客户案例丨芯盾时代助力某大型央企信息化建设，破解大型企业身份管理难题-电子发烧友网

央企是国民经济发展的“顶梁柱”和“压舱石”，央企的信息化建设关系着我国数字经济发展的大局，对其它国企、民营企业有着重要的引领示范作用，堪称企业数字化转型的“样板间”。央企多层级、多分支、多人员的组织架构，为企业的信息化建设提出了更高的要求。如何打破总部与分支的信息壁垒，实现业务信息一体化？如何借助信息化建设提升管理能力，提升总部对分支的管控水平？如何整合利用现有IT资源，减少建设成本……面对这些问题，某大型央企（以下简称“C央企”）选择以“统一身份管理平台”为破局利器。

案例背景

C央企是所在行业的标杆性企业，组织与业务具有“三多一跨”的特点。多分支：企业拥有多家上市公司、100余家二级控股公司，分支机构地域分布、职能分工、股权架构复杂；多层级：企业层级按照“三级法人，四级管理”原则建设，组织层级多且下属企业变化频繁；多人员：员工数量达百万级规模，由于业务特点员工流动频繁；跨国经营：企业业务遍及全球，拥有数十家境外子公司。C央企近年来积极推动数字化转型，制定了集团层面的数字化转型战略，各二级公司、三级公司积极落实集团战略，建了各自的业务应用体系。随着业务应用规模的持续扩张，C央企在信息化建设中遇见了以下问题：1.身份数据不标准，影响集团信息化建设C央企建设了主数据管理系统（MDM），统一管理全集团的员工身份数据。但是此系统一则无法对员工身份进行治理，形成标准化的身份数据，二则无法与业务应用对接，统一管理集团总部各业务应用的账号和权限。这导致C央企难以建立规范化的业务应用管理体系，不利于集团整体的信息化建设。2.身份信息不互认，难以实现业务一体化C央企的二级公司、三级公司普遍建立了各自的身份管理系统，身份数据来源不一，管理能力各异。在管理层面，各个子公司形成了信息孤岛，不利于集团与子公司的业务信息一体化；在操作层面，总部、子公司员工需要先后登录两套IAM，才能访问对方的业务应用，不但影响员工操作体验，还增加账号泄露的风险。3.身份认证不统一，办公运维效率需提升C央企总部的业务应用持续增加，原有的应用门户能力有限，不支持多因素认证和单点登录，无法提供统一管理后台，导致运维人员无法统一管理多个业务应用访问权限、统一审计应用访问日志，影响了办公、运维的工作效率。为解决以上问题，C央企决定建立统一身份管理平台，并基于平台实现与子公司身份管理系统的跨域互信互认，打造覆盖全集团的统一认证体系。考虑集团组织和业务“三多一跨”的特点，C央企对统一身份管理平台提出了“高可用、高扩展、强合规”的需求：平台具备高性能，能支撑百万级并发；具备高扩展性，能够管理更多员工、接入更多应用，支撑集团的长期信息化建设需求；满足合规要求，通过网络安全等级保护测评，并能够支持后续信创建设。

方案设计

芯盾时代根据C央企的网络架构和身份建设需求，为其设计了统一用户认证体系，利用用户身份与访问管理平台（IAM）为其建立了统一身份管理平台，实现集团IAM与分公司IAM的跨域互认互信。方案功能与设计如下：1.用户授权管理中心：配置“谁”访问“哪个系统”与集团主数据管理系统（MDM）对接，对系统中的身份数据进行治理，形成标准化的身份数据，为全集团提供唯一的身份源；通过IAM标准数据接口，与子公司的IAM对接，实现员工身份的跨域互认互信。2.身份认证管理中心：执行“谁”访问“哪个系统”对接用户授权中心，与用户授权管理中心的统一应用门户单点登录互信互认，为集团总部提供应用访问统一认证、访问控制管理、统一安全审计管理等功能。

客户价值

方案部署完成后，C央企构建了覆盖全集团的统一用户认证体系，实现集团总部IAM与子公司IAM的跨域互信互认，身份管理能力跨越式提升。1.构建统一身份认证体系，夯实信息化建设基石使用IAM对集团身份数据进行统一治理后，C央企构建了标准化、唯一化的身份数据源，并通过IAM标准接口，实现了与子公司IAM的跨域互信互认，建立了覆盖全集团的统一身份认证体系，制定了统一的架构设计、技术标准、集成流程与规范。在这一体系支撑下，集团总部与子公司采用同一身份源访问业务应用，打破“信息孤岛”，实现业务信息一体化，为集团的长期信息化建设奠定了基石。2.提高业务运转效率，为优化管理提供支撑C央企总部IAM与子公司IAM完成跨域互信互认后，总部员工、子公司员工只需登录自身的IAM就能访问对方的业务应用，实现了覆盖全集团的“一次认证、全网通行、全面可信”。统一的管理口径为管理决策提供有力的支持，更通畅的业务访问提升了集团的业务运转效率，C央企能够借此优化管理决策，简化业务流程，持续提高客户服务效率。3.实现统一认证管理，办公、运维更便捷借助统一身份认证平台，C央企的总部用户可以在统一应用门户中自主选择认证方式，通过单点登录直接进入有访问权限的业务应用。运维人员可以自动创建、回收应用账号，对账号实施分级管控，通过对高权限账号、敏感账号实施高强度二次认证，保证业务被安全访问。平台的统一审计管理能力，让运维人员能够审计全局的访问行为，对风险访问的追踪溯源能力得到了提升。4.身份入口安全可靠，满足高标准合规需求为了保证平台的可用性，芯盾时代采用了服务器集群的部署方式，通过负载均衡保证响应速度，应对高并发流量冲击。芯盾时代IAM的微服务架构天然具备高扩展性，能够支撑C央企后续的人员扩充需求与业务应用对接需求。统一身份管理平台建成后，顺利通过了网络安全等级保护三级测评，满足了严格的合规要求，并凭借具备完全自主知识产权的优势为后续信创建设奠定了良好基础。

芯盾视点

大型企业的信息化建设是长期持续的系统化工程。在建设过程中，既要充分兼容现有IT架构，避免重复建设，还有充分考虑系统的可用性和扩展性，为后续建设打好基础。C央企的统一身份管理平台建设，不但满足了以上来两方面的需求，还为多层级、多分支的大型企业的信息化建设提供了可供参考的案例。

往期 · 推荐

中国日报社×芯盾时代丨以“身份安全”为基石，助力国家级媒体信息化建设

重庆银行×芯盾时代丨统一身份管理，建设标准化业务安全体系

实践案例丨政务系统如何“零信任”？某党政机关给出标准答案

杭州银行×芯盾时代丨夯实移动终端安全基座助力金融机构业务安全建设

原文标题：客户案例丨芯盾时代助力某大型央企信息化建设，破解大型企业身份管理难题

文章出处：【微信公众号：芯盾时代】欢迎添加关注！文章转载请注明出处。

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

芯盾时代

芯盾时代

+关注

关注
0

文章
327

浏览量
2510

原文标题：客户案例丨芯盾时代助力某大型央企信息化建设，破解大型企业身份管理难题

文章出处：【微信号：trusfort，微信公众号：芯盾时代】欢迎添加关注！文章转载请注明出处。

搜索历史

客户案例丨芯盾时代助力某大型央企信息化建设，破解大型企业身份管理难题

评论