在企業數字化轉型的進程中，“身份”作為聯通物理世界和數字世界的橋梁，重要性日益凸顯。如果對數字身份的管理能力不足，不但增加員工的負擔，影響業務運轉，還有可能帶來網絡安全隱患，威脅企業的業務安全。在此背景下，建設適應新網絡環境、新業務模式的身份管理體系，并與原有網絡架構、業務應用充分融合，成為了企業數字化轉型的必修課。

關于寧波金融資管

寧波金融資產管理股份有限公司（以下簡稱“寧波金融資管”）成立于2017年2月，是經寧波市人民政府批準設立，由中國銀監會核準公告，開展轄內金融企業不良資產批量收購處置業務的地方資產管理公司。目前，公司的經營版圖以寧波為中心，輻射長三角、珠三角，在福州、南京、廣州等地設立辦事處。

項目背景

作為重要的地方資產管理公司（AMC），寧波金融資管以“服務于區域金融風險化解、服務于困境企業幫助扶持、服務于實體經濟轉型升級”為使命，穩步推進信息化建設，取得了良好的效果。但隨著業務應用持續增加，一系列身份管理難題隨之而來。

1.身份信息不統一，帶來管理難題

寧波金融資管建立了OA、財務管理系統、數據分析系統、生態圈系統等多個業務應用。這些應用由不同的廠商承建，系統架構不一，擁有不同的身份管理模塊。這導致寧波金融資管的IT系統中存在多個身份源，員工的身份信息不互通、不互認，形成了一個個管理孤島，無法實現對各個業務應用身份認證、訪問權限、審計日志的統一管理，既推高了運營成本、增加了IT運維的工作量，也無法讓身份信息貫穿業務訪問全流程，讓信息流、數據流在IT系統中高效流轉。

2.多套賬號密碼，員工操作不便

由于業務應用眾多，寧波金融資管的員工需要安裝多個客戶端、記錄多個應用的網址，并使用不同的賬號密碼，單獨登錄各個應用。這既影響了員工的操作體驗，也容易促使員工為不同的賬號設置相同的密碼，造成安全隱患。

3.身份認證不安全，威脅業務安全

寧波金融資管的業務應用多采用賬號+密碼的認證方式，無法針對不同的登錄場景實施動態認證，也無法根據風險信息自適應調整訪問權限。

方案設計

芯盾時代根據寧波金融資管的實際需求，基于自主研發的用戶身份與訪問管理平臺（IAM）為其建立統一身份認證平臺，實現對身份信息、身份認證、訪問權限、審計日志的統一管理。 方案功能與設計如下：

1.用戶身份與訪問管理平臺（IAM）：利用IAM對寧波金融資管的身份數據進行統一治理，以OA為權威的身份數據源；IAM統一納管所有業務應用的身份管理，向各個應用同步身份信息，進而實現實現各個業務應用的統一認證管理、統一權限管理和統一審計管理；

2.認證認證SDK：在移動辦公App中集成身份認證SDK，實現全局多因素認證。

客戶價值

統一身份認證平臺建成后，寧波金融資管建立了一站式、標準化、全功能的身份管理體系，身份安全水平大幅提升，員工的操作體驗更佳，取得了良好的應用效果。

1.統一員工身份，實現標準化管理

借助統一身份管理平臺，寧波金融資管整合了系統內零散的身份數據，為每一個登錄業務應用的人員創建唯一的可信數字身份，形成了權威的組織用戶體系，建立了用戶、權限、應用賬號自動化流轉機制，運維人員能夠一站式完成賬號的創建和注銷、認證策略的設定、訪問權限的調整、安全日志的審計，身份管理能力顯著提升。 芯盾時代為寧波金融資管編制了標準的接口規范，便于后續建設的業務應用持續接入身份認證平臺，為信息化建設提供長久的支撐。

2.簡化員工操作，消除安全隱患

芯盾時代為寧波金融資管建設了統一應用用戶，員工只需登錄門戶，就能借助單點登錄功能直接訪問自身權限內的應用，實現“一次認證，全網通行”。管理員可以按照應用的重要程度設置不同的認證策略，對訪問重要應用的員工進行二次認證，實現應用分類、分級管理，兼顧應用安全與使用體驗。

3.實施多因素認證，提升身份安全

寧波金融資管的移動辦公App集成身份認證SDK后，具備了多因素認證能力，運維人員可以根據應用的重要等級、員工訪問行為風險情況，實施分級認證策略，通過動態口令、指紋識別、人臉識別、App掃碼等認證方式提升安全認證級別，進一步保證身份認證的安全性，避免身份泄露帶來的安全風險。

芯盾視點

隨著數字化轉型的深入，越來越多的企業開始部署IAM。IAM不但能夠為企業把好網絡入門關，提升身份認證的安全性，更能夠從用戶接入企業網絡的第一刻起就監測用戶的每一次操作行為，強化網絡安全防線，為數字化轉型構筑安全基石。芯盾時代在IAM市場的占有率穩居前列，產品與服務久經考驗，是企業建設身份管理體系的理想選擇。

審核編輯：劉清