管理，應該是一個熵減的過程。管理的使命是讓企業內部的生產力，甲乙丙多方的生產關系，遍布全球的生產資料能有序高效的運行。企業越來越多的使用第三方能力，比如，人力，財務，物流等等。買方往往會得到某個SaaS系統的賬號。這些三方系統要融入企業現有的管理體系經常充滿挑戰。像IAM等認證授權系統的對接，審計粒度等。這些要求會讓它們游離于體系之外，它們是無序的離散的。這帶來了混亂，讓系統熵增。

應該通過管理手段讓他們變得有序，這需要工具。

1. 痛點

1.1.  互聯網企業：不想把密碼告訴別人但總是有臨時授權的需求

眾所周知，有些系統的賬號是要法人注冊的，小公司無所謂，一個老板仨員工，誰干都一樣。而公司做大做強以后，各部門都很健全了，還讓老板動手就挺尷尬。我有一個朋友小王，他是市場部總監，電商的賬號在老板那里。有一天，老板對他說：“小王，你處理一下電商的那個投訴，我把登錄的賬號密碼給你，你不要告訴其他人。”

小王總監說：“好的，老板，我親自處理。”

從這個場景中我們可以感受到老板挺別扭，王總監也挺為難。對老板來說只要把賬號密碼給出去，就已經“泄露”了。而王總監本來可以把具體的工作安排給其他人做，但為保守秘密，只能自己做。

1.2.  政府單位和國企：因案授權缺乏工具，行為審計粒度不足

政府單位和國企購買的第三方服務賬號有限，在系統內也是因案授權按需使用。這些系統根據業務的敏感度，管理員設置了不同的訪問方式，有的可以直接訪問，有的需要安裝特定的VPN，有的還需要VPN+IP綁定。登錄方式除了最常見的賬號密碼，手機短信，掃碼之外，還有Ukey證書，生物信息登錄等等。沒有賬號共享工具會影響辦案辦事效率。同時，在體系內把三方賬號因案再授權時，對成員的使用行為缺乏細粒度的審計。

1.3.  外貿物流：每次分享完賬號，就改一次密碼

外貿物流企業日常訂艙會經常訪問五個網站，每個網站都有一個企業主體的賬號，有幾個員工專門負責。雖是專人專崗但有時也會需要臨時把賬號給其他人用，用完后老板都會手工改一下密碼。不過依賴人工的都不太可靠，有時會忘記改，老板就會比較擔心會不會有不專業的人士誤操作。他的擔心是有道理的，這些系統是企業的生命線，容不得有閃失。

從上面的幾個案例中我們總結了賬號資產管理的幾個痛點。

1、  缺乏使用審計（誤操作無法追溯）

2、  非授權使用（用戶二次傳播賬號密碼）

3、  缺乏管理流程（人員變動賬號沒有回收）

4、  工作效能低（使用條件苛刻，VPN和IP綁定，使用Ukey等）

2. 貝銳洋蔥頭是賬號管理工具

2.1.  系統架構

企業需要一套內部的賬號資產管理系統，用于規范企業內成員對各平臺賬號的使用。貝銳洋蔥頭提供了一個解決方案。它基于C/S架構，客戶端是一個企業瀏覽器，服務器可以私有化部署也可以使用貝銳的SaaS服務。

2.2.  設計原則

基于4A原則（Account、Authentication、Authorization、Audit），成員執行登錄操作，認證成功后獲得相應的授權，授權包括他可以使用哪些第三方系統的賬號。成員在使用這些賬號訪問對應的網站應用時， 他的訪問行為會被審計。

2.2.1.  賬號

對接組織現有的賬號管理體系，如企業微信，釘釘，飛書，OpenLDAP, AD域等，洋蔥頭也支持格爾等政府單位常用的PKI系統。無論是將目錄服務中的組織架構動態同步到洋蔥頭管理后臺，還是半同步半手工建立組織架構，洋蔥頭SaaS版和私有化版均可以支持。

2.2.2. 認證

支持傳統的賬號密碼認證，短信，掃碼，OTP，OAuth2.0, SAML等常見的認證方式。

2.2.3.  授權

管理員在服務器端配置策略，下發給洋蔥頭執行。策略的下發對象是“用戶” ，策略下發給用戶A，可以理解為是對A的授權。當用戶A登錄洋蔥頭時，即獲得相應的授權。

2.2.4.  審計

作為一套完整的toB系統，審計是必不可少的。在對用戶授權之后， 用戶訪問業務網站時的操作會被審計。審計的粒度包括PUT, POST等請求明文，當用戶有鼠標點擊動作時還會進行截圖存檔。洋蔥頭的審計行為是明確的告知用戶的，僅限于指定網站。用戶在其他網站上的操作不會被審計。

2.3.  洋蔥頭的核心功能

洋蔥頭企業賬號資產管理系統有以下核心功能。

2.3.1.  強審計

審計是企業管理閉環中不可或缺的環節，傳統上企業會使用上網行為管理或終端安全管理產品。但隨著TLS/SSL應用層加密的普及，端側和網絡設備已經很難審計到業務內容了。洋蔥頭在審計方面具有特殊的優勢，它是瀏覽器，所有內容在瀏覽器呈現出來之后都是明文的。洋蔥頭可以對用戶訪問網站的行為進行細粒度的審計，包括PUT, POST, GET, HEAD等請求的明文，洋蔥頭還可以在用戶點擊鼠標時對屏幕進行截圖。

審計策略是管理員下發的只能針對具體的業務網站，用戶側可以清晰的看到自己在訪問哪些網站時被審計，當用戶沒有使用洋蔥頭時，或訪問的是個人網站時，審計策略不會生效。這個特性在強審計之外有效保護了用戶的隱私，避免功能被濫用。

2.3.2.    賬號代填

企業購買的第三方系統大多需要通過瀏覽器訪問，它們大多是web服務。通常，人們在訪問這些第三方系統的網站時需要手工填寫賬號密碼（這個賬號即是本文所說的“賬號資產”）。使用洋蔥頭后，管理員在控制臺下發策略，將訪問第三方系統“W”的賬號授權給用戶A。當用戶A登錄洋蔥頭訪問“W”時將不再需要手工填寫賬號密碼，洋蔥頭會幫用戶代填，這個過程是由洋蔥頭根據策略自動執行的，洋蔥頭在代填密碼時還會把密碼遮罩起來，避免密碼被用戶A獲得。用戶不知道密碼，也就不會泄露密碼。同時，密碼由管理員統一管理，也可以保證密碼強度，密碼定期更新等管理制度的執行。

2.3.3.  登錄憑證分發

用戶使用普通瀏覽器登錄第三方系統的網站后，瀏覽器會在cookie，LocalStorage等位置存儲token、用戶id、設備ID等一系列登錄憑證。管理員在使用洋蔥頭第一次登錄成功后，洋蔥頭會把這些登錄憑證上傳到服務器。管理員在控制臺通過策略把這些登錄憑證授權給企業內部成員。當成員登錄洋蔥頭時，洋蔥頭會根據策略將登錄憑證同步到本地，用戶訪問第三方系統網站時自動處于登錄狀態。

2.3.4.  Ukey映射

一些第三方系統的網站在登錄時需要使用Ukey， 賬號是存儲在Ukey中的。這種情況下賬號代填功能無效。 同時，由于第三方系統的網站會通過瀏覽器檢測本地的Ukey設備，即使遠端的洋蔥頭瀏覽器獲得了cookie等登錄憑證，由于遠端沒有接入Ukey，也依然無法訪問第三方系統的網站。洋蔥頭通過USB-over-IP技術，將本地的Ukey映射到遠端洋蔥頭設備中，實現Ukey遠程接入。這樣，Ukey在物理上只需要接入一臺設備，即可以遠程授權給多臺設備使用。

3. 洋蔥頭的價值

注：需要部署洋蔥頭私有化版本，使用時請遵守各平臺協議。

在數字化、云化加速的今天，企業賬號已不僅僅是一個登錄入口，而是關乎業務安全、運營效率與合規責任的核心資產。

從賬密管理到特權賬號管控，從權限授權到因案/因事授權、一事一授，管理的本質，就是將分散無序的賬號資源納入有序可控的體系中，實現從“熵增”到“熵減”的轉變。

貝銳洋蔥頭，正是幫助企業構建這一秩序的關鍵工具。

它用精細化的權限控制、可追溯的行為審計、安全可控的賬號共享，讓每一次訪問都有章可循，讓每一個授權都有跡可查。當賬號管理不再是隱患，而是生產力的一部分，企業才能真正釋放數字化協作的潛能。