CAY 的 LDAP/RADIUS 與入職自動化

客戶背景

• 2019Q1，CAY 團隊必須自行建立所有 IT/MIS 制度才能支撐後續擴編。
• 內部採用不到 10 顆 UniFi AP 的辦公室網路，需要更細緻的 VLAN/RADIUS 權限控管。
• HR 與 BO 團隊在大規模招募前就希望入職流程能標準化，包含帳號、設備採購與門禁卡製作。

原始情境與痛點

1. Wi-Fi 只靠共用密碼：無法分流 VLAN，也無從追蹤是誰連上了網路。
2. 帳號管理無自助介面：IT 必須手動建立、停用與重設密碼，容易塞車。
3. 擴編時流程失控：HR/用人主管需要逐案確認設備與帳號需求，常出現漏填或忘了開票的狀況。
4. 門禁與識別證延遲：照片、白卡滾碼、卡貼設計都要等新人成為正式員工後才有人處理，導致第一天無法通行。

面臨的挑戰

• 在僅有 UniFi + RADIUS 的環境下，快速讓 Wi-Fi 權限與帳號資訊互通。
• 缺乏授權完善的備份工具，只能善用手邊資源確保 RADIUS VM 可被快速還原。
• 讓 HR、BO、IT、設計部門在新人尚未報到前就取得同一份資料，避免反覆確認。
• 需要量化 SLA：無論何時入職，只要硬體到貨就必須在一週內完成帳號、設備、門禁與密碼交付。

解法與執行

1. 內部自助式 LDAP/RADIUS 平台

• 由行雲資訊團隊先以 Python 實作 LDAP + RADIUS web 介面，提供：
  • 使用者可自助修改密碼、啟用/停用帳號、重設密碼。
  • IT 能透過介面快速編輯 VLAN、群組與姓名/email 等欄位。
• UniFi 控制器依 RADIUS 回傳的 VLAN 屬性派送權限，移除共用密碼問題。
• RADIUS VM 先跑在 ESXi，再搬到 PVE，透過手邊既有的備份工具與 PVE 內建排程各自備份到 NAS，確保可以快速還原。
• 後續行雲資訊將同一概念產品化（以 Golang 重製），並在其他客戶如 TTW/TGW 導入。

2. Google Form + Golang 串接 HR/BO/IT/設計

• HR 寄出 offer 的同時提供可預填欄位的 Google Form，蒐集：設備規格、帳號/部門、到職日、聯絡資訊、照片、自我介紹。
• 表單送出後自動：
  1. 寄信提醒 IT 與 HR 主管，啟動帳號準備與審核。
  2. 將照片與自介同步給各部門主管、設計部，預排 onboarding 與門禁卡卡貼印製。
• BO 依通知直接開立採購，不需要用人主管另外提 ticket；如需加購 Google Workspace 授權，IT 會即時通知 HR/BO 與經銷商。
• IT 端流程：
  1. 以 Golang 工具建立 LDAP + Google Workspace 帳號並套印 PDF 密碼通知函。
  2. 完成白卡滾碼、在員工資料表紀錄卡號並設定門禁權限。
  3. 將密碼函、白卡與卡貼交給 HR 主管，入職時即可一次發放。

執行成果

• 網路權限分層：Wi-Fi 連線依帳號載入 VLAN/ACL，追蹤與控管比僅靠密碼安全許多。
• IT 工時下降：由 IT 集中使用介面批次啟停帳號與調整 VLAN，從手動輸入轉為流程化，只需處理例外與審核。
• 入職準備縮短為一週內：從收到 HR 通知起，最晚在第三個工作天就能完成設備採購、財產標籤與帳號/門禁設定；即使遇到設備延後，也能在一週內完成交付，不再拖延入職體驗。
• 門禁/識別證同步就緒：設計部提前拿到照片製作卡貼，IT 也能在報到當天交付滾碼完成的白卡與密碼函。