上讯信息SiCAP-IAM帮助企业构建数字化用户统一管理平台.docxVIP

上讯信息SiCAP-IAM帮助企业构建数字化用户统一管理平台 中赫集团有限公司（以下简称“中赫集团”）创立于2005年9月，致力于高端地产、商业开发、文化体育等产业，是一家综合物业开发及投资商。2018年5月，中赫集团又成为2022年北京冬奥会重点建设项目——崇礼太子城小镇的投资运营商。伴随着业务不断发展的步伐，配套的业务系统逐年增加，但由于这些系统内用户都自成体系，用户需要在不同系统中反复登录和操作才能获取全面信息，完成业务处理，而这些存在一定的不便性和安全隐患，例如：缺少账号统一管理，每个应用系统都有独立的账号管理，互不兼容；缺少权限统一管理，每个应用系统都有独立的权限管理，管理员无法准确了解每个用户在所有应用系统中的权限；缺少统一认证，每个应用系统都有自己的认证机制，认证手段单一，安全性不高；缺少集中审计分析，每个应用系统都有独立的审计管理，标准不统一，管理员无法对其进行综合分析，无法快速准确识别风险。此部分如果不得到有效治理，后期管理成本会成几何增加。而且近些年发布并执行的政策法规也要求企业加强此方面的管理。中赫集团基于现状问题，迫切需建设统一数字化用户管理平台，实现统一用户管理、统一身份认证、统一授权管理、统一单点登录，增加系统安全性，方便用户和工作人员日常使用和管理，并满足新政策法规监管要求。方案实施情况上讯信息对中赫集团的现状进行实地环境考察，并和客户进行充分沟通现状与痛点问题，最后基于上讯自研产品Infor Cube智能运维安全管理平台（Si CAP）中的用户统一身份认证管理（IAM）模块，结合客户的环境与需求进行有效适配，快速帮助客户构建统一的数字化用户管理平台。此项目部署如图1所示。方案效果整个项目分多期，第一期包含客户核心的业务应用系统，从前期方案沟通到实施落地耗时近半年，项目最终结果也超出客户预期，目前正在推动二期内容，如下：1. 构建一套完整的用户和组织机构。通过Si CAP产品打通客户HR系统和ESB总线，使整个企业维护一套用户和组织机构信息，然后与各业务应用系统进行下发同步，并保持一致。2. 完善和增强业务系统的数字化认证。企业所有业务应用系统的用户认证由Si CAP全权接管，Si CAP提供近20种认证方式，客户可灵活配置；其次，对于客户核心业务应用系统，采用双因素方式强化认证，例如微信扫描、人脸识别等。3. 业务应用系统细粒度全权限控制。Si CAP通过ESB总线收集所有业务应用系统角色、用户组等信息，配合用户、岗位和组织机构信息，因此可在Si CAP上直接对用户进行业务应用系统细粒度的权限分配和控制。4. 全面标准的用户认证管理对接规范。Si CAP用户统一认证管理模块采用全套IAM技术框架，针对业务应用系统提供多种对接方式，并在项目实施过程中逐步形成中赫集团的规范和标准。5. 通过流程和自动化技术驱动。Si CAP通过配备相关流程的各个环节，例如员工入职、权限申请、岗位调整、离职等，保证事务有效推进，并通过产品内置的自动化技术进行直接处理，例如账号创建、变更或删除，权限分配或调整，完全不用管理员介入处理。6. 用户账号实时监测与风险防护。Si CAP收集各个业务系统的访问日志，通过大数据分析和智能学习，对用户访问操作进行实时监测，快速有效防止异常访问、绕行访问和违规访问等风险。经验价值与创新点中赫集团Si CAP用户统一身份管理建设项目，打造统一的数字化用户管理平台，可对同类型企业进行复制并推广，如下：1.用户全生命周期细粒度管理完成各系统的账号信息整合，实现用户账号生命周期的集中统一管理，并建立与各应用系统的同步机制，简化用户及账号的管理复杂度，降低系统管理的安全风险。2.开放平台和丰富标准接口规范Si CAP采用微服务技术架构，并提供丰富对接的接口规范，方便应用、服务接入。3.用户权限和认证数字化统一管理整个平台打通了用户、角色、岗位、组织机构以及用户组等的访问控制技术，实现了支持多应用系统的集中、灵活的访问控制和授权管理功能；同时，平台还实现了多业务系统的统一认证，提供近20种认证，可灵活设置和使用。4.自主服务与自动化驱动全面推行Si CAP平台为了减少系统管理员参与，很多事物处理由用户通过自主服务的方式直接处理，例如，密码找回、自行解锁、权限申请、账号开通等，各自流程走完，相关的事务就自动化处理，提升效率，简化工作。最后，中赫集团Si CAP-IAM项目一期已经完成，目前已经进入第二期建设中。上讯信息会持续与客户保持沟通，把客户新需求和新内容尽快融入到用户统一认证管理平台中。编辑点评：上讯信息紧抓中赫集团当前业务系统安全现状与痛点，基于上讯自研产品In