最近一則離職員工報(bào)復(fù)前東家的新聞引人注目。起因是該員工被公司辭退后懷恨在心，于是用自己的筆記本電腦入侵了前公司的服務(wù)器，進(jìn)入了該公司的法國站、英國站、德國站三個(gè)亞馬遜店鋪，進(jìn)行了大幅調(diào)低商品價(jià)格、主動(dòng)向客戶發(fā)起退款、調(diào)高廣告預(yù)算、刪除店鋪貨件、刪除店鋪活動(dòng)、更改收款賬戶、更改店鋪密碼等一系列操作，導(dǎo)致幾個(gè)店鋪的低價(jià)訂單量激增且部分無法撤銷，向客戶發(fā)起的退款無法挽回，并產(chǎn)生大量廣告費(fèi)用，造成經(jīng)濟(jì)損失 152.08 萬元。

無獨(dú)有偶，西安一家外貿(mào)公司近期也遭遇了類似事件，兩名離職員工為了報(bào)復(fù)公司獲得利益，篡改了亞馬遜店鋪的賬號(hào)密碼和收款銀行卡，并在店鋪里下架產(chǎn)品、調(diào)低價(jià)格，造成公司損失 600 多萬人民幣。

離職員工還能通過原來的賬戶訪問企業(yè)內(nèi)部信息和核心資源，這類事件并不少見。根據(jù)國外的一項(xiàng)調(diào)查顯示，83% 的離職員工承認(rèn)可以繼續(xù)訪問前雇主的賬戶，更糟糕的是，這些員工中有 56% 表示他們保留訪問權(quán)限的具體目的是傷害他們的前雇主。

離職員工保留前雇主賬號(hào)的種類

要防止這類問題，使企業(yè)免于蒙受巨額經(jīng)濟(jì)損失，最重要的是防患于未然。專業(yè)、詳細(xì)的離職流程可以確保完成兩件重要的事情：通過注銷或停用離職員工的賬號(hào)權(quán)限和其他不安全的身份驗(yàn)證方案來阻止未經(jīng)授權(quán)的訪問，其次善意的離職流程也可以減少離職員工報(bào)復(fù)前公司的動(dòng)機(jī)。

對(duì)于 HR 來說，理想的員工入離職流程，應(yīng)該是這樣的：

? 新員工辦理入職時(shí)，在HR系統(tǒng)內(nèi)的組織架構(gòu)和部門崗位所對(duì)應(yīng)的賬號(hào)/權(quán)限都會(huì)自動(dòng)同步到其他賬號(hào)源或業(yè)務(wù)系統(tǒng)中，如 AD域/OpenLDAP、郵箱、CRM、ERP或者JIRA、Office 365、NAS 等系統(tǒng)。

? 當(dāng)該員工調(diào)崗、晉升、離職，HR系統(tǒng)內(nèi)的賬號(hào)/權(quán)限變動(dòng)都會(huì)及時(shí)同步給其他業(yè)務(wù)系統(tǒng)，無需再在各個(gè)系統(tǒng)里單獨(dú)維護(hù)賬號(hào)和權(quán)限，一鍵實(shí)現(xiàn)自動(dòng)化入離職流程。

然而，HR和其他系統(tǒng)管理員在實(shí)際工作中面臨各種身份管理問題：

? 身份運(yùn)維問題

企業(yè)HR系統(tǒng)、各業(yè)務(wù)系統(tǒng)賬號(hào)分離，未能協(xié)同使用，IT需要多處創(chuàng)建、修改和刪除賬號(hào)，工作壓力大、手動(dòng)操作容易失誤。

? 安全合規(guī)問題

從HR同步的賬號(hào)信息滯后或流失，例如員工離職未能及時(shí)在郵箱中刪除該用戶賬戶等，為身份管理和安全合規(guī)帶來一定難度。

? 開發(fā)成本問題

企業(yè)需要定制開發(fā)HR與統(tǒng)一身份的用戶信息同步系統(tǒng)，由HR系統(tǒng)觸發(fā)至統(tǒng)一身份，并且可以通過統(tǒng)一身份同步添加、刪除至下游業(yè)務(wù)系統(tǒng)，對(duì)HR廠商及企業(yè)來說，定制開發(fā)代價(jià)大、推動(dòng)難。

? 員工權(quán)限問題

員工賬戶涉及正式員工、臨時(shí)工、經(jīng)銷商、供應(yīng)鏈伙伴等多種角色，需要設(shè)置不同的權(quán)限。

? 流程效率問題

員工入離職整個(gè)過程中，HR需要對(duì)接財(cái)務(wù)部、行政部、研發(fā)部或市場(chǎng)部等各個(gè)業(yè)務(wù)部門進(jìn)行賬號(hào)權(quán)限開通、停用等操作，流程復(fù)雜，效率較低。

在實(shí)際場(chǎng)景中，存在大量的員工入職、離職的賬戶管理，對(duì) HR 和 IT 人員來說是一個(gè)極大的挑戰(zhàn)。運(yùn)維人員難以實(shí)現(xiàn)在一個(gè)系統(tǒng)內(nèi)對(duì)所有人員的身份信息和同一個(gè)人員的多維度字段信息進(jìn)行集中統(tǒng)一管理。

“隨著公司發(fā)展，人員不斷增多，涉及幾十個(gè)應(yīng)用系統(tǒng)內(nèi)的賬號(hào)手動(dòng)創(chuàng)建、刪除，賬戶生命周期管理等，管理員工作量巨大，但凡出現(xiàn)錯(cuò)漏容易造成安全隱患?！?/p>

————來自客戶的真實(shí)反饋

寧盾統(tǒng)一身份平臺(tái)一鍵入離職自動(dòng)化

針對(duì)企業(yè)客戶在員工賬號(hào)生命周期管理方面的需求，寧盾提供員工入離職自動(dòng)化管理解決方案。NingDS 身份目錄云平臺(tái)充當(dāng) HR 系統(tǒng)和下游業(yè)務(wù)系統(tǒng)（即依賴HR系統(tǒng)賬號(hào)源的應(yīng)用）之間的橋梁及身份中臺(tái)角色。

將HR/AD/社交賬號(hào)源接入進(jìn)來集中管理，并同步給下游業(yè)務(wù)應(yīng)用

HR 系統(tǒng)對(duì)接 NingDS 身份目錄云平臺(tái)后，在 HR 系統(tǒng)內(nèi)的員工入離調(diào)轉(zhuǎn)等操作自動(dòng)同步至NingDS 中，并根據(jù)企業(yè)需求自動(dòng)向下游業(yè)務(wù)應(yīng)用供應(yīng)組織架構(gòu)、賬號(hào)/權(quán)限信息，為企業(yè)建立集中、權(quán)威的統(tǒng)一身份管理平臺(tái)，統(tǒng)一管理維護(hù)。實(shí)現(xiàn)員工入離調(diào)轉(zhuǎn)時(shí)，一鍵開啟、修改或回收各個(gè)業(yè)務(wù)系統(tǒng)賬號(hào)權(quán)限，簡(jiǎn)化 HR 和 IT 復(fù)雜繁瑣的重復(fù)工作，提升工作效率。

NingDS 基于 LDAP、SAML、REST API 等協(xié)議集成了 OA、ERP、NAS、郵箱等關(guān)鍵基礎(chǔ)應(yīng)用，Gitlab、Bitbucket、Jenkins等核心研發(fā)應(yīng)用，VPN、堡壘機(jī)、Zabbix等運(yùn)維監(jiān)控應(yīng)用，并為這些應(yīng)用供應(yīng)統(tǒng)一身份信息，以便管理員進(jìn)行統(tǒng)一管理。對(duì)于員工來說，只需記住一套賬號(hào)密碼，登錄一次即可訪問權(quán)限內(nèi)的所有應(yīng)用，無需多次重復(fù)輸入用戶名、密碼。

員工入離調(diào)轉(zhuǎn)管理

（1）員工入職

在寧盾 NingDS 身份目錄云平臺(tái)，管理員可以進(jìn)行員工入職、離職、轉(zhuǎn)崗的操作，并一鍵同步賬號(hào)/權(quán)限信息至各個(gè)業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)各個(gè)業(yè)務(wù)系統(tǒng)的用戶身份統(tǒng)一管理。

點(diǎn)擊【新增員工】，可直接在寧盾 NingDS 中新增賬號(hào)，支持和 HR 系統(tǒng)雙向同步。HR 可以通過 NingDS 系統(tǒng)生成員工專屬鏈接，邀請(qǐng)待入職員工完善檔案信息。

（2）員工離職

點(diǎn)擊【辦理離職】，可直接在寧盾 NingDS 平臺(tái)中進(jìn)行刪除，一鍵同步刪除各個(gè)業(yè)務(wù)系統(tǒng)內(nèi)該員工的賬號(hào)和權(quán)限，避免離職員工仍有權(quán)限訪問企業(yè)核心資源，帶來安全隱患。

（3）員工轉(zhuǎn)崗

點(diǎn)擊【發(fā)起調(diào)動(dòng)】，可在寧盾 NingDS 平臺(tái)一鍵辦理員工轉(zhuǎn)崗，轉(zhuǎn)崗員工對(duì)應(yīng)的業(yè)務(wù)系統(tǒng)賬號(hào)和權(quán)限也將同步開通或變更，并自動(dòng)提醒原部門系統(tǒng)管理員，做賬號(hào)權(quán)限回收管理。

審批管理

寧盾 NingDS 還支持入離調(diào)轉(zhuǎn)管理審批操作，可以設(shè)置多個(gè)業(yè)務(wù)系統(tǒng)管理員加入審批流，確保企業(yè)內(nèi)部信息一致性。通過在線通知方式，減少企業(yè)內(nèi)部溝通成本，提高效率。

寧盾員工入/離職自動(dòng)化解決方案幫助客戶擺脫傳統(tǒng)的手動(dòng)式賬號(hào)管理，實(shí)現(xiàn)員工入/離職賬號(hào)的自動(dòng)創(chuàng)建和回收，通過安全策略為企業(yè)添加安全防護(hù)，防止離職員工賬號(hào)回收不及時(shí)蒙受巨大經(jīng)濟(jì)損失。