對(duì)于多分支、多層級(jí)、多人員的大型企業(yè)而言，員工的“身份管理”很容易成為一筆“糊涂賬”。在組織層面，每一次組織架構(gòu)調(diào)整、并購(gòu)重組、開(kāi)設(shè)分支機(jī)構(gòu)，都會(huì)造成人員信息與組織架構(gòu)的變動(dòng)。在IT層面，不同時(shí)期建設(shè)的業(yè)務(wù)應(yīng)用架構(gòu)各異，身份管理能力參差不齊，形成一個(gè)個(gè)“身份孤島”。當(dāng)組織變動(dòng)與IT建設(shè)相互交織，企業(yè)的身份信息越發(fā)混亂，不但造成了巨大的安全隱患，更阻礙了企業(yè)的數(shù)字化轉(zhuǎn)型進(jìn)程。

面對(duì)這一挑戰(zhàn)，北京能源集團(tuán)有限責(zé)任公司（簡(jiǎn)稱(chēng)“京能集團(tuán)”）攜手芯盾時(shí)代，通過(guò)建設(shè)統(tǒng)一身份認(rèn)證系統(tǒng)，重構(gòu)全集團(tuán)的身份管理體系，為后續(xù)數(shù)字化建設(shè)奠定了堅(jiān)實(shí)的“數(shù)字底座”。

關(guān)于京能集團(tuán)

北京能源集團(tuán)有限責(zé)任公司是北京市人民政府出資設(shè)立的國(guó)有獨(dú)資公司，肩負(fù)著保障首都北京能源安全可靠供應(yīng)的重任。京能集團(tuán)成立于2004年，經(jīng)過(guò)多年的發(fā)展與資源整合，京能集團(tuán)已從單一的能源產(chǎn)業(yè)，發(fā)展為熱力、電力、煤炭、健康文旅等多業(yè)態(tài)產(chǎn)業(yè)格局。

截至2024年底，京能集團(tuán)資產(chǎn)規(guī)模達(dá)4934億元，擁有全資及控股企業(yè)860余家，員工總數(shù)超過(guò)3.4萬(wàn)人，投資區(qū)域遍布全國(guó)33個(gè)省市區(qū)以及海外。2024年，京能集團(tuán)在中國(guó)企業(yè)500強(qiáng)中排名第247位，在中國(guó)服務(wù)企業(yè)500強(qiáng)中位列第87位。

為響應(yīng)時(shí)代號(hào)召，京能集團(tuán)提出了構(gòu)建全方位、多角度的“數(shù)字京能”建設(shè)目標(biāo)，“數(shù)字底座”建設(shè)正是這一宏偉藍(lán)圖的基礎(chǔ)工程。

項(xiàng)目背景

作為歷經(jīng)多次合并重組、組織與業(yè)務(wù)快速擴(kuò)張的企業(yè)，京能集團(tuán)在“身份管理”上面臨“分散、不全、不準(zhǔn)”三大挑戰(zhàn)：

1.員工身份分散管理，形成“身份孤島”

隨著京能集團(tuán)信息化建設(shè)不斷加速，業(yè)務(wù)應(yīng)用持續(xù)增加，用戶(hù)數(shù)量快速增長(zhǎng)。由于各個(gè)應(yīng)用之間的身份信息不互通互信，IT系統(tǒng)內(nèi)形成了一個(gè)個(gè)“信息孤島”。京能集團(tuán)迫切希望改變多個(gè)身份源并存的局面，建立唯一的、權(quán)威的身份數(shù)據(jù)源，并映射到所有業(yè)務(wù)應(yīng)用中，從而實(shí)現(xiàn)全局身份信息的統(tǒng)一管理。

2.部分員工信息缺失，管理體系不盡完善

在京能集團(tuán)高速擴(kuò)張和并購(gòu)重組的過(guò)程中，員工信息、組織架構(gòu)不斷調(diào)整，出現(xiàn)了部分員工信息、外部人員未能全部錄入主數(shù)據(jù)系統(tǒng)的問(wèn)題。京能集團(tuán)希望能夠?qū)⑺袉T工都納入身份管理體系之內(nèi)，做到“員工信息無(wú)遺漏，線上線下一盤(pán)棋”。

3.身份信息不夠準(zhǔn)確，“僵尸賬號(hào)”亟需清理

由于缺乏統(tǒng)一的管理制度、管理工具和數(shù)據(jù)標(biāo)準(zhǔn)，京能集團(tuán)各個(gè)業(yè)務(wù)應(yīng)用中身份信息的準(zhǔn)確性難以保證。比如員工更改手機(jī)號(hào)、郵箱等身份信息后未全局同步，導(dǎo)致不同應(yīng)用中的身份信息“互相打架”。更嚴(yán)峻的是，業(yè)務(wù)應(yīng)用中存在未及時(shí)注銷(xiāo)或被長(zhǎng)期遺漏的“僵尸賬號(hào)”，造成了嚴(yán)重的安全隱患。

方案設(shè)計(jì)

芯盾時(shí)代根據(jù)京能集團(tuán)的網(wǎng)絡(luò)架構(gòu)和身份管理需求，結(jié)合豐富的央國(guó)企身份安全項(xiàng)目經(jīng)驗(yàn)，基于自主研發(fā)的用戶(hù)身份與訪問(wèn)管理平臺(tái)（IAM）,為其建立了統(tǒng)一身份認(rèn)證系統(tǒng)，幫助其重構(gòu)身份管理體系這一重要的“數(shù)字底座”。方案功能與實(shí)施計(jì)劃如下：

建設(shè)統(tǒng)一身份認(rèn)證系統(tǒng)：基于芯盾時(shí)代IAM，建立包含用戶(hù)管理中心、權(quán)限管理中心、認(rèn)證管理中心、審計(jì)監(jiān)控中心的統(tǒng)一身份認(rèn)證系統(tǒng)，實(shí)現(xiàn)對(duì)身份、認(rèn)證、權(quán)限、日志的統(tǒng)一管理，并制定集團(tuán)統(tǒng)一身份認(rèn)證管理制度和技術(shù)標(biāo)準(zhǔn)。

實(shí)施全局身份治理：將統(tǒng)一身份認(rèn)證系統(tǒng)與主數(shù)據(jù)系統(tǒng)、OA系統(tǒng)等身份源對(duì)接，對(duì)員工身份數(shù)據(jù)進(jìn)行統(tǒng)一治理，形成標(biāo)準(zhǔn)化的身份數(shù)據(jù)，為業(yè)務(wù)應(yīng)用提供權(quán)威的身份數(shù)據(jù)。

對(duì)接辦公平臺(tái)與業(yè)務(wù)應(yīng)用：將統(tǒng)一身份認(rèn)證系統(tǒng)與京能集團(tuán)線上辦公平臺(tái)“智匯京能”對(duì)接，通過(guò)標(biāo)準(zhǔn)認(rèn)證協(xié)議，實(shí)現(xiàn)下游業(yè)務(wù)應(yīng)用的單點(diǎn)登錄；同時(shí)，將認(rèn)證系統(tǒng)與業(yè)務(wù)應(yīng)用對(duì)接，將身份信息、認(rèn)證信息同步到業(yè)務(wù)應(yīng)用中。

客戶(hù)價(jià)值

統(tǒng)一身份認(rèn)證系統(tǒng)投入使用后，京能集團(tuán)構(gòu)建了覆蓋全局的身份管理體系，實(shí)現(xiàn)了身份信息、身份認(rèn)證、訪問(wèn)權(quán)限、審計(jì)日志的統(tǒng)一管理，身份安全水平跨越式提升。

1.厘清員工身份信息，徹底消除“身份”孤島

使用IAM對(duì)集團(tuán)身份數(shù)據(jù)進(jìn)行統(tǒng)一治理后，京能集團(tuán)構(gòu)建了標(biāo)準(zhǔn)化、唯一化的身份數(shù)據(jù)源，為3萬(wàn)余名員工生成了唯一可信的數(shù)字身份，形成了權(quán)威的組織用戶(hù)體系。現(xiàn)在，京能集團(tuán)不但將所有員工納入新的身份管理體系，還統(tǒng)一了身份數(shù)據(jù)的字段，全面更新了員工的個(gè)人信息，徹底告別身份信息“互相打架”的局面。

將統(tǒng)一身份認(rèn)證系統(tǒng)與所有業(yè)務(wù)應(yīng)用對(duì)接后，身份信息和組織信息能快速同步到所有業(yè)務(wù)應(yīng)用，實(shí)現(xiàn)了身份信息自動(dòng)化流轉(zhuǎn)，從而消除“信息孤島”，讓“身份”貫穿每一次業(yè)務(wù)訪問(wèn)。當(dāng)員工入職、轉(zhuǎn)崗、調(diào)動(dòng)、離職時(shí)，管理人員能夠快速開(kāi)通、注銷(xiāo)賬號(hào)，調(diào)整訪問(wèn)權(quán)限，將身份管理能力提升至“分鐘級(jí)”，做到“人走號(hào)銷(xiāo)，權(quán)隨崗動(dòng)”，消除崗位變動(dòng)與權(quán)限變動(dòng)之間的時(shí)間差。

2.業(yè)務(wù)應(yīng)用單點(diǎn)登錄，安全效率得以兼顧

憑借豐富的項(xiàng)目經(jīng)驗(yàn)，芯盾時(shí)代順利完成了統(tǒng)一身份認(rèn)證系統(tǒng)與“智匯京能”的對(duì)接。借助標(biāo)準(zhǔn)認(rèn)證協(xié)議，統(tǒng)一身份認(rèn)證系統(tǒng)能夠?qū)ⅰ爸菂R京能”的認(rèn)證結(jié)果同步至所有業(yè)務(wù)應(yīng)用。此外，統(tǒng)一身份認(rèn)證系統(tǒng)還支持重點(diǎn)業(yè)務(wù)應(yīng)用的二次認(rèn)證，為核心業(yè)務(wù)、機(jī)密數(shù)據(jù)再加一把“安全鎖”。

將認(rèn)證系統(tǒng)與“智匯京能”深度整合后，員工可以在“智匯京能”中直接訪問(wèn)權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，也可以在統(tǒng)一門(mén)戶(hù)中使用“智匯京能”完成認(rèn)證，實(shí)現(xiàn)“一次認(rèn)證，全網(wǎng)通行”，操作體驗(yàn)更佳。

3.建立“三級(jí)三員”體系，身份管理“軟硬一體”

芯盾時(shí)代根據(jù)京能集團(tuán)的組織架構(gòu)，幫助其確定了總部、二級(jí)單位、三級(jí)單位的管理層級(jí)，明確了系統(tǒng)管理員、安全保密員和安全審計(jì)員的管理職責(zé)，形成了“三級(jí)三員”的管理架構(gòu)，將身份信息的管理責(zé)任落實(shí)到人，消除管理盲區(qū)。

芯盾時(shí)代還為京能集團(tuán)制定了《統(tǒng)一身份認(rèn)證管理辦法》，撰寫(xiě)了《統(tǒng)一身份認(rèn)證系統(tǒng)集成文檔》等技術(shù)文檔、管理制度和培訓(xùn)文件，幫助京能集團(tuán)完成了對(duì)各級(jí)管理員的培訓(xùn)，確保統(tǒng)一身份認(rèn)證系統(tǒng)充分發(fā)揮效能，最終實(shí)現(xiàn)組織管理與IT管理的精準(zhǔn)對(duì)齊。

芯盾視點(diǎn)

用戶(hù)身份與訪問(wèn)管理平臺(tái)（IAM）是企業(yè)IT系統(tǒng)的核心基礎(chǔ)設(shè)施。建設(shè)IAM平臺(tái)從來(lái)不是一個(gè)單純的IT項(xiàng)目，更是一個(gè)企業(yè)清除身份管理積弊、全面升級(jí)身份管理體系的寶貴機(jī)會(huì)。京能集團(tuán)通過(guò)此次體系化的改造，掃除了數(shù)字化轉(zhuǎn)型道路上的“身份管理”障礙，為“數(shù)字京能”戰(zhàn)略奠定了堅(jiān)如磐石的“數(shù)字底座”。