一.項目背景
XX新建蘇州研發中心,需要進行基礎網絡建設。研發中心網絡主要有有線、無線及服務器組成。面向企業內復雜的業務人員及終端,面向不同網絡及業務需求,企業決定采用不同認證方式區分用戶角色及終端。
二.解決方案寧盾無線網絡認證采用純軟部署,旁路部署于核心交換機。提供短信認證、協助掃碼、訪客自助申請、郵件認證等多種認證方式滿足不同用戶角色的認證需求。異構兼容多品牌網絡設備,同時與上網行為審計設備對接,將用戶實名信息傳遞至上網行為審計,實現上網實名認證+實名審計。
為提升用戶入網安全,該客戶要求針對不同角色用戶及終端采用不同認證方式以滿足網絡接入安全認證需求:
- 1、 訪客采用寧盾郵件審批(訪客自助申請)進行認證;(現已改為“短信認證”);
- 2、 SGM 域賬號的用戶自帶終端 采用 賬號+短信驗證碼的方式進行認證,同時提升域賬號認證安全;
- 3、 企業標配設備采用域賬號賬號密碼認證;
- 4、 與上網行為審計設備對接,實現實名認證+實名審計。
- 1. 針對訪客及GM 員工接入網絡:
- 均由訪客及GM員工向SGM內部員工提出申請,由內部員工通過臨時訪客申請頁面填寫相關用戶信息,并提交后臺,申請成功后后臺自動將賬號密碼發送到用戶手機終端。用戶使用短信內容中的賬號密碼登錄網絡。
- 訪客業務訪問流程:
- 備注:現在已經改為短信認證。
- GM 員工業務流程:
- 2、針對具有SGM 域賬號的SGM員工及長期開發測試供應商接入網絡
- 使用LDAP 賬號+ 手機 短信驗證碼,校驗通過后接入網絡
- SGM員工接入流程(自帶設備):
- 開發測試供應商接入流程:
- 3、針對使用公司標配的手機等移動終端設備的SGM員工接入網絡
- 對于SGM發放給員工的標配工作手機,在BYOD無線網絡認證環節,認證系統平臺可與SGM現有部署的MDM系統進行關聯對接,通過MDM設備所管控的終端設備硬件相關信息來對入網請求的手機在賬號認證的基礎之上進一步進行硬件的識別驗證,進而區分于同樣使用域賬號進行認證的員工自帶設備,以在驗證通過之后獲得差異化的內部可訪問資源權限。
- SGM 員工接入流程(使用SGM標配工作手機):
- 如圖是為客戶定制的Portal認證界面。
- 1、多認證方式訪客、BYOD設備及企業派發終端及對應用戶角色的認證需求;
- 2、多賬號源兼容,同時通過采用雙因子動態密碼認證的方式提升認證安全;
- 3、審計聯動,與Check Point上網行為審計設備聯動實現實名認證+實名審計;
- 4、定制化portal頁面,與官網風格保持一致,統一對外形象。