案例背景
C央企是所在行業(yè)的標桿性企業(yè),組織與業(yè)務具有“三多一跨”的特點。多分支:企業(yè)擁有多家上市公司、100余家二級控股公司,分支機構地域分布、職能分工、股權架構復雜;多層級:企業(yè)層級按照“三級法人,四級管理”原則建設,組織層級多且下屬企業(yè)變化頻繁;多人員:員工數(shù)量達百萬級規(guī)模,由于業(yè)務特點員工流動頻繁;跨國經(jīng)營:企業(yè)業(yè)務遍及全球,擁有數(shù)十家境外子公司。C央企近年來積極推動數(shù)字化轉(zhuǎn)型,制定了集團層面的數(shù)字化轉(zhuǎn)型戰(zhàn)略,各二級公司、三級公司積極落實集團戰(zhàn)略,建了各自的業(yè)務應用體系。隨著業(yè)務應用規(guī)模的持續(xù)擴張,C央企在信息化建設中遇見了以下問題:1.身份數(shù)據(jù)不標準,影響集團信息化建設C央企建設了主數(shù)據(jù)管理系統(tǒng)(MDM),統(tǒng)一管理全集團的員工身份數(shù)據(jù)。但是此系統(tǒng)一則無法對員工身份進行治理,形成標準化的身份數(shù)據(jù),二則無法與業(yè)務應用對接,統(tǒng)一管理集團總部各業(yè)務應用的賬號和權限。這導致C央企難以建立規(guī)范化的業(yè)務應用管理體系,不利于集團整體的信息化建設。2.身份信息不互認,難以實現(xiàn)業(yè)務一體化C央企的二級公司、三級公司普遍建立了各自的身份管理系統(tǒng),身份數(shù)據(jù)來源不一,管理能力各異。在管理層面,各個子公司形成了信息孤島,不利于集團與子公司的業(yè)務信息一體化;在操作層面,總部、子公司員工需要先后登錄兩套IAM,才能訪問對方的業(yè)務應用,不但影響員工操作體驗,還增加賬號泄露的風險。3.身份認證不統(tǒng)一,辦公運維效率需提升C央企總部的業(yè)務應用持續(xù)增加,原有的應用門戶能力有限,不支持多因素認證和單點登錄,無法提供統(tǒng)一管理后臺,導致運維人員無法統(tǒng)一管理多個業(yè)務應用訪問權限、統(tǒng)一審計應用訪問日志,影響了辦公、運維的工作效率。為解決以上問題,C央企決定建立統(tǒng)一身份管理平臺,并基于平臺實現(xiàn)與子公司身份管理系統(tǒng)的跨域互信互認,打造覆蓋全集團的統(tǒng)一認證體系??紤]集團組織和業(yè)務“三多一跨”的特點,C央企對統(tǒng)一身份管理平臺提出了“高可用、高擴展、強合規(guī)”的需求:平臺具備高性能,能支撐百萬級并發(fā);具備高擴展性,能夠管理更多員工、接入更多應用,支撐集團的長期信息化建設需求;滿足合規(guī)要求,通過網(wǎng)絡安全等級保護測評,并能夠支持后續(xù)信創(chuàng)建設。方案設計
芯盾時代根據(jù)C央企的網(wǎng)絡架構和身份建設需求,為其設計了統(tǒng)一用戶認證體系,利用用戶身份與訪問管理平臺(IAM)為其建立了統(tǒng)一身份管理平臺,實現(xiàn)集團IAM與分公司IAM的跨域互認互信。方案功能與設計如下:1.用戶授權管理中心:配置“誰”訪問“哪個系統(tǒng)”與集團主數(shù)據(jù)管理系統(tǒng)(MDM)對接,對系統(tǒng)中的身份數(shù)據(jù)進行治理,形成標準化的身份數(shù)據(jù),為全集團提供唯一的身份源;通過IAM標準數(shù)據(jù)接口,與子公司的IAM對接,實現(xiàn)員工身份的跨域互認互信。2.身份認證管理中心:執(zhí)行“誰”訪問“哪個系統(tǒng)”對接用戶授權中心,與用戶授權管理中心的統(tǒng)一應用門戶單點登錄互信互認,為集團總部提供應用訪問統(tǒng)一認證、訪問控制管理、統(tǒng)一安全審計管理等功能。客戶價值
方案部署完成后,C央企構建了覆蓋全集團的統(tǒng)一用戶認證體系,實現(xiàn)集團總部IAM與子公司IAM的跨域互信互認,身份管理能力跨越式提升。1.構建統(tǒng)一身份認證體系,夯實信息化建設基石使用IAM對集團身份數(shù)據(jù)進行統(tǒng)一治理后,C央企構建了標準化、唯一化的身份數(shù)據(jù)源,并通過IAM標準接口,實現(xiàn)了與子公司IAM的跨域互信互認,建立了覆蓋全集團的統(tǒng)一身份認證體系,制定了統(tǒng)一的架構設計、技術標準、集成流程與規(guī)范。在這一體系支撐下,集團總部與子公司采用同一身份源訪問業(yè)務應用,打破“信息孤島”,實現(xiàn)業(yè)務信息一體化,為集團的長期信息化建設奠定了基石。2.提高業(yè)務運轉(zhuǎn)效率,為優(yōu)化管理提供支撐C央企總部IAM與子公司IAM完成跨域互信互認后,總部員工、子公司員工只需登錄自身的IAM就能訪問對方的業(yè)務應用,實現(xiàn)了覆蓋全集團的“一次認證、全網(wǎng)通行、全面可信”。統(tǒng)一的管理口徑為管理決策提供有力的支持,更通暢的業(yè)務訪問提升了集團的業(yè)務運轉(zhuǎn)效率,C央企能夠借此優(yōu)化管理決策,簡化業(yè)務流程,持續(xù)提高客戶服務效率。3.實現(xiàn)統(tǒng)一認證管理,辦公、運維更便捷借助統(tǒng)一身份認證平臺,C央企的總部用戶可以在統(tǒng)一應用門戶中自主選擇認證方式,通過單點登錄直接進入有訪問權限的業(yè)務應用。運維人員可以自動創(chuàng)建、回收應用賬號,對賬號實施分級管控,通過對高權限賬號、敏感賬號實施高強度二次認證,保證業(yè)務被安全訪問。平臺的統(tǒng)一審計管理能力,讓運維人員能夠?qū)徲嬋值脑L問行為,對風險訪問的追蹤溯源能力得到了提升。4.身份入口安全可靠,滿足高標準合規(guī)需求為了保證平臺的可用性,芯盾時代采用了服務器集群的部署方式,通過負載均衡保證響應速度,應對高并發(fā)流量沖擊。芯盾時代IAM的微服務架構天然具備高擴展性,能夠支撐C央企后續(xù)的人員擴充需求與業(yè)務應用對接需求。統(tǒng)一身份管理平臺建成后,順利通過了網(wǎng)絡安全等級保護三級測評,滿足了嚴格的合規(guī)要求,并憑借具備完全自主知識產(chǎn)權的優(yōu)勢為后續(xù)信創(chuàng)建設奠定了良好基礎。芯盾視點
大型企業(yè)的信息化建設是長期持續(xù)的系統(tǒng)化工程。在建設過程中,既要充分兼容現(xiàn)有IT架構,避免重復建設,還有充分考慮系統(tǒng)的可用性和擴展性,為后續(xù)建設打好基礎。C央企的統(tǒng)一身份管理平臺建設,不但滿足了以上來兩方面的需求,還為多層級、多分支的大型企業(yè)的信息化建設提供了可供參考的案例。往期 · 推薦
中國日報社×芯盾時代丨以“身份安全”為基石,助力國家級媒體信息化建設
重慶銀行×芯盾時代丨統(tǒng)一身份管理,建設標準化業(yè)務安全體系
實踐案例丨政務系統(tǒng)如何“零信任”?某黨政機關給出標準答案
杭州銀行×芯盾時代丨夯實移動終端安全基座 助力金融機構業(yè)務安全建設
原文標題:客戶案例丨芯盾時代助力某大型央企信息化建設,破解大型企業(yè)身份管理難題
文章出處:【微信公眾號:芯盾時代】歡迎添加關注!文章轉(zhuǎn)載請注明出處。
-
芯盾時代
+關注
關注
0文章
180瀏覽量
1784
原文標題:客戶案例丨芯盾時代助力某大型央企信息化建設,破解大型企業(yè)身份管理難題
文章出處:【微信號:trusfort,微信公眾號:芯盾時代】歡迎添加關注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關推薦
評論