隨著我國(guó)制造業(yè)數(shù)字化轉(zhuǎn)型持續(xù)深入，身份安全的重要性日益凸顯。企業(yè)一方面需要強(qiáng)化身份安全防線，保障數(shù)據(jù)安全和業(yè)務(wù)安全，一方面需要讓身份信息貫穿業(yè)務(wù)訪問全流程，打破數(shù)據(jù)孤島，提升業(yè)務(wù)效率。但是，制造業(yè)的業(yè)務(wù)應(yīng)用普遍垂直性強(qiáng)、通用性差，對(duì)身份認(rèn)證協(xié)議的兼容程度參差不齊，給企業(yè)的身份安全建設(shè)帶來了難題。

為了解決這一難題，“園林機(jī)械行業(yè)的特斯拉”格力博選擇與芯盾時(shí)代攜手，建設(shè)SSO單點(diǎn)登錄系統(tǒng)，打破業(yè)務(wù)應(yīng)用之間的壁壘，提升業(yè)務(wù)效率，助力企業(yè)的全球化發(fā)展。

關(guān)于格力博

格力博(江蘇)股份有限公司（簡(jiǎn)稱“格力博，”股票代碼：301260）是全球新能源園林機(jī)械行業(yè)的領(lǐng)先企業(yè)之一，被譽(yù)為“園林機(jī)械行業(yè)的特斯拉”。格力博在全球擁有7000+員工，年銷售額突破50億元，旗下greenworks品牌割草機(jī)、吹風(fēng)機(jī)等多款產(chǎn)品常年位于Amazon平臺(tái)“Best Seller”（最暢銷產(chǎn)品）之列。 格力博高度重視信息化建設(shè)，將數(shù)字技術(shù)與自身業(yè)務(wù)深度融合，持續(xù)提升研發(fā)、設(shè)計(jì)、生產(chǎn)、銷售的數(shù)字化水平，推動(dòng)了企業(yè)在全球的高速發(fā)展。

項(xiàng)目背景

隨著業(yè)務(wù)的快速發(fā)展，格力博的信息化建設(shè)不斷深入，引入了釘釘?shù)葮I(yè)務(wù)應(yīng)用提升辦公效率，還建設(shè)了SAP、訂單管理系統(tǒng)（OMS）、供應(yīng)商管理系統(tǒng)（SRM）等應(yīng)用，持續(xù)優(yōu)化業(yè)務(wù)流程、提升業(yè)務(wù)效率。隨著業(yè)務(wù)應(yīng)用持續(xù)增加，一系列身份安全問題隨之而來：

1.應(yīng)用賬戶繁多，員工操作不便

由于每個(gè)業(yè)務(wù)應(yīng)用都有各自的身份管理模塊，身份信息互不想通，格力博的員工需要使用不同的賬號(hào)登錄不同的應(yīng)用，操作體驗(yàn)不佳。為了簡(jiǎn)化操作，員工往往會(huì)為不同應(yīng)用的賬戶設(shè)置同樣的密碼。一旦賬戶密碼泄露，黑客就能在各個(gè)應(yīng)用中暢通無阻。

2.管理后臺(tái)分散，運(yùn)維管理不便

由于身份信息不互通，運(yùn)維人員需要通過分散的后臺(tái)完成各個(gè)業(yè)務(wù)應(yīng)用的賬戶創(chuàng)建、權(quán)限分配、日志審計(jì)等工作，不但工作量大，還容易造成孤兒賬號(hào)、僵尸賬號(hào)，帶來安全隱患。

3.身份認(rèn)證不統(tǒng)一，身份安全難以保證

由于各個(gè)業(yè)務(wù)應(yīng)用的認(rèn)證方式不同，格力博無法實(shí)現(xiàn)全局的多因素認(rèn)證和強(qiáng)制定期改密。

方案設(shè)計(jì)

針對(duì)格力博的需求，芯盾時(shí)代基于自主研發(fā)的用戶身份與訪問管理平臺(tái)（IAM）,為其建立了SSO單點(diǎn)登錄系統(tǒng)。方案功能與設(shè)計(jì)如下：

1.統(tǒng)一業(yè)務(wù)應(yīng)用身份信息：SSO單點(diǎn)登錄系統(tǒng)向上對(duì)接HR系統(tǒng)，以HR系統(tǒng)中的身份信息為權(quán)威數(shù)據(jù)源；向下對(duì)接各個(gè)業(yè)務(wù)應(yīng)用，接管各個(gè)應(yīng)用的身份管理模塊，實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證、權(quán)限管理和審計(jì)管理。

2.建立統(tǒng)一應(yīng)用門戶，實(shí)現(xiàn)單點(diǎn)登錄：建立統(tǒng)一應(yīng)用門戶，將所有業(yè)務(wù)應(yīng)用的入口集成到門戶之中，借助單點(diǎn)登錄功能，讓員工一站式登錄權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用。

3.對(duì)接釘釘App：將登錄系統(tǒng)與釘釘對(duì)接，基于釘釘App實(shí)現(xiàn)掃碼登錄。

客戶價(jià)值

SSO單點(diǎn)登錄系統(tǒng)投入使用后，格力博構(gòu)建了統(tǒng)一、規(guī)范、高效的員工身份信息管理體系，不但提升了身份安全水平，簡(jiǎn)化了員工操作，還為后續(xù)的數(shù)字化轉(zhuǎn)型打好了基礎(chǔ)：

1.夯實(shí)身份安全基座，助力數(shù)字化轉(zhuǎn)型

借助SSO單點(diǎn)登錄系統(tǒng)，格力博以HR系統(tǒng)中的身份信息為權(quán)威身份源，統(tǒng)一了各業(yè)務(wù)應(yīng)用中的員工身份信息和組織架構(gòu)信息，建立了用戶、權(quán)限、應(yīng)用賬號(hào)自動(dòng)化流轉(zhuǎn)機(jī)制，全面提升了身份管理水平，實(shí)現(xiàn)了基于身份的業(yè)務(wù)應(yīng)用標(biāo)準(zhǔn)化管理。 芯盾時(shí)代還為格力博制定了標(biāo)準(zhǔn)化的接口文檔和應(yīng)用對(duì)接規(guī)范，便于后續(xù)建設(shè)的應(yīng)用對(duì)SSO單點(diǎn)登錄系統(tǒng)對(duì)接，為后續(xù)的業(yè)務(wù)拓展提供保障。

2.一次認(rèn)證，全網(wǎng)通行，提升員工操作體驗(yàn)

憑借強(qiáng)大的研發(fā)能力、豐富的項(xiàng)目經(jīng)驗(yàn)，芯盾時(shí)代IAM支持CAS、Oauth、Saml等身份認(rèn)證協(xié)議。對(duì)于不支持標(biāo)準(zhǔn)協(xié)議的應(yīng)用，也能夠通過密碼代填的方式進(jìn)行對(duì)接，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用的單點(diǎn)登錄。 借助統(tǒng)一應(yīng)用門戶后和單點(diǎn)登錄功能，格力博的員工能夠在門戶內(nèi)訪問自身權(quán)限內(nèi)的應(yīng)用，一次認(rèn)證、全網(wǎng)通行，操作效率顯著提升。

3.豐富認(rèn)證策略，身份認(rèn)證便捷又安全

將釘釘與SSO單點(diǎn)登錄系統(tǒng)對(duì)接后，格力博的員工可以自由選擇釘釘App掃碼和賬號(hào)密碼兩種認(rèn)證方式，兼顧便捷與安全。由于實(shí)現(xiàn)了身份信息的統(tǒng)一管理，格力博可以通過限制密碼長(zhǎng)度、字符來提升密碼強(qiáng)度，并實(shí)施定期改密，徹底消除弱密碼。

芯盾視點(diǎn)

對(duì)于制造業(yè)企業(yè)而言，數(shù)字化轉(zhuǎn)型是個(gè)長(zhǎng)期的過程。身份安全憑借其在信息化建設(shè)中的基礎(chǔ)性地位，將貫穿數(shù)字化轉(zhuǎn)型的全過程，是制造企業(yè)數(shù)字化轉(zhuǎn)型的重要保障。制造業(yè)企業(yè)應(yīng)盡早建設(shè)用戶身份與訪問管理平臺(tái)，為信息化建設(shè)打好地基、搭好框架，讓數(shù)字化轉(zhuǎn)型更加安全、更有效率。

審核編輯：劉清