一、背景需求
随着企业移动化转型，员工及各类终端在企业网络间进进出出，传统以防火墙为核心的边界防护已不在安全。

企业需要建立更小单位的、可控的安全管理方案——以身份为核心的统一管理方案（IAM）。

1、效率驱动：随着企业的不断壮大，本地及SAAS应用的数量也在不断增加，为提高员工办公效率，减少在各应用间登录切换的次数及频率，企业需要统一应用门户，即用户一次登录，即可访问权限内所有应用——多应用系统统一单点登录（SSO）。

2、安全保障：在多应用统一门户建成后，单点登录的账号安全比某个应用的安全认证更为重要。

一旦账号密码泄漏将造成用户权限内多业务系统的信息泄漏。

为防止弱密码、僵尸账号、账号密码泄漏等安全隐患，多因子认证（MFA）成为单点登录的标配。

二、金蝶云K3对接方案
1、金蝶云K3商业应用库对接方案
正常情况下，企业在用的应用系统数十到上百不等的B/S、C/S 架构的应用，有些是商业应用，有些则是自己研发的应用系统，因此面向不同的应用系统，提供不同的对接协议及对接方案。

提供OAuth2、SAML、OIDC、Easy SSO、表单代填等多种对接协议及API工具供用户选择。

面向自研应用，开发Easy SSO 对接协议实现快速连接；面向商业应用则通过建立商业应用库的方式供用
户选择。

客户在部署统一身份及单点登录认证服务器（DKEY AM）后，在商业应用库中选择对应应用操作系统即可一键实现对接。

金蝶云K3作为企业常用的办公工具，已完成商业应用库对接。

为节省对接流程及周期，建议使用商业应用库快速实现应用对接，以提高部署效率。

2、多因子安全认证
提供手机令牌、硬件Token、短信挑战码等动态令牌形式，同时提供企业微信/钉钉“扫一扫”免密认证以确保单点登录的安全认证。

3、应用权限设置
基于账号源/用户组/用户角色等方式设置用户的可访问权限，确保只有有权限的用户才有察看的权限。

员工在可在NDSSO User Center 门户内进行查看。

4、移动端企业微信/钉钉授权
移动端用户可在企业微信/钉钉中授权SSO应用至用户，该方案即取即用，免安装客户端，另外企业微信/钉钉有大厂保障，安全可靠。

三、部署方案
支持本地及私有云部署，兼容AD、LDAP、HR、OA等账号源实现统一身份管理，并支持在AM系统内实现对AD账号增、删、改、
查的同步操作。

1、两台服务器通信，一台负责部署DKEY AM统一身份及单点登录管理系统，一台用于部署用户User Center应用系统，同时将User Center 的服务器地址与DKEY AM 系统联动。

2、多因子认证标配，无需额外部署服务器；
3、如有用到企业微信/钉钉，还需额外准备企业微信/钉钉应用服务器，已安装的可以忽略。

四、方案价值
1、统一应用门户单点登录。

集成B/S、C/S 应用集中于统一认证门户中，实现用户一次认证即可访问权限内应用，提升员工访问效率。

2、统一安全认证。

在账号密码的基础上增加动态密码或采用企业微信/钉钉“扫一扫”免密认证提升单点登录认证安全；
3、完善的商业应用库。

IAM 管理平台通过不断完善商业应用的对接建立起完善的的商业应用库，以缩短对接工期，实现快速上线。

4、Easy SSO对接协议，缩短自研应用系统的对接周期。

5、单点登录系统内特权应用多重加密。

对于重要特权应用，处于安全考虑，为企业特权应用提供二次动态认证验证环节，即用户在完成单点登录验证后，访问特权应用时还需使用多因子验证才可通行。

6、统一身份管理，兼容AD、LDAP、HR、OA等多账号源系统实现统一身份管理，在AM系统内实现AD账号的增、删、改、查的同步操作，管理员无需再AM 和AD中来回操作；
7、最小可见权限，基于RBAC的权限访问控制，User Center 内只允许用户对权限内应用可见。

8、密码自服务，无论是密码的修改抑或是动态密码的激活/绑定都可以在密码自服务中实现，从而减轻运维操作成本。

9、定时自动关闭，为防止用户离开后被他人操作，User Center 定时关闭功能可有效防止信息泄密及非法操作。

智能安全接入，从宁盾开始。

宁盾成立以来专注于动态密码双因素认证市场，并以技术为导向，于2013年正式上线网络认证系统，形成一体化身份认证与访问管理解决方案。

为了应对企业组织、应用的移动化及云发展趋势，宁盾不断创新身份与访问安全管理技术，形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi 认证管理等多个产品线于一体的全场景解决方案。