由于信息安全越来越被重视,企业的身份管理已经成为市场焦点,对于实施企业级安全策略和身份管理的需求随之迅速上升。在当今复杂多变的商业环境中,企业组织机构管理已成为推动业务顺畅运作的核心要素之一。企业内数字化管理是涉及企业全业务、跨职能的系统性长期工程,没有“银弹”,更不可能一蹴而就。随着企业规模的扩大和业务的多样化,如何有效管理内部的组织架构,确保各部门之间的协同与高效沟通,成为了企业管理者面临的重要挑战。
01.企业管理面临挑战
企业内结构复杂化
随着组织规模的扩大,各部门的角色和责任 也可能逐渐模糊,导致决策权责不清。不明确的职责划分往往会在实际操作中造成决策效率的下降,员工不知道该向谁汇报,谁该对某项任务负责。同时,多部门、多层级的存在,意味着管理者需要面对更多的协调和决策工作。各部门的角色和责任划分也可能变得模糊,影响决策效率,导致沟通不畅。管理不当可能会引发工作流程的混乱,降低整体生产力。信息在传递过程中逐层递减或失真,决策变得缓慢,执行的精准度也随之下降。信息流动的低效性使得管理者无法及时获取一线的反馈和真实的数据,影响整体的业务应对能力。
内部烟囱式数字化建设
大型企业经常会出现部门信息无法有效共享的现象,导致“信息孤岛”的形成。各子公司由于业务架构、技术能力、区域法规等多种客观因素的差异,以及不同子公司中员工、经销商、供应商、上下游合作伙伴等角色各不相同,各子公司基于自身业务架构和管理需求独立建设数字化体系,同时各自独立维护各类数字化应用系统以及管理复杂的身份体系。导致在集团内部形成一个个独立的数字化孤岛,重复损耗建造、维护、迭代成本,集团难以打通各子公司数据,无法统一管理各子公司员工身份和应用系统数据。
员工变动频繁
员工的频繁变动,如入职、离职以及岗位调整,给企业的组织管理带来了极大的挑战。随着企业规模的不断扩大,员工流动的频率也随之增加,每当员工的职位、角色或部门发生变化时,企业的管理者必须及时在多个系统中进行手动更新。这不仅涉及到员工的基本信息,还包括与其职务相关的权限管理、部门划分以及其他与工作内容相关的系统设置。管理员需要在不同的系统中重复输入和修改员工信息,而这些系统可能没有统一的接口或自动同步功能,导致操作的繁琐性和低效性。
02.如何通过 Authing 实现高效组织管理?
借助 Authing, 可以快速实现基于角色的访问控制(RBAC)。简单来说,RBAC 指的是通过用户的角色授权其相关权限,这相比直接授予用户权限,要更加灵活、高效、可扩展。而在现实生活中,组、角色往往是分层嵌套的,呈树状结构,最常见的就是组织机构,如公司、学校等等。
一个常见的的组织机构架构如下:
一级部门有产品部、研发部、运营部、综合管理部。
一级部门下面又有二级部门,如产品部中包含产品经理和设计等。
上图是一个典型的树状结构,其中有且仅有一个根节点,一般而言,根节点就是一家公司、一个组织。每个节点对应一个分层的部门。
在 Authing 中, 你可以从企业微信、钉钉、LDAP、Active Directory 等第三方用户目录导入组织机构, 我们还提供了 控制台、SDK 两种管理组织机构的方式,你可以很方便地管理成员生命周期,还可以使用 LDAP 协议对外开放组织机构数据。
创建或导入组织机构
如果你还没有创建自己的组织机构,我们推荐你使用 Authing 作为主的身份源,存储用户和组织机构数据;如果你在其他地方存储了自己的组织机构数据,我们也支持将第三方的组织机构数据导入或同步到 Authing。
创建组织机构
你可以选择使用控制台或者 API & SDK 创建。你可以在控制台的 用户管理->组织机构 中手动创建组织机构:
添加子部门
输入部门名称、部门标识符(旧版本)/ 部门 Code(新版本)(必须是唯一的合法的英文标志符)、部门描述信息即可。
导入组织机构
Authing 组织机构支持从以下途径导入组织机构与用户:
1、Excel
2、同步中心同步(新版)
企业微信、钉钉、飞书、LDAP Server、Windows 本地的 Active Directory ...
你也可以使用 API & SDK,编写用户导入脚本。管理组织机构
组织机构的管理包含添加子部门、修改部门、删除子部门、移动子部门、获取子部门列表、添加成员、删除成员、获取成员列表等操作,Authing 支持控制台和 API & SDK 两种操作方式。
对于 B2E 场景,在控制台左侧导航栏可以看到 组织机构->组织管理 菜单,在此可以管理组织架构及相应层级组织下的成员。对于 B2B 和 B2C 场景,可以在 用户管理->组织机构 中进行管理。
当前新旧版本组织机构功能并行,你可以根据需要选用。要切换新旧版本,可以在 组织机构->组织管理 页面点击页面右上角 切换旧版 / 切换新版 按钮。
添加子部门
使用控制台,你可以点击其中一个部门,选择添加子部门:
输入部门名称和部门 Code(可选)即可,也可在窗口右侧为当前子部门变更 上级部门:
修改部门
在组织树中点击待编辑部门后的编辑部门按钮。
更新字段。
除了可以修改部门名称、部门 Code、部门描述,还可以更改上级部门。
点击保存。
删除子部门
需要注意的是,如果待删除部门下有子部门或者该部门 / 子部门下存在成员,不可直接删除部门,需要先清空所有成员,删除所有子部门。
从部门中移除成员时需要注意,仅可移除直属多个部门同时直属当前部门的成员。如果成员仅属于当前部门,不可移除;此时,只能通过办理离职将该成员从当前部门移除。
组织根节点不可删除。选中需要删除的部门,点击 删除部门 按钮即可。
移动子部门
在组织树中点击待移动部门后的 移动部门 按钮。
在弹出窗口选择移至的新上级部门:
获取子部门列表
你可以点击节点前的收起按钮展开当前节点,显示该节点下所有子节点。
添加成员
该功能旨在在当前组织 / 部门下增加新的成员。只能增加 成员管理(对于 B2B 和 B2C 场景是 用户列表)中现有成员。要增加新成员,执行以下步骤:
1、在左侧组织机构列表中选定组织 / 部门。
2、点击用户列表上方 添加成员 按钮。
3、在弹出窗口左侧 用户列表 中勾选目标用户(也可通过关键字搜索)。所选用户自动添加到右侧列表中。
4、点击 确定 按钮。
删除成员
1、仅可移除直属多个部门且直属当前部门的成员。如待移除成员仅属于一个部门,不可移除。
2、可通过先勾选用户,再点击 移除成员 进行批量移除。
若要将某成员从当前组织 / 部门中移除,执行以下步骤:
1、在左侧组织机构列表中选定组织 / 部门。
2、在右侧当前组织 / 部门的用户列表中点击相应成员所在行 移除成员。
获取成员列表
点击组织树任意层级组织 / 部门,即可在右侧列表显示当前部门下直属或所有成员(取决于是否勾选用户列表上方 仅展示部门的直属成员)。
管理成员生命周期
随着公司的发展,企业内部应用和人员数量会不断增加。不断的员工入职、离职,人员组织架构频繁调整,企业内部的应用账号体系错综复杂,管理员手动操作账号的工作量陡增。同时,缺乏统一的账号管理控制方案也会给企业安全生产带来隐患,经常出现员工离职但是应用账号未关停的安全风险案例。
用自动化的账号生命周期管理(Lifecycle Management,简称 LCM) 代替手动账号管理,是将企业 IT 人员从灵活用工所涉及的繁琐复杂的身份信息管理工作中解放出来的关键,同时也可以通过及时关停人员账号和减少授权错误率来提升企业整体的业务安全系数。
自动化 LCM 涵盖了员工生命周期所涉及的多个节点,从员工入职、员工在职,到员工离职,既包含了管理员的操作行为,也包含了终端用户的触发行为,具体如下:
账号生命周期管理,有以下几个优势:
1、提高生产力并降低成本。
2、降低复杂度。
3、更为安全合规。组织管理
成员入职你可以在控制台组织机构管理页面进行成员入职操作:
你可以使用手机号或者邮箱创建账号,在成员入职窗口输入 姓名、手机号 / 邮箱,选择部门:
新加入的成员会显示在用户列表中:
点击列表中新加入成员,进入用户详情页,可对其进行角色授权和应用授权:
禁用 / 启用员工账号
在出现账号被盗等紧急情况,需要临时禁用员工账号。
禁用账号之后,将会自动执行以下操作:
1、取消应用授权关系。
2、取消策略授权关系。
3、该账号无法登录。
4、依旧保留部门关系。
5、仍可以编辑用户信息。
可以在两个路径下禁用 / 启用员工账号。
在组织管理下禁用 / 启用账号
在组织管理页面点击该员工所在行 禁用账号 按钮,并在弹窗中进行确认。
你也可以在同路径下重新启用该账号:
在成员管理下禁用 / 启用账号
可以在成员管理页面(对于 B2B 和 B2C 场景是 用户列表页面)点击该员工所在行禁用账号 按钮。
在确认安全后,可以在同一个路径下 启用账号。则账号权限恢复正常。
变更部门
成员在职阶段,如需更换部门,可以在组织管理 页面点击 变更部门按钮,在打开窗口中勾选目标部门,也可以在搜索框进行搜索后勾选,变更部门会显示在窗口右侧列表中:
设置主部门
如果当前成员属于多个部门,可以设定一个为主部门。为此,只需在上面变更部门窗口右侧部门列表中点击设为主部门,然后点击确定:
也可在 组织管理 页面用户列表中点击目标成员所在行 设置主部门 按钮:
然后在打开窗口选择并确定主部门:
设为负责人
你可以为不同层级的组织 / 部门设定负责人。
可以跨部门设置负责人。但只有在所选人为被选部门直属成员时才会打上负责人标签。
有两种方式设置部门负责人:
在组织树中点击待设定部门后更多按钮,选择 设置部门负责人。
在组织对应的用户列表中设定负责人:
1、在左侧组织机构列表中选定组织 / 部门。
2、在右侧当前组织 / 部门的用户列表中点击相应成员所在行 设为负责人。
则所选成员成为该组织 / 部门的负责人。
办理离职
可以在 组织管理 页面为员工办理离职。
员工离职之后,将会自动执行以下操作:
1、取消应用授权关系。
2、取消策略授权关系。
3、该账号无法登录。
4、移出原有部门,移动至已离职部门。
删除账号
可以在 办理离职 时同步删除员工账号:
离职和删除账号也可以分步进行:
1、先在 组织管理 页面 办理离职。
2、然后在 成员管理 中 删除账号。
会彻底删除所有用户相关数据。
管理终端设备
设备管理
设备管理功能旨在管理登录用户池应用的所有网页端、移动端、 PC 端设备;通过登录用户池应用,终端设备主动上报该设备信息到用户池,通过对该设备的移除、挂起、停用等操作,来实现对设备的终极管理能力。
管理员侧设备管理
点击「组织机构」-「设备管理」模块,进入设备列表,在这里可以看到所有的设备的基础及使用信息,并且可以对设备进行移除/挂起/停用。启用的操作;
在设备管理列表,点击某一条设备信息,进入到该设备的信息详情页面,可以看到所有使用该设备的账号信息、设备的安全信息及活跃信息;
点击「组织机构」-「成员管理」-「成员详情」页面,用户可以看到使用该账户登录的所有设备信息,并且可以进行移除、挂起、停用操作;
用户侧设备管理
Web 端应用个人中心:在 Web 端应用的个人中心,可以看到该用户下,所有登录了该应用的设备;
Authing 令牌移动端 App: 打开 Authing 令牌 APP, 输入用户池相应的移动端应用,并进行登录,登录后,可以在个人中心看到「设备管理」模块,点击进入后,可以对该账号在该应用下登录的设备进行管理操作:
通过「管理数据对象」对设备进行管理
首先,在一个开启「管理数据对象」功能的用户池里,打开「设置」-「管理数据对象」页面,点击「终端设备管理」模块,进入终端设备管理模块:
「终端设备管理」功能的基本信息里,展示定义好的功能名称、功能标识符、功能描述及父级菜单,且无法修改:
字段管理 : 展示所有的和设备管理功能相关的字段,可以选择是否展示、是否可编辑:
操作管理:展示的是针对设备管理的常规表单操作能力,包含 「创建」、「编辑」、「删除」、「导入」、「导出」的能力;
详情页配置:展示了某个设备详情页面的配置,可以对详情页的 Tab 及相应的字段进行配置;