企业无线上网认证和AD域、OA系统对接,能打通到什么程度
很多企业在选企业无线上网认证方案时,第一个问题是:我们公司员工都用AD域账号登录电脑,WiFi认证能不能直接用同一个账号,不要让员工多记一套密码?
这个需求合理,而且完全可以实现。这篇文章说清楚认证系统和企业现有IT系统对接能做到什么、做不到什么,以及对接之前要提前确认哪些东西。
AD域对接:员工账号统一管理的核心
Windows Active Directory是大量企业的标准身份管理工具,员工电脑登录、邮箱访问、内网权限,基本都走AD域账号。如果WiFi认证能打通AD,员工连WiFi时输入的就是平时登录电脑的同一套账号,体验上没有额外负担。
从技术层面,这个对接通过LDAP协议实现。认证系统收到员工的账号密码,通过LDAP去AD服务器查询验证,AD说通过,认证系统放行,员工上网。整个过程员工感知不到后台的交互,跟在公司网络上正常登录没有区别。
蓝海卓越V7支持LDAP认证和AD域认证,可以直接对接企业现有的AD服务器,员工不需要额外注册网络账号,IT也不需要同步维护两张账号表。这个对于员工人数多、流动率高的企业尤其重要——人力系统里账号一禁用,WiFi权限同步失效,不用IT专门去网络系统里再操作一遍。
有一点要提前确认:AD对接需要认证系统能够访问到企业内网的LDAP服务(默认端口389或636),如果网络架构上有防火墙隔离,要确保这个端口是通的,否则对接会失败。另外,如果企业的AD服务器用了域名解析,认证系统也要能正确解析这个域名,否则连不上。
OA/CRM系统对接:另一种常见场景
不是所有企业都有AD域,有些中小企业的员工账号管理在OA或CRM系统里。这种情况也能对接,只是方式不同。
OA/CRM的账号数据通常不开放LDAP,而是通过API或数据库对接。蓝海卓越V7支持第三方数据源认证,可以配置从外部系统获取账号信息,认证时实时查询。具体能不能对接、对接方式是API还是数据库,取决于OA/CRM系统的开放程度。常见的OA平台比如泛微OA、致远OA,之前都有过对接案例,技术上可行,但每个项目的部署环境不一样,通常需要二次开发配合。
这里有个实际的判断点:如果企业的OA系统比较封闭,没有开放API,或者开放的接口权限申请流程很长,那对接工期会被这个拉长,方案设计时要把这个周期算进去,不能拍脑袋说两周上线。
账号生命周期同步是核心问题
对接完AD域或OA系统之后,最重要的事不是登录能不能用,而是账号生命周期有没有同步。
典型的问题场景:员工A离职了,IT在AD里把账号禁用,但认证系统里有缓存,员工A的设备今天还能继续连WiFi。或者,实习生的账号设置了到期时间,AD里账号过期了,但认证系统没有实时同步,实习生还在用网。
这类问题的根源是认证系统没有实时同步账号状态,只在认证时做了一次校验,之后就靠会话保活了。蓝海卓越的对接方式在账号禁用时可以强制踢出已在线的用户,而不只是阻止新的登录。这个细节在对接方案讨论时要专门确认,因为不同的部署方式实现效果不同。
对接企业微信、钉钉、飞书怎么回事?
有些企业现在用企业微信或钉钉作为主要的员工管理工具,员工审批、打卡、沟通都在里面,AD域反而没多少人用。这种情况下WiFi认证能不能直接用企业微信账号?
可以,蓝海卓越V7支持APP认证,包括企业微信、钉钉、飞书以及自定义APP。员工连上WiFi,弹出认证页面,选择企业微信扫码或者直接在企业微信内授权,认证通过上网。这个体验比短信验证码更顺畅,而且账号天然跟人力系统绑定——企业微信里的账号状态就代表员工状态,离职了企业微信账号一停,WiFi权限同步失效。
不过APP认证有一个前提:员工手机上必须装了对应的APP,而且处于登录状态。对于BYOD(员工自带设备)场景,这个前提基本都满足。但如果有员工不用智能手机,或者某个设备没有APP,就要搭配其他认证方式一起用。
日志和审计系统要不要一起对接?
企业做等保评测或者面临公安合规检查时,上网日志是必查项目之一。
认证系统本身会产生上网日志,记录谁在什么时间从什么设备接入了网络、访问了哪些资源、在线多长时间。这些日志通常在认证系统本地存储,也可以对接到企业专门的日志审计服务器。
如果企业已经有等保合规的日志审计平台,需要确认认证系统能不能按要求格式推送日志过去。不同审计平台接受的日志格式不一样,通常是syslog或者特定的API格式,对接时要跟审计系统厂商确认字段映射关系。
日志保存时长方面,公安要求不低于180天,这是硬性标准。如果认证系统本地存储空间不够,要么加存储,要么把日志定期归档到NAS或云存储。这个问题在采购阶段就应该算清楚,不要等系统上线三个月日志满了再临时想办法。
对接之前要提前准备什么?
提炼一下,认证系统和企业IT系统对接之前,建议提前确认以下几件事:
第一,AD域或OA系统的对接接口是否可用。LDAP端口是否开放、API文档是否有、权限申请流程多长时间。
第二,账号生命周期同步的需求是什么级别。是"离职后自然过期",还是"必须实时踢出在线用户"。
第三,有没有哑终端需要特殊处理。打印机、IoT设备、POS机这类设备要提前列出来,方案里单独设计MAC白名单策略。
第四,日志审计有没有对接需求。如果有等保要求,日志格式、保存周期、归档方式都要提前定好,不能等系统上线后再补。
企业无线上网认证跟IT基础设施融合得越深,上线后越省事。但这个"深"不是靠堆功能,而是靠提前把对接边界想清楚。
