管理，應(yīng)該是一個熵減的過程。管理的使命是讓企業(yè)內(nèi)部的生產(chǎn)力，甲乙丙多方的生產(chǎn)關(guān)系，遍布全球的生產(chǎn)資料能有序高效的運(yùn)行。企業(yè)越來越多的使用第三方能力，比如，人力，財務(wù)，物流等等。買方往往會得到某個SaaS系統(tǒng)的賬號。這些三方系統(tǒng)要融入企業(yè)現(xiàn)有的管理體系經(jīng)常充滿挑戰(zhàn)。像IAM等認(rèn)證授權(quán)系統(tǒng)的對接，審計粒度等。這些要求會讓它們游離于體系之外，它們是無序的離散的。這帶來了混亂，讓系統(tǒng)熵增。

應(yīng)該通過管理手段讓他們變得有序，這需要工具。

1. 痛點(diǎn)

1.1. 互聯(lián)網(wǎng)企業(yè)：不想把密碼告訴別人但總是有臨時授權(quán)的需求

眾所周知，有些系統(tǒng)的賬號是要法人注冊的，小公司無所謂，一個老板仨員工，誰干都一樣。而公司做大做強(qiáng)以后，各部門都很健全了，還讓老板動手就挺尷尬。我有一個朋友小王，他是市場部總監(jiān)，電商的賬號在老板那里。有一天，老板對他說：“小王，你處理一下電商的那個投訴，我把登錄的賬號密碼給你，你不要告訴其他人。”

小王總監(jiān)說：“好的，老板，我親自處理。”

從這個場景中我們可以感受到老板挺別扭，王總監(jiān)也挺為難。對老板來說只要把賬號密碼給出去，就已經(jīng)“泄露”了。而王總監(jiān)本來可以把具體的工作安排給其他人做，但為保守秘密，只能自己做。

1.2. 政府單位和國企：因案授權(quán)缺乏工具，行為審計粒度不足

政府單位和國企購買的第三方服務(wù)賬號有限，在系統(tǒng)內(nèi)也是因案授權(quán)按需使用。這些系統(tǒng)根據(jù)業(yè)務(wù)的敏感度，管理員設(shè)置了不同的訪問方式，有的可以直接訪問，有的需要安裝特定的VPN，有的還需要VPN+IP綁定。登錄方式除了最常見的賬號密碼，手機(jī)短信，掃碼之外，還有Ukey證書，生物信息登錄等等。沒有賬號共享工具會影響辦案辦事效率。同時，在體系內(nèi)把三方賬號因案再授權(quán)時，對成員的使用行為缺乏細(xì)粒度的審計。

1.3. 外貿(mào)物流：每次分享完賬號，就改一次密碼

外貿(mào)物流企業(yè)日常訂艙會經(jīng)常訪問五個網(wǎng)站，每個網(wǎng)站都有一個企業(yè)主體的賬號，有幾個員工專門負(fù)責(zé)。雖是專人專崗但有時也會需要臨時把賬號給其他人用，用完后老板都會手工改一下密碼。不過依賴人工的都不太可靠，有時會忘記改，老板就會比較擔(dān)心會不會有不專業(yè)的人士誤操作。他的擔(dān)心是有道理的，這些系統(tǒng)是企業(yè)的生命線，容不得有閃失。

從上面的幾個案例中我們總結(jié)了賬號資產(chǎn)管理的幾個痛點(diǎn)。

1、 缺乏使用審計(誤操作無法追溯)

2、 非授權(quán)使用(用戶二次傳播賬號密碼)

3、 缺乏管理流程(人員變動賬號沒有回收)

4、 工作效能低(使用條件苛刻，VPN和IP綁定，使用Ukey等)

2. 貝銳洋蔥頭是賬號管理工具

2.1. 系統(tǒng)架構(gòu)

企業(yè)需要一套內(nèi)部的賬號資產(chǎn)管理系統(tǒng)，用于規(guī)范企業(yè)內(nèi)成員對各平臺賬號的使用。貝銳洋蔥頭提供了一個解決方案。它基于C/S架構(gòu)，客戶端是一個企業(yè)瀏覽器，服務(wù)器可以私有化部署也可以使用貝銳的SaaS服務(wù)。

2.2. 設(shè)計原則

基于4A原則(Account、Authentication、Authorization、Audit)，成員執(zhí)行登錄操作，認(rèn)證成功后獲得相應(yīng)的授權(quán)，授權(quán)包括他可以使用哪些第三方系統(tǒng)的賬號。成員在使用這些賬號訪問對應(yīng)的網(wǎng)站應(yīng)用時， 他的訪問行為會被審計。

2.2.1. 賬號

對接組織現(xiàn)有的賬號管理體系，如企業(yè)微信，釘釘，飛書，OpenLDAP, AD域等，洋蔥頭也支持格爾等政府單位常用的PKI系統(tǒng)。無論是將目錄服務(wù)中的組織架構(gòu)動態(tài)同步到洋蔥頭管理后臺，還是半同步半手工建立組織架構(gòu)，洋蔥頭SaaS版和私有化版均可以支持。

2.2.2. 認(rèn)證

支持傳統(tǒng)的賬號密碼認(rèn)證，短信，掃碼，OTP，OAuth2.0, SAML等常見的認(rèn)證方式。

2.2.3. 授權(quán)

管理員在服務(wù)器端配置策略，下發(fā)給洋蔥頭執(zhí)行。策略的下發(fā)對象是“用戶” ，策略下發(fā)給用戶A，可以理解為是對A的授權(quán)。當(dāng)用戶A登錄洋蔥頭時，即獲得相應(yīng)的授權(quán)。

2.2.4. 審計

作為一套完整的toB系統(tǒng)，審計是必不可少的。在對用戶授權(quán)之后， 用戶訪問業(yè)務(wù)網(wǎng)站時的操作會被審計。審計的粒度包括PUT, POST等請求明文，當(dāng)用戶有鼠標(biāo)點(diǎn)擊動作時還會進(jìn)行截圖存檔。洋蔥頭的審計行為是明確的告知用戶的，僅限于指定網(wǎng)站。用戶在其他網(wǎng)站上的操作不會被審計。

2.3. 洋蔥頭的核心功能

洋蔥頭企業(yè)賬號資產(chǎn)管理系統(tǒng)有以下核心功能。

2.3.1. 強(qiáng)審計

審計是企業(yè)管理閉環(huán)中不可或缺的環(huán)節(jié)，傳統(tǒng)上企業(yè)會使用上網(wǎng)行為管理或終端安全管理產(chǎn)品。但隨著TLS/SSL應(yīng)用層加密的普及，端側(cè)和網(wǎng)絡(luò)設(shè)備已經(jīng)很難審計到業(yè)務(wù)內(nèi)容了。洋蔥頭在審計方面具有特殊的優(yōu)勢，它是瀏覽器，所有內(nèi)容在瀏覽器呈現(xiàn)出來之后都是明文的。洋蔥頭可以對用戶訪問網(wǎng)站的行為進(jìn)行細(xì)粒度的審計，包括PUT, POST, GET, HEAD等請求的明文，洋蔥頭還可以在用戶點(diǎn)擊鼠標(biāo)時對屏幕進(jìn)行截圖。

審計策略是管理員下發(fā)的只能針對具體的業(yè)務(wù)網(wǎng)站，用戶側(cè)可以清晰的看到自己在訪問哪些網(wǎng)站時被審計，當(dāng)用戶沒有使用洋蔥頭時，或訪問的是個人網(wǎng)站時，審計策略不會生效。這個特性在強(qiáng)審計之外有效保護(hù)了用戶的隱私，避免功能被濫用。

2.3.2. 賬號代填

企業(yè)購買的第三方系統(tǒng)大多需要通過瀏覽器訪問，它們大多是web服務(wù)。通常，人們在訪問這些第三方系統(tǒng)的網(wǎng)站時需要手工填寫賬號密碼(這個賬號即是本文所說的“賬號資產(chǎn)”)。使用洋蔥頭后，管理員在控制臺下發(fā)策略，將訪問第三方系統(tǒng)“W”的賬號授權(quán)給用戶A。當(dāng)用戶A登錄洋蔥頭訪問“W”時將不再需要手工填寫賬號密碼，洋蔥頭會幫用戶代填，這個過程是由洋蔥頭根據(jù)策略自動執(zhí)行的，洋蔥頭在代填密碼時還會把密碼遮罩起來，避免密碼被用戶A獲得。用戶不知道密碼，也就不會泄露密碼。同時，密碼由管理員統(tǒng)一管理，也可以保證密碼強(qiáng)度，密碼定期更新等管理制度的執(zhí)行。

2.3.3. 登錄憑證分發(fā)

用戶使用普通瀏覽器登錄第三方系統(tǒng)的網(wǎng)站后，瀏覽器會在cookie，LocalStorage等位置存儲token、用戶id、設(shè)備ID等一系列登錄憑證。管理員在使用洋蔥頭第一次登錄成功后，洋蔥頭會把這些登錄憑證上傳到服務(wù)器。管理員在控制臺通過策略把這些登錄憑證授權(quán)給企業(yè)內(nèi)部成員。當(dāng)成員登錄洋蔥頭時，洋蔥頭會根據(jù)策略將登錄憑證同步到本地，用戶訪問第三方系統(tǒng)網(wǎng)站時自動處于登錄狀態(tài)。

2.3.4. Ukey映射

一些第三方系統(tǒng)的網(wǎng)站在登錄時需要使用Ukey， 賬號是存儲在Ukey中的。這種情況下賬號代填功能無效。 同時，由于第三方系統(tǒng)的網(wǎng)站會通過瀏覽器檢測本地的Ukey設(shè)備，即使遠(yuǎn)端的洋蔥頭瀏覽器獲得了cookie等登錄憑證，由于遠(yuǎn)端沒有接入Ukey，也依然無法訪問第三方系統(tǒng)的網(wǎng)站。洋蔥頭通過USB-over-IP技術(shù)，將本地的Ukey映射到遠(yuǎn)端洋蔥頭設(shè)備中，實(shí)現(xiàn)Ukey遠(yuǎn)程接入。這樣，Ukey在物理上只需要接入一臺設(shè)備，即可以遠(yuǎn)程授權(quán)給多臺設(shè)備使用。

3. 洋蔥頭的價值

注：需要部署洋蔥頭私有化版本，使用時請遵守各平臺協(xié)議。

在數(shù)字化、云化加速的今天，企業(yè)賬號已不僅僅是一個登錄入口，而是關(guān)乎業(yè)務(wù)安全、運(yùn)營效率與合規(guī)責(zé)任的核心資產(chǎn)。

從賬密管理到特權(quán)賬號管控，從權(quán)限授權(quán)到因案/因事授權(quán)、一事一授，管理的本質(zhì)，就是將分散無序的賬號資源納入有序可控的體系中，實(shí)現(xiàn)從“熵增”到“熵減”的轉(zhuǎn)變。

貝銳洋蔥頭，正是幫助企業(yè)構(gòu)建這一秩序的關(guān)鍵工具。

它用精細(xì)化的權(quán)限控制、可追溯的行為審計、安全可控的賬號共享，讓每一次訪問都有章可循，讓每一個授權(quán)都有跡可查。當(dāng)賬號管理不再是隱患，而是生產(chǎn)力的一部分，企業(yè)才能真正釋放數(shù)字化協(xié)作的潛能。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）