通过贝锐洋葱头的账密代填,凭证分享,Ukey映射等功能,可将企业公共账号授权给不同的员工。
明天(9月19日)下午16点!
洋葱头产品经理老董直播!
带你体验各种功能!
众所周知,有些系统的账号是要法人注册的,小公司无所谓,一个老板仨员工,谁干都一样。而公司做大做强以后,各部门都很健全了,还让老板动手就挺尴尬。
我有一个朋友小王,他是市场部总监,电商的账号在老板那里。
有一天,老板对他说:“小王,你处理一下电商的那个投诉,我把登录的账号密码给你,你不要告诉其他人。”
小王总监说:“好的,老板,我亲自处理。”
从这个场景中我们可以感受到老板挺别扭,王总监也挺为难。
对老板来说只要把账号密码给出去,就已经“泄露”了。而王总监本来可以把具体的工作安排给其他人做,但为保守秘密,只能自己做。
不过,上述场景只是最简单的情况,在实际工作中,还有以下更加复杂的场景:
⚠️政府单位和国企:因案授权缺乏工具,行为审计粒度不足!
政府单位和国企购买的第三方服务账号有限,在系统内也是因案授权按需使用。
这些系统根据业务的敏感度,管理员设置了不同的访问方式,有的可以直接访问,有的需要安装特定的VPN,有的还需要VPN+IP绑定。
登录方式除了最常见的账号密码,手机短信,扫码之外,还有Ukey证书,生物信息登录等等。没有账号共享工具会影响办案办事效率。同时,在体系内把三方账号因案再授权时,对成员的使用行为缺乏细粒度的审计。
⚠️外贸物流:每次分享完账号,就改一次密码
外贸物流企业日常订舱会经常访问五个网站,每个网站都有一个企业主体的账号,有几个员工专门负责。
虽是专人专岗但有时也会需要临时把账号给其他人用,用完后老板都会手工改一下密码。
不过依赖人工的都不太可靠,有时会忘记改,老板就会比较担心会不会有不专业的人士误操作。
他的担心是有道理的,这些系统是企业的生命线,容不得有闪失。
从上面的几个案例中我们总结了账号资产管理的以下几个痛点:
贝锐洋葱头,就能轻松解决这些痛点!
企业购买的第三方系统大多需要通过浏览器访问,它们大多是web服务。
通常,人们在访问这些第三方系统的网站时需要手工填写账号密码(这个账号即是本文所说的“账号资产”)。
使用洋葱头后,管理员在控制台下发策略,将访问第三方系统“W”的账号授权给用户A。
当用户A登录洋葱头访问“W”时将不再需要手工填写账号密码,洋葱头会帮用户代填,这个过程是由洋葱头根据策略自动执行的。
洋葱头在代填密码时还会把密码遮罩起来,避免密码被用户A获得。用户不知道密码,也就不会泄露密码。
同时,密码由管理员统一管理,也可以保证密码强度,密码定期更新等管理制度的执行。
用户使用普通浏览器登录第三方系统的网站后,浏览器会在cookie,LocalStorage等位置存储token、用户id、设备ID等一系列登录凭证。
管理员在使用洋葱头第一次登录成功后,洋葱头会把这些登录凭证上传到服务器。管理员在控制台通过策略把这些登录凭证授权给企业内部成员。
当成员登录洋葱头时,洋葱头会根据策略将登录凭证同步到本地,用户访问第三方系统网站时自动处于登录状态。
一些第三方系统的网站在登录时需要使用Ukey, 账号是存储在Ukey中的。这种情况下账号代填功能无效。
同时,由于第三方系统的网站会通过浏览器检测本地的Ukey设备,即使远端的洋葱头浏览器获得了cookie等登录凭证,由于远端没有接入Ukey,也依然无法访问第三方系统的网站。
洋葱头通过USB-over-IP技术,将本地的Ukey映射到远端洋葱头设备中,实现Ukey远程接入。这样,Ukey在物理上只需要接入一台设备,即可以远程授权给多台设备使用。
如何使用贝锐洋葱头强大的审计功能?
审计是企业管理闭环中不可或缺的环节,传统上企业会使用上网行为管理或终端安全管理产品。但随着TLS/SSL应用层加密的普及,端侧和网络设备已经很难审计到业务内容了。
洋葱头在审计方面具有特殊的优势,它是浏览器,所有内容在浏览器呈现出来之后都是明文的。
洋葱头可以对用户访问网站的行为进行细粒度的审计,包括PUT, POST, GET, HEAD等请求的明文,洋葱头还可以在用户点击鼠标时对屏幕进行截图。
审计策略是管理员下发的只能针对具体的业务网站,用户侧可以清晰的看到自己在访问哪些网站时被审计,当用户没有使用洋葱头时,或访问的是个人网站时,审计策略不会生效。
这个特性在强审计之外有效保护了用户的隐私,避免功能被滥用。
4A原则加持
洋葱头保障企业安全防线
贝锐洋葱头基于C/S架构,客户端是一个企业浏览器,服务器可以私有化部署也可以使用贝锐的SaaS服务。
同时,洋葱头基于4A原则(Account、Authentication、Authorization、Audit),成员执行登录操作,认证成功后获得相应的授权,授权包括他可以使用哪些第三方系统的账号。成员在使用这些账号访问对应的网站应用时, 他的访问行为会被审计。
对接组织现有的账号管理体系,如企业微信,钉钉,飞书,OpenLDAP, AD域等,洋葱头也支持格尔等政府单位常用的PKI系统。无论是将目录服务中的组织架构动态同步到洋葱头管理后台,还是半同步半手工建立组织架构,洋葱头SaaS版和私有化版均可以支持。
支持传统的账号密码认证,短信,扫码,OTP,OAuth2.0, SAML等常见的认证方式。
管理员在服务器端配置策略,下发给洋葱头执行。策略的下发对象是“用户” ,策略下发给用户A,可以理解为是对A的授权。当用户A登录洋葱头时,即获得相应的授权。
作为一套完整的toB系统,审计是必不可少的。在对用户授权之后, 用户访问业务网站时的操作会被审计。审计的粒度包括PUT, POST等请求明文,当用户有鼠标点击动作时还会进行截图存档。洋葱头的审计行为是明确的告知用户的,仅限于指定网站。用户在其他网站上的操作不会被审计。
“通过账密代填,凭证分享,Ukey映射等功能将企业公共账号授权给不同的员工,密码对员工可用不可见,免二验,并对员工访问过程进行强审计。解决企业关注的效率和安全问题。”
明天(9月19日)下午16点!
洋葱头产品经理老董直播带你体验各种功能!
