京能集团携手芯盾时代重构身份管理体系

对于多分支、多层级、多人员的大型企业而言，员工的“身份管理”很容易成为一笔“糊涂账”。在组织层面，每一次组织架构调整、并购重组、开设分支机构，都会造成人员信息与组织架构的变动。在IT层面，不同时期建设的业务应用架构各异，身份管理能力参差不齐，形成一个个“身份孤岛”。当组织变动与IT建设相互交织，企业的身份信息越发混乱，不但造成了巨大的安全隐患，更阻碍了企业的数字化转型进程。

面对这一挑战，北京能源集团有限责任公司（简称“京能集团”）携手芯盾时代，通过建设统一身份认证系统，重构全集团的身份管理体系，为后续数字化建设奠定了坚实的“数字底座”。

关于京能集团

北京能源集团有限责任公司是北京市人民政府出资设立的国有独资公司，肩负着保障首都北京能源安全可靠供应的重任。京能集团成立于2004年，经过多年的发展与资源整合，京能集团已从单一的能源产业，发展为热力、电力、煤炭、健康文旅等多业态产业格局。

截至2024年底，京能集团资产规模达4934亿元，拥有全资及控股企业860余家，员工总数超过3.4万人，投资区域遍布全国33个省市区以及海外。2024年，京能集团在中国企业500强中排名第247位，在中国服务企业500强中位列第87位。

为响应时代号召，京能集团提出了构建全方位、多角度的“数字京能”建设目标，“数字底座”建设正是这一宏伟蓝图的基础工程。

项目背景

作为历经多次合并重组、组织与业务快速扩张的企业，京能集团在“身份管理”上面临“分散、不全、不准”三大挑战：

1.员工身份分散管理，形成“身份孤岛”

随着京能集团信息化建设不断加速，业务应用持续增加，用户数量快速增长。由于各个应用之间的身份信息不互通互信，IT系统内形成了一个个“信息孤岛”。京能集团迫切希望改变多个身份源并存的局面，建立唯一的、权威的身份数据源，并映射到所有业务应用中，从而实现全局身份信息的统一管理。

2.部分员工信息缺失，管理体系不尽完善

在京能集团高速扩张和并购重组的过程中，员工信息、组织架构不断调整，出现了部分员工信息、外部人员未能全部录入主数据系统的问题。京能集团希望能够将所有员工都纳入身份管理体系之内，做到“员工信息无遗漏，线上线下一盘棋”。

3.身份信息不够准确，“僵尸账号”亟需清理

由于缺乏统一的管理制度、管理工具和数据标准，京能集团各个业务应用中身份信息的准确性难以保证。比如员工更改手机号、邮箱等身份信息后未全局同步，导致不同应用中的身份信息“互相打架”。更严峻的是，业务应用中存在未及时注销或被长期遗漏的“僵尸账号”，造成了严重的安全隐患。

方案设计

芯盾时代根据京能集团的网络架构和身份管理需求，结合丰富的央国企身份安全项目经验，基于自主研发的用户身份与访问管理平台（IAM）,为其建立了统一身份认证系统，帮助其重构身份管理体系这一重要的“数字底座”。方案功能与实施计划如下：

建设统一身份认证系统：基于芯盾时代IAM，建立包含用户管理中心、权限管理中心、认证管理中心、审计监控中心的统一身份认证系统，实现对身份、认证、权限、日志的统一管理，并制定集团统一身份认证管理制度和技术标准。

实施全局身份治理：将统一身份认证系统与主数据系统、OA系统等身份源对接，对员工身份数据进行统一治理，形成标准化的身份数据，为业务应用提供权威的身份数据。

对接办公平台与业务应用：将统一身份认证系统与京能集团线上办公平台“智汇京能”对接，通过标准认证协议，实现下游业务应用的单点登录；同时，将认证系统与业务应用对接，将身份信息、认证信息同步到业务应用中。

客户价值

统一身份认证系统投入使用后，京能集团构建了覆盖全局的身份管理体系，实现了身份信息、身份认证、访问权限、审计日志的统一管理，身份安全水平跨越式提升。

1.厘清员工身份信息，彻底消除“身份”孤岛

使用IAM对集团身份数据进行统一治理后，京能集团构建了标准化、唯一化的身份数据源，为3万余名员工生成了唯一可信的数字身份，形成了权威的组织用户体系。现在，京能集团不但将所有员工纳入新的身份管理体系，还统一了身份数据的字段，全面更新了员工的个人信息，彻底告别身份信息“互相打架”的局面。

将统一身份认证系统与所有业务应用对接后，身份信息和组织信息能快速同步到所有业务应用，实现了身份信息自动化流转，从而消除“信息孤岛”，让“身份”贯穿每一次业务访问。当员工入职、转岗、调动、离职时，管理人员能够快速开通、注销账号，调整访问权限，将身份管理能力提升至“分钟级”，做到“人走号销，权随岗动”，消除岗位变动与权限变动之间的时间差。

2.业务应用单点登录，安全效率得以兼顾

凭借丰富的项目经验，芯盾时代顺利完成了统一身份认证系统与“智汇京能”的对接。借助标准认证协议，统一身份认证系统能够将“智汇京能”的认证结果同步至所有业务应用。此外，统一身份认证系统还支持重点业务应用的二次认证，为核心业务、机密数据再加一把“安全锁”。

将认证系统与“智汇京能”深度整合后，员工可以在“智汇京能”中直接访问权限内的业务应用，也可以在统一门户中使用“智汇京能”完成认证，实现“一次认证，全网通行”，操作体验更佳。

3.建立“三级三员”体系，身份管理“软硬一体”

芯盾时代根据京能集团的组织架构，帮助其确定了总部、二级单位、三级单位的管理层级，明确了系统管理员、安全保密员和安全审计员的管理职责，形成了“三级三员”的管理架构，将身份信息的管理责任落实到人，消除管理盲区。

芯盾时代还为京能集团制定了《统一身份认证管理办法》，撰写了《统一身份认证系统集成文档》等技术文档、管理制度和培训文件，帮助京能集团完成了对各级管理员的培训，确保统一身份认证系统充分发挥效能，最终实现组织管理与IT管理的精准对齐。

芯盾视点

用户身份与访问管理平台（IAM）是企业IT系统的核心基础设施。建设IAM平台从来不是一个单纯的IT项目，更是一个企业清除身份管理积弊、全面升级身份管理体系的宝贵机会。京能集团通过此次体系化的改造，扫除了数字化转型道路上的“身份管理”障碍，为“数字京能”战略奠定了坚如磐石的“数字底座”。