统一身份安全管理体系的业务协同能力

随着集团企业数字化组织转型深化，各组织机构间业务协同程度提升。研发业务协同、数据驱动生产决策等数字化生产协作工作体系得以展开，企业内数据流转加快。企业对统一身份安全管理体系的业务协同管理和支撑能力要求提升：

1. 统一身份管理流程需要响应用户业务变化，对多维组织用户的身份集中自动治理能力能自动匹配外部系统的业务变化需求；
2. 具备业权一体化管理能力，能够集中管理应用内部细粒度权限，并具备与业务使用需求和管理需求相适应的权限管理机制；
3. 完善零信任用户接入能力架构，建立组织间认证互信能力机制，满足用户从集团内外任意网络位置，进行安全、高效的集团各组织机构业务应用访问需求；
4. 身份管理体系规范化，完善企业身份管理制度规范、制定身份管理标准模型、形成身份数据传输统一标准，提升业务管理支撑效能，规避身份运营风险；

此能力建设阶段，芯盾时代帮助集团企业提升业务协同能力，在IAM平台基础上,扩展统一应用权限管理系统（UAP）,和网络接入认证系统(NAA)；扩展零信任SDP对组织的部署和保护范围；提供企业数据采集安全、传输安全保护能力；提供身份咨询和设计服务。

身份管理体系在此阶段进一步完善统一身份治理范围。拉通身份管理与业务管理流程，应用账号、细粒度权限管理全生命周期自动响应业务变化需求。为用户提供泛网络、跨组织机构的业务安全协同访问服务。规范企业身份管理体系标准，提升管理效能。体系内各系统以EIAM为统一身份能力基座，协同运转：

IAM是统一身份源、和多因素认证主体，为UAP和NAA同步供应多维数字组织用户身份信息。提供统一的多因素认证服务能力供NAA系统调用。

业务和身份咨询服务，根据企业业务情况和身份管理制度，制定并完善身份治理和审计体系规范。设计应用权限标准化授权流程模型。并规范和约束EIAM用户身份治理工作，及UAP用户细粒度权限自动化授权标准化运作。

SDP为集团各机构统一用户跨网络访问安全入口。并在用户介入后，对用户业务访问行为，提供实时安全防控能力；

数据安全能力体系为企业数据进行盘点和分级分类，在此基础上，对海外机构用户身份统一管控，提供用户数据采集和跨境传输所需的安全合规咨询和审核。

集团企业IT系统方面，此阶段需要海外机构用户身份源完成数据同步改造，与集团IAM系统完成用户数据的同步对接；各组织机构认证系统与集团EIAM完成认证互信对接改造；企业OA/BPM审批流完成改造适配，以打通和集团IAM、UAP的用户账号、应用权限审批流程的双向调用；各业务应用完成内部权限模型治理调整、和UAP的权限数据同步接口开发对接；局域网络设备完成用户接入认证协议的配置调整，与NAA打通认证调用流程。

全生命周期身份自动治理能力 

IAM在已完成的集团企业统一身份治理能力基础上，升级全生命周期身份自动治理能力。通过拉通企业OA/BPM审批流，获取业务对人员账号的变动需求。并通过应用账号控制策略，自动变更用户的应用账号状态和属性，完成向应用的用户账号自动。快速响应人员业务变化需求。

集团企业用户的全生命周期身份和账号管理，通过HR系统为人员创建身份并在IAM创建账号后，由于业务的协同需求，存在业务账号需要开通、关闭的情况。由于人事管理流程相对较长，所以HR下游的各IT系统无法实时获取人员账号变动信息，业务快速协同需求受到制约。

企业用户通过OA/BPM对业务账号变更需求进行申请和审批，审批通过后由IT管理员手动调整用户账号配置，但这样无法实现账号的统一配置管理，增加配置工作量和配置风险。

IAM同时拉通HR系统和OA/BPM系统，整合人事管理流程和业务申请流程。接收人员账号变更审批结果，自动对应配置并集中实现对应用自动同步，实现对人员全生命周期身份账号变更自动响应业务需求，提升业务协同效率。