邮件认证：也许是最适合中小企业的认证方式

　　除了餐饮业务，常驻3W咖啡北京店的其他业务群组的网络应用模型相对统一，其需求基本等同于中小互联网企业。其特点是麻雀虽小五脏俱全，无论在安全、管理还是其它什么方面，都与咖啡馆有着很大的不同。孵化器平台比较特殊，每半年算一期，每期大约十几个团队，再加上3W旗下的3个业务群，等于一张物理网络要为小二十个不同的业务实体服务，管理运维方面的压力可想而知。

　　把问题简化来看，管理的基础还是身份认证和网络准入，只有精确定位到团队和个人身份，才能制定有效的访问控制策略。微信是不行了，开放的办公环境和较高的人员流动率又决定了无法使用Port VLAN等传统方式对不同人员/团队进行区分，技术上趋近完美的802.1x和PPPoE又因为体验不好很难被大家接受。本地认证或者搞个LDAP?还让不让人活了!

　　就在一筹莫展的时刻，网康的工程师强烈建议我试用ICG中的邮件认证功能，据说是最适合这种场景的一种认证方式。它的逻辑是推送Web认证页给未经认证的终端，让用户输入自己的企业邮箱账户及密码;拿到账户密码后，ICG会以邮件客户端的角色去邮件服务器进行验证，再根据登录结果确定认证是否成功。实际测试证明网康的工程师并没有吹牛，我甚至认为邮件认证是目前最适合中小企业的一种认证方式。

　　简而言之，邮件认证有三个明显特点令我印象深刻。首先是部署简单，如果要问中国中小企业IT系统里哪个部署最多、包含身份信息最齐全，那必须是邮件系统。ICG打通了和邮件系统的关系，意味着IT人员不必再费劲为了认证弄一套身份数据库，再说库多了保持同步更新也是个麻烦事。其次，邮件认证的基础是Web认证，这也是普及程度最高的一种认证方式，基本所有人都会用，不像802.1x之类那么生僻。Web页面又可以针对不同大小的屏幕做适配，交互体验能够保证(至少网康ICG提供的模版还行，更有追求的用户也可以自己设计认证页面)。最后也是最关键的，部署邮件认证非但不会给IT来带额外的工作量，反而会减轻负担，因为IT人员要做的就是一次性配置。这一切都是因为中小企业邮件系统的账户更新往往不是由IT人员而是由行政人员来负责的，一般在IT人员得知来了新同事或和老同事吃散伙饭之前，行政人员就已经做完了开/关邮箱的操作。有了这样一个长期助力，IT人员真的可以高枕无忧了。

　　如果只是为了认证，通过企业邮件系统可能是最完美的方式。但之前也说了，认证的目的是做网络准入，此时邮件系统维度单一、无组织架构信息的弊端就显露出来。缺少了组织架构信息，单纯针对每个用户设定访问控制策略只是理论可行，实际中毫无操作性可言。不过在测试中也发现，某些企业邮箱提供商已经给出了自己的解决方案，比如3W使用的腾讯企业邮箱就在后台支持包括组织架构在内的诸多设定，同时提供了名为OpenAPI的接口，可以将这些信息吐给第三方系统。网康的工程师经过评估，确认该信息可以同步到ICG，从而支持部门/工作组为单位的访问控制策略设定，再次降低了中小企业的使用门槛。