集团企业在身份基础能力建设阶段的统一身份安全管理体系

集团企业身份管理基础能力建设阶段，以满足集团内部用户安全合规的使用集团统建支撑业务为目标。为集团内部用户提供统一账号凭据的管理，并管理人员的应用访问权限，满足用户通过多因素安全认证、通过统一路径访问业务应用的需求。确保用户身份认证和业务权限管理满足等保合规要求。

此能力建设阶段，芯盾时代通过IAM系统的建设为集团企业运营提供统一账号管理能力、统一权限管理能力、统一访问认证能力，和统一风险分析与审计能力建设，并实现集团弹性可扩展的身份管理基座平台搭建。

此阶段集团企业的IT系统侧，需要HR/MDM完成用户数据同步对接工作；集团统建应用需要通过认证协议对接、认证插件集成等方式改造实现与IAM的SSO单点登录流程。

统一身份基座能力平台（IAM）建设

芯盾时代IAM系统作为企业身份管理中台，负责企业员工的身份与访问管理，主要功能包括员工身份管理、权限管理、安全认证、单点登录、行为审计等。通过整合企业身份数据源系统、汇总企业基础认证能力、拉通企业IT管理流程、对接应用系统实现员工业务应用场景的全方位身份管控。

芯盾时代IAM产品使用SpringCloud/SpringBoot微服务架构（兼容K8S服务治理），把产品划分为不同的微服务，各微服务独立部署，支持横向扩展、高可用、高并发。微服务架构的IAM作为集团企业统一身份基座，无缝对接芯盾时代零信任企业安全全域系统，实现多维组织身份、细粒度业务权限、身份综合分析能力、零信任安全接入边界服务的能力拉通，为企业按需打造体系化身份管理能力。

统一身份管理能力建设

本阶段为集团企业内部人员实现统一用户账号体系的管理。IAM系统平台拉通集团企业人事管理系统和IT管理系统，集中统一管理内部用户账号：

• IAM系统通过主数据系统建立与集团HR的组织、人员信息同步连接，自动同步内部用户身份，并自动为用户生成唯一账号。通过主数据系统将用户账号信息统一供应給集团各下游统建应用，实现集团内部用户全局统一账号。
• IAM系统能够根据人事系统用户身份信息和用户状态变动，自动实现对用户应用账号的创建、删除和账号属性信息的修改。并支持管理员在平台手动对用户身份信息和应用账号进行配置管理，以满足人员入转调离对应用账号集中管控。

统一访问权限管理能力建设

芯盾时代IAM系统集中管理内部人员对统建应用的访问权限，支持对人员根据身份属性自动化进行授权配置，也支持管理员人工授权操作调整权限：

• 系统的支持对用户访问权限的自动授权。通过对用户身份属性条件进行灵活分组，并通过分组授权策略，对组内用户配置应用授权策略关系。
• 用户根据身份属性被自动授予或收回各应用访问权限。并同步触发用户在各应用的账号管理流程，通过应用账号的供应，自动实现应用内用户拥有权限状态的同步控制和更新。
• 系统支持对应用存量账号权限进行导入同步，支持管理员人工配置调整特殊权限。
• IAM对用户访问权限的控制，在用户登录应用过程，通过应用鉴权约束实现。

统一访问认证能力建设

芯盾时代IAM系统在此阶段为集团企业提供用户安全、便捷的业务访问认证服务。保障用户使用一套身份凭据、一个入口路径访问拥有权限的集团团建应用。

统一认证服务通过解耦为用户移动多因素安全认证服务，和应用SSO鉴权服务前后两个服务流程，保证用户身份安全性和业务访问的便利性。

移动多因素安全认证能力，芯盾时代IAM的身份安全理念中，身份安全是一切业务安全的前提，保证用户本人对业务操作进行安全便捷的有效认证，是统一身份管理的基础能力要求。基于此芯盾时代提供移动多因素安全认证能力，由前端安全插件和后端认证调度服务组成。

• 前端安全插件通过内置设备指纹、SSE、移动环境监测安全能力保证用户本人通过安全绑定的个人设备，进行多因素认证；
• 后端认证调度服务能够集成企业内部认证源、外部认证源、芯盾安全认证增值服务，可提供扫码认证、一键登录认证、动态口令认证、短信认证、邮箱认证、内外部密码认证、临时授权码认证、AD域认证、SaaS办公应用认证（多码合一扫码认证、动态口令认证、消息认证）手机号认证、SIM卡认证、SIM盾认证，方便用户根据业务场景、安全需求、和使用习惯选择。

业务访问单点登录鉴权，芯盾时代为用户提供业务门户和SSO鉴权服务。

• 业务门户通过统一访问路径和应用分类管理能力，方便用户快速获取所需应用，提升业务访问效率；
• SSO鉴权能力满足用户通过统一用户凭据免密登录各业务应用。芯盾时代EIAM内置丰富的应用鉴权模板插件，满足企业应用通过Cas、Oauth、OIDC、SAML、JWT标准协议，和SDK、API、Demo方式，以及Basic代填、表单代填、JS脚本注入、API代填等密码代填方式实现SSO鉴权集成。

统一风险分析与审计能力建设

芯盾时代为集团企业提供全面化、体系化的身份安全合规能力保障。IAM统一审计能力由基于用户风险分析（UEBA）的风险引擎，结合账号/权限审计策略，实现实时风险分析与事后合规审计相结合，综合审计分析用户身份风险，保障企业数字化运营的全方位身份合规。

本阶段平台实现了集团用户的统一账号管理、统一访问权限管理，用户访问统建应用的统一认证服务。IAM对以上业务认证行为和身份管理操作发生的行为和数据，提供风险分析及合规管理：

• 用户设备风险审计，风险规则引擎对客户端安全组件采集的用户多维环境信息进行分析，发现终端调试行为、应用多开、攻击篡改、DNS劫持、域名欺诈、位置欺诈、加固包破解等等风险特征，并为用户登录认证提供针对性处置能力，起到事前风险防控效果；
• 用户登录风险审计，风险规则引擎基于用户多维身份风险规则，分析研判用户登录行为，从用户ID、用户设备唯一性、用户操作异常行为、用户操作频次等维度发现用户异常登录情况，并提供事中认证风控处置能力。
• 管理员操作风险审计，风险规则引擎基于管理员操作风险规则策略，实时研判管理员各类异常操作、违规授权风险行为，并提供管理员所有操作日志记录，便于事后审计。