格力博与芯盾时代携手建设SSO单点登录系统，打破业务应用之间的壁垒

随着我国制造业数字化转型持续深入，身份安全的重要性日益凸显。企业一方面需要强化身份安全防线，保障数据安全和业务安全，一方面需要让身份信息贯穿业务访问全流程，打破数据孤岛，提升业务效率。但是，制造业的业务应用普遍垂直性强、通用性差，对身份认证协议的兼容程度参差不齐，给企业的身份安全建设带来了难题。

为了解决这一难题，“园林机械行业的特斯拉”格力博选择与芯盾时代携手，建设SSO单点登录系统，打破业务应用之间的壁垒，提升业务效率，助力企业的全球化发展。

关于格力博

格力博(江苏)股份有限公司（简称“格力博，”股票代码：301260）是全球新能源园林机械行业的领先企业之一，被誉为“园林机械行业的特斯拉”。格力博在全球拥有7000+员工，年销售额突破50亿元，旗下greenworks品牌割草机、吹风机等多款产品常年位于Amazon平台“Best Seller”（最畅销产品）之列。 格力博高度重视信息化建设，将数字技术与自身业务深度融合，持续提升研发、设计、生产、销售的数字化水平，推动了企业在全球的高速发展。

项目背景

随着业务的快速发展，格力博的信息化建设不断深入，引入了钉钉等业务应用提升办公效率，还建设了SAP、订单管理系统（OMS）、供应商管理系统（SRM）等应用，持续优化业务流程、提升业务效率。随着业务应用持续增加，一系列身份安全问题随之而来：

1.应用账户繁多，员工操作不便

由于每个业务应用都有各自的身份管理模块，身份信息互不想通，格力博的员工需要使用不同的账号登录不同的应用，操作体验不佳。为了简化操作，员工往往会为不同应用的账户设置同样的密码。一旦账户密码泄露，黑客就能在各个应用中畅通无阻。

2.管理后台分散，运维管理不便

由于身份信息不互通，运维人员需要通过分散的后台完成各个业务应用的账户创建、权限分配、日志审计等工作，不但工作量大，还容易造成孤儿账号、僵尸账号，带来安全隐患。

3.身份认证不统一，身份安全难以保证

由于各个业务应用的认证方式不同，格力博无法实现全局的多因素认证和强制定期改密。

方案设计

针对格力博的需求，芯盾时代基于自主研发的用户身份与访问管理平台（IAM）,为其建立了SSO单点登录系统。方案功能与设计如下：

1.统一业务应用身份信息：SSO单点登录系统向上对接HR系统，以HR系统中的身份信息为权威数据源；向下对接各个业务应用，接管各个应用的身份管理模块，实现统一的身份认证、权限管理和审计管理。

2.建立统一应用门户，实现单点登录：建立统一应用门户，将所有业务应用的入口集成到门户之中，借助单点登录功能，让员工一站式登录权限内的业务应用。

3.对接钉钉App：将登录系统与钉钉对接，基于钉钉App实现扫码登录。

客户价值

SSO单点登录系统投入使用后，格力博构建了统一、规范、高效的员工身份信息管理体系，不但提升了身份安全水平，简化了员工操作，还为后续的数字化转型打好了基础：

1.夯实身份安全基座，助力数字化转型

借助SSO单点登录系统，格力博以HR系统中的身份信息为权威身份源，统一了各业务应用中的员工身份信息和组织架构信息，建立了用户、权限、应用账号自动化流转机制，全面提升了身份管理水平，实现了基于身份的业务应用标准化管理。 芯盾时代还为格力博制定了标准化的接口文档和应用对接规范，便于后续建设的应用对SSO单点登录系统对接，为后续的业务拓展提供保障。

2.一次认证，全网通行，提升员工操作体验

凭借强大的研发能力、丰富的项目经验，芯盾时代IAM支持CAS、Oauth、Saml等身份认证协议。对于不支持标准协议的应用，也能够通过密码代填的方式进行对接，实现业务应用的单点登录。 借助统一应用门户后和单点登录功能，格力博的员工能够在门户内访问自身权限内的应用，一次认证、全网通行，操作效率显著提升。

3.丰富认证策略，身份认证便捷又安全

将钉钉与SSO单点登录系统对接后，格力博的员工可以自由选择钉钉App扫码和账号密码两种认证方式，兼顾便捷与安全。由于实现了身份信息的统一管理，格力博可以通过限制密码长度、字符来提升密码强度，并实施定期改密，彻底消除弱密码。

芯盾视点

对于制造业企业而言，数字化转型是个长期的过程。身份安全凭借其在信息化建设中的基础性地位，将贯穿数字化转型的全过程，是制造企业数字化转型的重要保障。制造业企业应尽早建设用户身份与访问管理平台，为信息化建设打好地基、搭好框架，让数字化转型更加安全、更有效率。

审核编辑：刘清