員工帳密系統整合,文件加密輕鬆上手!
帳號資料規劃
一個資訊系統在上線導入前總是會有帳號整合的問題,小公司或許可以手動建檔,但一般企業通常都已建置 AD(Active Directory)/ LDAP(Light-weighted Data Access Protocol)帳號認證或是其他的帳號系統。理想的帳號導入要能兼容手動建檔、AD / LDAP 匯入、異質系統(資料庫)匯入…等多種方式。資通 ARES PP(ARES Privacy Protector;隱私保鑣)能將企業員工帳號、密碼資訊匯入系統,讓使用者無須改變操作習慣,登入原本的帳號及密碼就能使用加密軟體。由於來源不同,帳號可以區分為兩類:
- 手動新增帳號 - 不須同步更新。
- 自動同步帳號 - 排程定期與資料來源(AD / LDAP / 資料庫等)同步更新。
ARES PP 除了可用 AD / LDAP 帳號,讓企業內部裡的成員可以登入使用外,當 AD 裡沒有的成員,像是 admin 管理員、短期工讀生、上下游合作廠商等,亦可使用手動新增帳號的方式使用該系統。這樣的帳號設計方式可以擁有高度的彈性。
帳號資料匯入
針對 AD / LDAP 資料的探索,.Net 開發實作上可以引用 CodeProject 上的開源類別庫 Wrapper API for using Microsoft Active Directory Services。
- Load All Users
- Load All Groups
- Load Group
- Load User
其類別提供的 Function 可以簡單的將 AD 資料物件化,以利於後續處理。
開發及除錯的過程可以利用 Microsoft 提供的 Active Directory Explorer(AD Explorer),視覺化 UI 的操作,便於登入測試、資料正確性檢查等,是個相當好用的輔助工具。
若帳號來源不是 AD / LDAP 的話,可能性就很五花八門。常遇到的就是其他系統的資料庫,像是人事系統之類,這種情境最好是預先定義好中繼資料表的格式。分成二階段作業,第一段先透過特定系統的 API(Application Programming Interface,應用程式介面)或是客製的程式將帳號資料轉入中繼資料表,第二段再由中繼資料表匯入該系統。這樣的好處是,不管系統要導入到哪一家公司,只要專注於第一段轉入中繼表的部份即可,但因為帳號資料來源不是標準格式,這部份大多要由該企業 IT 協助完成。
帳號驗證
帳號驗證部份,依照帳號的類型可以有不同的驗證方式。手動帳號由系統內部直接進行帳號密碼比對驗證,AD 匯入進來的帳號則是即時連線 AD 驗證,AD 登入驗証的實作一樣使用Wrapper API for using Microsoft Active Directory Services 開源的類別庫 ADManager.Login(string UserName, string Password)會相當的容易。
SSO 單一簽入
企業內部通常會有多個系統,但游走在每個系統都要登入,反覆輸入帳號密碼是很煩人的事。Single Sign-On(SSO,單一登入)正是救星,讓使用者在企業內部子系統間游走只要登入一次即可。
介紹一款開源的 SSO 解決方案來建置 SSO 環境,CAS(Central Authentication Service)。
首先要建置一台 CAS Server 負責進行登入的身份驗證及發行 Ticket 票證,原有的系統都視為 CAS Client,像是人事系統、公文系統等,實作 CAS Client 的設定情境流程如下:
- 未登入
進入公文系統首頁,使用者尚未登入(沒有 Ticket 票證),公文系統的登入頁面將自動導向 CAS Server 要求輸入帳號密碼進行登入,登入成功後取得 Ticket 票證,並導回剛剛的公文系統,公文系統檢查 Ticket 票證即可識別使用者身份,視為已登入。 - 已登入
使用者又開啟人事系統網頁,系統檢查到已有 Ticket 票證並取得身份,即視為已登入。只要是有套用 CAS Client 的子系統,都可以識別從 CAS Server 發行的 Ticket 票證,就可以單一登入游走在各系統之間。 - 登出
使用者從人事系統登出時會將 Ticket 票證做註銷清除,此時不管是連到人事系統或公文系統,因為沒有 Ticket 票證,都會再次被導到 CAS Server 的登入頁面。
上述為資訊系統帳號整合的方法說明。企業無須擔心購入資安系統之後,各系統之間要轉換多組帳號與密碼進行登入,資通 ARES PP(ARES Privacy Protector;隱私保鑣)能協助企業進行系統串接與設定,讓使用者無痛使用資安軟體,企業安心守護機密資料!
