。 但是,没有管理方法,任何管理系统都是不完整的。 拥有模板和合理的默认值可以让您最大限度地减少创建用户并将他们移动到相应部门的日常任务。 如果您的系统允许您设置默认值,那很好,请使用这些。 如果没有,您可能需要寻找新系统。
第 5 步:查看您的密码策略
密码策略的建议和可能的要求已更改。 美国国家标准与技术研究院更新了其文档,第 5.1.1 节提供了一个极好的(免费)起点,可以查看有关安全密码的最新想法。 最新的策略不仅是安全考虑,而且还增加了用户的舒适度。 如果三个月内您仍在使用 6 个字符,您可能需要考虑检查新要求。 随着计算能力的不断提高,价格越来越低,建议使用更长的密码半年甚至更长的时间。 您更改密码的频率越低,用户就越有可能选择合理的复杂密码。
第 6 步:双重身份验证
行业间谍活动不仅仅影响大公司。 即使是中小型企业也每天都受到它的打击。 获取信息的最常见方法之一是破解密码。 现在,如前所述的良好密码策略可以缓解一些问题。 但是,为什么不让 2018 年成为您在 IT 环境中实施双因素身份验证的一年呢? 工具如 隐私理念 和 YubiKey 允许您使您的用户能够使用基于硬件的身份验证。
第 7 步:使用个人管理员帐户
Root 和管理员是两个非常方便的帐户,您可以在服务器和工作站上找到它们。 它们随时可供您的管理员使用,并且每个人都会记住该名称。 当然,如果您忘记了密码,您的同事都乐意与您分享。
个人账户缓解了这个问题。 每个管理员都有一个帐户及其密码和用户名。 当然,这些帐户应该不同于日常工作中用于登录的帐户。
第 8 步:记录更改和审核更改
管理员的单独帐户还允许您记录更改并监控谁更改了哪些设置。 监控变更不仅对问责很重要,而且在检查环境的未来时更有帮助。 如果您看到一位管理员总是将一个参数应用于一类对象,您可能需要考虑将其设为默认值。
第 9 步:查看服务器设置
我们大多数人运行他们的服务器很长时间。 尤其是在使用虚拟机和就地软件更新时,您可能仍在运行十年前最初安装的软件。 虽然这在效率方面非常有用,但这也意味着您的许多设置的使用时间可能比我们中的一些人在该服务器上工作的时间更长。
经常忘记查看默认设置,最好查看配置以查看是否需要任何改进。
第 10 步:场外副本
想象一下,您的服务器机房出现电气问题并且无法运行。 现在,由于您所有的云服务都从服务器获取密码,您的同事甚至无法将他们的笔记本电脑带回家,因为您的云服务都不可用。
这是异地服务器有用的地方。 如果服务器离你足够远,即使是大问题也不会影响它的运行。 使用 AWS 和 Azure 的云服务,创建一个异地服务器可以创建一个异地备份,每年只需几美元。
有关作为开放式中央 IdM 示例的 Univention Corporate Server 的更多信息,请参阅以下之前的文章:
- Univention企业服务器简介
- Univention企业服务器安装配置
- 使用 ownCloud、Kopano 和 Let’s Encrypt 在 UCS 上设置私有服务器
结论
改进您的 IdM 将使您的 admin 生活更轻松,您的整体 IT 更安全。 通过一次一个地处理小项目,您将能够一一进行这些更改并不断改进您的 IT。 虽然上述更改的影响在开始时可能看起来并不大,但从长远来看,它们中的每一个都可能对您的 IT 产生相应的影响。
身份管理系统IdMLinux开源UCSunivention
