top of page
2023年1月15日

橘子集團借助Okta身份雲服務,巧妙實現多網域帳號的統一管理

文章來源:iThome


始於1995年的橘子集團,一路走來屢屢勇於突破、啟動破壞式創新;隨著不斷併購,如今事業版圖中,除了涵蓋眾所熟知的遊戲外,還擴及支付、電商、媒體、行動生活、資安服務等多元領域。


惟因近年併購諸多公司,讓橘子集團在網域整合上遭逢挑戰。不僅如此,連帶使集團內部系統變得繁多,有的基於員工使用,有的基於營運管理(如遊戲、電商的管理後臺,或媒體的上稿系統等);這些系統有的是併進來的,有的是自行開發的,有的是透過外部廠商協助開發的,集團雖努力整合它們各自的登入帳號與密碼,但仍未能達到完全統一,以致員工需要記住多組帳密。


橘子集團資安顧問丁瑋明指出,集團一直亟欲實踐單一登入(SSO)、多因素驗證(MFA)等目標,甚至很早就導入PKI、OTP等驗證機制,但過程中除面臨系統過多、各自規範外,在Mac電腦整合PKI的過程亦頻頻受阻,遲遲未能找出一勞永逸的解決之道。集團高層認為,若任由這些現象持續存在,不論在管理面或資安面上皆存在一定風險,於是在2021年下定決心重整身份驗證架構。


在重整認證機制的過程中,橘子集團曾評估諸多方案,甚至一度考慮委由專業廠商以客製化開發手段來解決此事,但後來認為若採取客製化方法,不僅建置期程冗長,且日後若再併購其他公司、或發展新商業模式,皆需重啟客製整合專案,並非長治久安的好做法。因而有所轉念,經再評估後選擇導入Okta的身份雲服務WIC(Workforce Identity Cloud);而這抉擇令人激賞,只因歷時短短12週,就完成內部近九成系統的認證整合目標,不僅大幅提升身份安全性、管理完整性,也如願打造出一勞永逸的身份驗證框架。


以細緻完整的文件,引導用戶快速上手實作


丁瑋明指出,橘子集團拍板選定Okta,主要基於幾個關鍵理由。首先橘子自許為原生軟體公司,力求在軟體發展上求新求變,且集團高層一直想把原本複雜IT架構導向SaaS化、公開化;在此前提下,以SaaS形式提供身份驗證服務,且整體架構上擁有極高開放性與完整性的Okta,自然高度符合集團一貫的理念。


其次,丁瑋明看遍眾多身份驗證方案,認為Okta提供的文件完整度「無人出其右」,它清楚細緻地交待每一支API的使用方式,用戶只需照著做,單單透過API就能建構出想要的管理模式。


更重要的,Okta不僅具有優異的安全性、完整度,也擁有合規性高、整合度高、彈性大、導入時間短等多重優點。首先舉凡HIPAA、PCI-DSS、SOX、GDPR等常見規範,乃至SOC 2 Type II、SOC 3、ISO 27001/27018/27017、CSA STAR Level 2、APEC PRP…等國際標準,Okta均已通過。其次Okta支援市場上大多數協定,故企業無論擁有多少網域、多少系統,或是多麼繁雜的認證機制,通通都可指向Okta、由它作為全體網域使用者的唯一登入口;接著企業主要透過設定,至多搭配少許Coding,即可利用Okta完成後端系統與認證機制的串接。


短短12週內,整合AD、GWS、Web及App認證服務


丁瑋明建議,中小企業或電商,假使自認內部IT或資安人力不足,沒有把握避免帳密資訊遭有心人士竊取,可考慮交由Okta代管帳密,如此既能顧及帳戶安全,也有助開發人員專注發展核心功能,畢竟帳號管理本來就不是程式開發者的專長;另一方面亦可像橘子集團一樣,選擇自行保有帳密控制權、而非交由Okta代管。兩種不同模式,Okta都支援無虞,展現莫大的彈性。


橘子於2022年7月啟動Okta導入案,考量初次Okta架構、許多環節有待學習與釐清,所以在專案的前兩個月,便結合Okta臺灣總代理商奧登資訊的助力,針對AD、GWS(Google Workspace)及Okta,依序執行架構設計、執行、串接測試及正式上線。最終橘子確定以地端AD為主要身份來源,並以Integration Mode執行GWS登入驗證,且一併搭配採用Okta MFA來強化帳戶安全,另值得一提,橘子在此階段建立了自助式重置密碼服務,亦即今後不管從雲端的Okta、從地端的Windows環境,皆可更改或重置密碼。


除此之外,橘子利用1週時間實現客製化網頁應用登入,凡是想存取網站服務的同仁,都可登入這個客製化網頁,再由Okta以Redirect Mode方式執行驗證。另花了1天時間完成Embedded Mode推送通知機制的建立,爾後不管採用MacOS、Windows、iOS或Android等行動裝置的使用者,均可透過Okta FastPass無密碼登入方式,簡便快速地存取所需Apps。最後橘子還藉由2週時間,同步完成Jamf Pro MDM與Okta整合,以及VPN認證整合。


綜上所述,橘子從7月初展開Okta部署計畫,前後歷時不到12個星期,便接續完成GWS、Web、App、VPN等所有攸關同仁日常應用的身份認證整合。丁瑋明說明,以橘子曾考慮採用的客製化模式而論,欲實踐相同專案目標,起碼得歷時6~12個月,兩相對比,突顯Okta導入速度確實快了許多。


拜Okta所賜,現今集團內部橫跨10餘個不同網域的千餘多名員工,只需採用單一帳密、甚至藉由無密碼方式,便能輕鬆高效地連接雲端或本地應用程式。連帶幫助集團實現期盼多年的統一管理目標,圓滿化解了不同網域的帳號無法被統一納管的難題,同時亦順利整合所有Web、App的認證服務,成效至為顯著。




Comments

bottom of page