管理和安全方面面临的挑战:
天津商业大学之前已使用金智CAS Server进行了校园应用的整合和管理。随着应用面的增加,在管理和安全方面面临一些挑战:
• 原有单因素认证模式容易造成信息泄露
原有的统一认证采用“用户名+密码”模式,参考教育行业网络典型安全事件的诸多案例,急需提升密码强度并升级到双因素认证模式。
• 应用需对接多次
天津商大的移动端应用基本都整合在企业微信侧,之前的移动端应用通常要做两个版本的身份对接(pc页面基于cas协议对接金智统一身份认证平台,h5对接企业微信OAuth)。
• 使用体验及审计日志等功能还需完善
原来平台在应用接入管理方面的体验不够良好,过程中各种审计日志不够完善。
• 内外网应用如何进行安全保护
某些业务为方便学生和教工使用,从内网迁移至互联网,同时也使用了部分SaaS应用(如易快报等),如何保障互联网区应用的安全性?
• 服务资源如何动态伸缩,保证业务正常稳定
在某些教务活动中会出现访问浪涌,需紧急扩容服务资源,例如教务注册、选课等,如何让资源能够动态伸缩?
竹云IDaaS解决方案
天津商业大学针对以上需求,选择竹云IDaaS建立校园统一身份认证体系。
•内外网应用统一安全保护
竹云IDaaS提供了身份管理、多因素认证、单点登录、风险策略、动态访问控制、审计日志等功能和机制,同时基于零信任的理念,提供应用安全网关对内网应用进行端口隐藏。竹云IDaaS对互联网部署应用和内网应用进行统一的身份安全管理和保护。
•和原有平台可互信共存
竹云IDaaS平台兼容多种标准化协议,通过简单配置即可和原有金智CAS平台实现并行互信,用户在通过竹云IDaaS安全认证后再访问原有金智接入应用,无感免登录。以此保障校方根据业务规划逐步进行迁移,而不影响用户体感。
•快速迁移
竹云IDaaS平台支持CAS、OAUTH、OIDC、SAML、Redius等标准化协议,只需简单配置即可完成原有已经集成在金智CAS上的应用迁移到新平台。
•兼容更多入口
竹云IDaaS应用平台兼容性更佳,和IDaaS集成后的应用通过配置可直接挂接到企业微信、钉钉等各种工作台上,一方面避免了同一个应用多次对接的工作量,另一方面方便用户根据个人习惯选择更多入口快速进入。
•业务弹性伸缩
整体服务基于云原生,可根据业务的访问情况自动伸缩。
方案效果
•纳管用户近3万人:用户类型包含 教职工、本科生、研究生、联合培养、离退休、外包人员等。后续将会对校友开放注册,用户数还将继续攀升。
•本期已接入应用20个:包括教务注册、上网认证、场馆预约等高频访问应用。
•服务运行安全稳定:DAU日均6000+,每月月活MAU2万+ ,TPS=500/s ,服务根据用户访问及教务情况自动弹性伸缩,充分保障服务稳定和业务连续性。
