有个规律：企业在选网络认证系统的时候，很容易被功能最全的那款吸引，但功能最全的不一定是最适合你的。这篇按企业规模说说选型思路，分四个档位来看。

档位一：小型企业——先把基础做好再考虑认证系统

如果你的网络设备（路由器或AC）本身支持Portal认证或者 WPA2 Enterprise，而且员工数量不多、没有什么访客管理需求，先把设备自带的功能用起来再说。

我见过一个案例：某创业公司一共十二个人，老板听说同行都上了网络认证系统，觉得自己也应该上一个。结果花了两万多买了一套系统，IT花了三周时间部署，结果发现员工根本不配合，每次连WiFi要输密码都抱怨，上线两个月后又悄悄把认证关掉了。

这个规模的场景，独立的认证系统属于"锦上添花"而不是"必需品"。先把基础的网络架构做好，比花时间研究认证系统优先级更高。

当然，如果你的业务场景涉及客户接待、会议室访客WiFi等，那上一套轻量级的认证系统还是有必要的，但建议选型时控制预算，一套能用就行，不要过度建设。

档位二：中型企业——独立认证系统的必要性开始显现

这个规模开始，账号数量增加，人员流动变快，访客场景也变多了。

网络设备自带的认证功能在账号管理上会比较吃力：没有批量导入、没有自助密码修改、没有多角色权限区分。一个二十人的小公司，离职入职不频繁，IT还能手动处理；但一个两三百人的企业，每天都可能有人员进出，手动处理账号就跟不上节奏了。

这时候上一套独立的认证系统，账号管理、策略下发、日志审计都能统一处理，IT运维会轻松很多。但选型时要重点关注以下几点：

一是能不能跟现有AD或者LDAP打通。如果企业已经在用Windows域控，认证系统最好能读取AD账号，这样账号开通撤销都可以在AD侧操作，不需要维护两套账号体系。

二是能不能跟企业微信或者钉钉打通。现在很多中型企业用企业微信或钉钉做日常办公，如果认证系统能用企业微信扫码登录，员工连WiFi就不用再记一套密码，直接扫码就行，体验提升很明显。

三是日常账号开通撤销的流程能不能在管理后台自助完成。这一条很关键，如果每次人员变动都要联系厂商来改配置，运营成本会快速攀升。

档位三：大型企业——认证系统成为网络安全基础设施

这个规模，认证系统已经不是"要不要上"的问题，而是"怎么跟整个网络安全架构打通"的问题。

需要考虑的点包括：全网统一的身份认证中台、与防火墙和准入系统的联动、不同事业部的独立管控需求、7×24小时的运维支持能力……

我接触过一个案例：某集团有三十多个子公司，每个子公司有自己的IT团队和独立账号体系，集团想统一管控但各子公司不愿意交出账号管理权限。最后的方案是：总部上一套统一的认证平台，各子公司保留本地管理权限，但所有账号都要在平台注册，集团能看见谁在线、谁活跃，但具体的账号操作由子公司自行处理。

这个级别的选型通常会进入POC阶段，让供应商到现场做真实环境的对接测试。测试周期一般一到两周，模拟各种边界场景，确认没问题再签合同。重点测试项包括：高并发在线时的稳定性、多品牌设备的兼容性、故障切换的恢复时间。

档位四：特殊场景——连锁门店和学校

这两类场景比较特殊，单独说。

连锁门店：特点是分布广、数量多，但每个点IT能力弱。这种情况下，认证系统一定要支持云端集中管理，本地只需要上线联网，不需要本地配置。如果每个门店都要单独配置，那光是上门实施的成本就不得了。建议选型时问清楚：本地的开局是不是零配置？后续变更能不能远程操作？

学校：特点是用户量超大、终端类型极多、认证场景复杂。学生用笔记本、手机、平板；教职工用电脑、打印机、投影仪；访客用手机临时接入。每种角色的权限策略都不一样，而且寒暑假期间在校人数波动极大，从两三万人直接掉到几千人。

学校的选型要重点看系统能不能支撑万人以上并发、能不能按角色精细化控制带宽和访问权限、以及账号的学期周期管理是否支持自动化。

一句话总结

小型企业先用设备自带功能；中型企业上一套独立系统，重点看账号管理；大型企业要把认证系统纳入整体安全架构来规划；连锁和学校是特殊场景，重点看云端管控和按角色策略。不同阶段的关注点不一样，选型策略也要跟着业务规模走。