公司概览:
婚礼公园有限公司成立于 2004 年,以 “让婚姻更幸福 “为经营理念。 在 2024 年迎来 20 周年之际,该公司以婚礼评论信息网站起家,此后不断扩大业务范围。 该公司利用丰富的信息,运营着多个婚礼专业媒体,包括婚礼筹备评论网站Wedding Park。 此外,它还在婚礼领域结合数字技术开展各种业务,如互联网广告代理服务、数字转型(DX)支持和教育事业。
部署的背景和挑战
婚礼公园公司面临着加强用于内部运营的多个云服务的安全性以及密码管理复杂性的挑战。 为解决这些问题,该公司引入了 ID 管理服务,并将其整合为一个具有单点登录功能的云服务入口。
部署 FIDO 身份验证的动力来自于用于客户管理、订单和供应系统以及考勤管理身份验证的 Salesforce 宣布必须使用多因素身份验证(MFA)。 但是,如果只在 Salesforce 中使用 MFA,而其他云服务继续使用密码验证,不仅用户的可用性会下降,IT 管理部门的工作也会变得更加复杂。 此外,由于纯密码验证存在漏洞,公司决定根据其在 2020 年 2 月推广零信任安全的政策,在包括 Salesforce 在内的所有云服务中应用 MFA。
选择和验证验证器
作为 MFA 的认证方法,该公司考虑过使用智能手机应用程序进行一次性密码认证(OTP)和生物识别认证,但最终决定使用 FIDO 部署无密码认证,因为它具有提高安全性和用户便利性的独特能力。
要使用 FIDO 实现无密码身份验证,需要配备与 FIDO 兼容的生物识别身份验证设备的终端。 目前市场上的大多数设备都支持 FIDO 身份验证,而且除了少数员工外,所有内部设备都已配备 Windows Hello 和 Touch ID,这为 FIDO 的采用提供了支持。 对于一些使用未配备生物识别功能设备的员工,则安装了单独的外部验证器。
各部门的逐步转换
在对身份验证器进行检查后,2022 年 1 月在全公司范围内部署无密码身份验证的政策正式启动。 过渡工作于同年 2 月至 3 月进行,之所以能在短短一个月内顺利实施,得益于以部门为单位的实施工作和 IT 管理部门的大力支持。 在实施过程中,该公司要求国际系统研究公司(ISR)的 CloudGate UNO 提供支持,因为该平台支持使用 FIDO2 进行无密码身份验证,以及使用智能手机 APP 进行生物识别身份验证,该公司自 2012 年以来一直在使用该平台。
公司内部的系统引进工作从开发部门开始,逐步推进到员工人数较多的部门。 首先,在各部门的例会上,公司传达了引入该系统的目的,以及 “部署该系统将使日常认证更加方便 “的好处,并获得了全公司的理解。 以部门为单位引进该系统的好处是,不仅限制了 IT 管理部门需要同时面对的人员数量,而且由于该系统是从 IT 技能较高的开发部门开始引进的,因此可以积累测试用例的 QA 并顺利维护手册。
由于信息技术管理部门的密切跟进,不仅准备了材料,还根据需要在管理员网站上查看进展情况,并个别接触尚未注册认证人员的员工,该公司得以在目标期限内在全公司范围内实施该系统。
引进的影响
过去每月因密码输入错误而导致的登录错误次数约为 200 次,自从部署了 FIDO 身份验证系统后,这种错误次数已降至零。 许多员工表示,该系统变得非常方便,消除了因忘记密码或输入错误而导致的身份验证失败。 此外,定期重置密码的请求也减少了,从而减少了管理员的工时。
无密码身份验证很流畅,身份验证状态保留时间也缩短了,进一步提高了安全性,但此后系统运行一直没有出现问题。
Wedding Park 的未来愿景是将公司内部使用的所有云服务连接到 “CloudGate UNO”,并通过 “CloudGate UNO “对其进行集中管理,包括身份验证。
公司信息技术办公室总经理 Akira Nishi 就本案例研究与我们进行了交流,并发表了以下评论。
“对于那些正在考虑部署新的身份验证方法的人来说,难免会担心身份验证方法的改变会导致大规模的登录失败。 就我们而言,在项目初期,我们为各部门召开了说明会,并反复刷新说明材料和程序,有效地减少了公司内部的混乱和焦虑。
“切换之后,我们继续检查实施进度,并逐一跟进各部门的情况,但一旦在公司内部统一使用 passkey(设备绑定密码),我们就会感觉到包括各种安全措施在内的使用范围正在急剧扩大”。
