滴滴出行成功接入宁盾双因素认证平台,实现多业务系统账号统一安全保护.docx

滴滴出行成功接入宁盾双因素认证平台，实现多业务系统账号统一安全保护 一、客户简介 滴滴出行是涵盖出租车、专车、快车、顺风车、代驾及大巴等多项业务在内的一站式出行平台，随着业务的迅速增长，企业人员规模扩大，服务器更是多达数万台，业务系统有OWA、VPN、SSO、堡垒机等，如何解决复杂的账号环境下的弱密码问题成为滴滴出行信息化安全的核心。 二、项目分析 1、客户需求 ①当前的业务系统采用户名+密码登录方式，容易引发密码泄露问题，存在极大的信息安全隐患； ②针对其内部庞大的业务系统做定制化开发，提供灵活方便的多因素身份认证流程，根据需求选择单步认证或者多步认证，提升员工身份认证体验； ③对公司内部员工多源账号体系及多品牌设备系统进行统一管控，增强公司内部的用网安全。 2、项目目标 针对滴滴内部业务系统弱密码的安全隐患及账号密码管理重复劳动的问题，为其部分系统增加双因素认证保护，并对OpenDJ 、OWA等提供定制化开发，实现如下目标： ①邮件系统（OWA） 用浏览器访问OWA系统后，在出现的登录界面中输入邮件帐号和密码，点击提交，在二次弹窗中输入动态密码； ②SSL VPN 结合思科ACS、AD，采用动态密码增加账号安全，实现双因素认证； ③在线业务系统（SSO） 通过宁盾一体化认证平台与在线业务系统（SSO）对接，实现帐号的双因素认证； ④堡垒机 原有登录方式上增加动态令牌，输入用户名、密码后还需输入宁盾硬件令牌的动态密码，实现双因素认证。 三、解决方案 1、方案概述 在2台服务器上安装宁盾一体化认证平台，采用高可靠部署方式，统一管控员工OWA、VPN、SSO等系统的双因素认证登录，具体实现方式如下图： 2、网络拓扑 项目中主要产品有宁盾一体化认证平台、AD系统、OpenDJ、Exchange OWA、SSL VPN、SSO、堡垒机等。 四、多因素认证流程 1、员工登录OWA系统操作流程： 2、员工登录SSL VPN操作流程： 3、网关人员登录堡垒机操作流程： 五、项目成效 1、兼容多品牌设备，而且兼容多账号源认证体系，实现对多业务系统、多品牌设备、多源账号的统一双因素认证，提供了对上万个帐号的双重保护和统一管理，还为设备带来轻量化的安全管控； 2、针对员工和设备下发数千个手机令牌、硬件令牌，采用批量式派发和回收的管理方式，不但提高了工作效率，而且大大减少了人员调动带来的运维成本； 3、针对Exchange OWA等系统进行定制化开发，既可以单步认证，也可以多步认证； 4、采用高可靠式部署为滴滴出行的账号管理提供稳定、安全的服务环境； 5、轻量级一体化认证平台，不但操作更加方便，而且易于维护。