标签:#SSO #密码管理 #小企业安全 #无源码集成 #权限治理 #等保二级
一、我们的困境:10人团队,23个系统,37个账号
我们是一家不到 50 人的 SaaS 初创公司,业务涉及 CRM、财务、HR、运维、客服等多个领域。随着业务增长,我们陆续引入了:
- SaaS 应用:钉钉、企业微信、飞书、Zoho CRM、QuickBI;
- 自建系统:GitLab、Jenkins、内部 OA(PHP)、测试环境数据库;
- 外包系统:财务软件(Delphi 开发)、客户报表平台(VB6)。
问题很快暴露:
- 每位员工平均拥有4–6 个账号;
- 新员工入职,IT 要手动在 10+ 个系统中创建账号;
- 员工离职后,总有1–2个系统忘记禁用;
- 最可怕的是:80% 的系统共用同一套密码(如
Company@2024!)。
🚨 这不仅效率低下,更在等保二级测评中被列为“高风险项”:
“未实现用户身份集中管理,存在账号共享与弱口令风险。”
但现实很骨感:
- 没有专职安全团队;
- 老系统无源码,无法改造;
- 预算有限,买不起大型 IAM 产品。
怎么办?
二、破局思路:不改代码,也能做“伪SSO”
我们意识到:真正的 SSO(如 SAML/OAuth)需要应用支持协议集成,而我们的 Delphi 财务软件显然做不到。于是转向一个务实目标:
不是让所有系统“单点登录”,而是让所有系统“单点管理 + 自动填密”。
核心思想:通过一个本地凭证代理,实现“一次认证,自动登录多系统”,对应用完全透明。
架构图
[用户浏览器] ↓(首次登录) [轻量级身份门户] → 验证用户名/密码 + 双因子(可选) ↓ [本地凭证代理(SYP)] ← 后台运行于用户PC ↓(自动注入) [Web 系统]:自动填充账号密码(如 GitLab、CRM) [CS 系统]:模拟键盘输入(如 Delphi 财务软件)✅关键特点:
- 零代码改造:不碰任何应用;
- 支持 BS + CS:覆盖 Web 和桌面程序;
- 凭据集中加密存储:不再用 Excel 记密码;
- 权限随身份动态下发:员工角色变更,自动同步。
三、技术实现:三步搭建轻量级SSO
步骤1:部署轻量级身份门户(ASP身份认证系统)
我们选择了一个轻量级 ASP身份认证系统系统(注:类似 Vault + Authelia 的组合),部署在内网一台 2C4G 虚拟机上:
- 支持 LDAP/本地账号;
- 提供 RESTful API 管理凭证;
- 内置双因子认证(TOTP / USB Key);
- 审计日志满足等保要求。
💡小企业建议:直接使用 Docker 一键部署,5 分钟搞定。
步骤2:配置应用凭证模板
在 ASP 中为每个系统创建“凭证模板”,例如:
# GitLab 凭证模板name:gitlab-prodtype:weburl:https://gitlab.internalfields:username:${user.email}password:${vault.gitlab_password}injector:browser-extension# 通过浏览器插件自动填密# 财务软件(Delphi)凭证模板name:finance-apptype:desktopexe_path:C:\Finance\finance.exefields:username:${user.id}password:${vault.finance_password}injector:keystroke-simulator# 通过本地代理模拟键盘输入🔐 所有密码由 ASP 动态生成并加密存储,永不暴露给用户。
步骤3:部署本地代理(SYP)到员工电脑
- Windows:通过组策略或脚本静默安装
syp-agent.exe; - 代理启动后,监听 ASP 下发的登录指令。
当用户访问https://sso.internal并成功认证后:
- 浏览器插件自动填充 Web 系统;
- 本地代理监控到
finance.exe启动,自动在登录框输入账号密码(模拟人工操作)。
⏱️效果:用户只需记住一个主密码,其余系统“无感登录”。
四、权限与审计:小企业也能做精细管控
1. 基于角色的自动授权
- 新员工加入“财务组” → 自动获得财务软件、报销系统权限;
- 员工转岗 → 自动移除旧权限,无需人工干预。
2. 凭据生命周期管理
- 数据库密码每 90 天自动轮换;
- 离职员工账号10 分钟内全局禁用。
3. 审计日志满足等保
ASP 记录:
- 谁在何时访问了哪个系统;
- 是否使用双因子;
- 登录是否成功。
五、成本与收益对比
| 项目 | 传统方式 | 轻量级SSO |
|---|---|---|
| IT 人力(月) | 8 小时(创建/回收账号) | <1 小时 |
| 密码泄露风险 | 高(共用密码) | 极低(动态+隔离) |
| 离职回收遗漏 | 常见 | 0 次 |
| 等保合规 | 不达标 | 达标 |
| 初期投入 | 0(但隐性成本高) | ≈ ¥5000(服务器+许可) |
💡ROI 极高:不到 3 个月即收回成本。
六、适用场景总结
该方案特别适合:
- 50–100 人中小企业;
- 混合使用 SaaS + 自建 + 外包系统;
- 无开发资源改造老应用;
- 需满足等保二级或 ISO27001。
✅核心价值:
用最低成本,把“人管密码”升级为“系统管权限”。
七、写在最后
安全不是大公司的专利。
即使只有 10 个人,也可以通过合理设计,
告别 Excel 密码表,
拥抱自动化、可审计、可追溯的身份治理。
真正的效率,来自于让重复的事自动发生;
真正的安全,来自于让危险的事无法发生。
互动话题:
你们公司还在用 Excel 管理账号密码吗?
遇到过员工离职后权限没回收的情况吗?
欢迎评论区交流你的“小团队安全故事”!
参考资料:
- 等保2.0 第二级“安全计算环境”要求
- NIST SP 800-63B 数字身份指南
- 《中小企业信息安全实施指南》(信安标委)
