某国企下属分公司成立于上世纪80年代末，随着业务不断发展壮大，公司人员增多，公司内部陆续采购了许多应用来提升销售、财务、营销、人事等管理工作。然而，不同的应用使用不同的身份管理，不仅IT管理员需要维护员工的多套身份信息，运维工作庞大，员工登录各个应用也需要记忆不同的账号密码，办公体验有待提升。

(相关资料图)

为此，该公司的IT负责人找到宁盾，提出了需求：“现在，我们公司用的是钉钉，希望可以通过钉钉扫码的方式，让员工单点登录应用、接入内网等。”

缺少统一身份，各职能效率受阻

经过梳理发现，该公司早年并未规划过身份管理体系，因此多年来都未曾搭建微软AD、OpenLDAP等目录服务来存储、管理组织架构和用户信息，提供统一认证和鉴权。

因此，本质上是由于公司内部没有统一身份认证中心，从而使得各个应用无法统一认证，各个职能部门的工作效率都受到影响，但其表象很容易让 IT 人员认为 SSO 单点登录能解决该问题。

应用管理员：“这么多业务系统，每次手工创建、删除账号很麻烦，能不能直接自动同步钉钉的组织架构和人员信息？最好能用钉钉的组织来管理权限。”

HR：“人员入职、调岗时，是否可以自动将钉钉账号同步到域账号，以及邮箱、OA系统？不然我要对接好几个人才能让新同事拿到所有账号。”

IT负责人：“公司里的好几个应用，如QNAP威联通NAS、360天擎等仅支持LDAP协议，无法实现单点登录，有没有办法解决？”

安全专员：“人员离职时，各种相关应用和设备的账号以及电脑账号都得冻结，容易有遗漏或操作不及时，有什么好办法？”

员工：“能不能不要记那么多应用的用户名和密码呀？一键登录可以节省很多时间。”

同步钉钉组织架构，新建LDAP目录

要解决单点登录问题，该公司首先要搭建LDAP目录服务，以钉钉通讯录内的组织架构和用户信息为主账号源，建立统一身份认证体系。此时，就要借助宁盾身份目录作为企业新建的LDAP目录服务，同步拉取钉钉内的用户信息。

其次，宁盾身份目录将用户信息同步给各个应用，实现员工账号生命周期自动化管理。人员入职、调岗、离职引起的账号创建、变更、删除，在钉钉内操作完成后都会自动同步到应用内，权限同理。

然后，通过多种协议如LDAP、OIDC、SAML、OAUTH、EasySSO等协议对接应用，实现单点登录。

基于钉钉组织架构和用户信息同步搭建本地LDAP

使用宁盾目录服务后的账号管理流程图

与OpenLDAP相比，宁盾身份目录拥有易上手的操作界面，配置简单且售后持续在线，IT管理员用起来更方便、更省心。

通过宁盾目录服务，该公司保留了员工原来的钉钉扫码登录的认证方式，实现单点登录、扫码入网，无论是HR、运维、员工，工作效率都得到极大提升，且避免了员工入离职账号操作不及时产生的潜在风险。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解更多内容，可前往宁盾官网博客解锁更多干货）