一、客戶簡介
滴滴出行是涵蓋出租車、專車、快車、順風車、代駕及大巴等多項業務在內的一站式出行平臺，隨著業務的迅速增長，企業人員規模擴大，服務器更是多達數萬臺，業務系統有OWA、VPN、SSO、堡壘機等，如何解決復雜的賬號環境下的弱密碼問題成為滴滴出行信息化安全的核心。

二、項目分析
1、客戶需求
①當前的業務系統采用戶名+密碼登錄方式，容易引發密碼泄露問題，存在極大的信息安全隱患；
②針對其內部龐大的業務系統做定制化開發，提供靈活方便的雙因素身份認證流程，根據需求選擇單步認證或者多步認證，提升員工身份認證體驗；
③對公司內部員工多源賬號體系及多品牌設備系統進行統一管控，增強公司內部的用網安全。

2、項目目標
針對滴滴內部業務系統弱密碼的安全隱患及賬號密碼管理重復勞動的問題，為其部分系統增加雙因素認證保護，并對OpenDJ 、OWA等提供定制化開發，實現如下目標：
①郵件系統（OWA）
用瀏覽器訪問OWA系統后，在出現的登錄界面中輸入郵件帳號和密碼，點擊提交，在二次彈窗中輸入動態密碼；
②SSL VPN
結合思科ACS、AD，采用動態密碼增加賬號安全，實現雙因素認證；
③在線業務系統（SSO）
通過寧盾一體化認證平臺與在線業務系統（SSO）對接，實現帳號的雙因素認證；
④堡壘機
原有登錄方式上增加動態令牌，輸入用戶名、密碼后還需輸入寧盾硬件令牌的動態密碼，實現雙因素認證。

三、解決方案
1、方案概述
在2臺服務器上安裝寧盾一體化認證平臺，采用高可靠部署方式，統一管控員工OWA、VPN、SSO等系統的雙因素認證登錄，具體實現方式如下圖：
 
2、網絡拓撲
項目中主要產品有寧盾一體化認證平臺、AD系統、OpenDJ、Exchange OWA、SSL VPN、SSO、堡壘機等。
 

四、雙因素認證流程
1、員工登錄OWA系統操作流程：
 
2、員工登錄SSL VPN操作流程：
 
3、網關人員登錄堡壘機操作流程：
 

五、項目成效
1、兼容多品牌設備，而且兼容多賬號源認證體系，實現對多業務系統、多品牌設備、多源賬號的統一雙因素認證，提供了對上萬個帳號的雙重保護和統一管理，還為設備帶來輕量化的安全管控；
2、針對員工和設備下發數千個手機令牌、硬件令牌，采用批量式派發和回收的管理方式，不但提高了工作效率，而且大大減少了人員調動帶來的運維成本；
3、針對Exchange OWA等系統進行定制化開發，既可以單步認證，也可以多步認證；
4、采用高可靠式部署為滴滴出行的賬號管理提供穩定、安全的服務環境；
5、輕量級一體化認證平臺，不但操作更加方便，而且易于維護。