對于多分支、多層級、多人員的大型企業(yè)而言，員工的“身份管理”很容易成為一筆“糊涂賬”。在組織層面，每一次組織架構(gòu)調(diào)整、并購重組、開設(shè)分支機構(gòu)，都會造成人員信息與組織架構(gòu)的變動。在IT層面，不同時期建設(shè)的業(yè)務(wù)應(yīng)用架構(gòu)各異，身份管理能力參差不齊，形成一個個“身份孤島”。當(dāng)組織變動與IT建設(shè)相互交織，企業(yè)的身份信息越發(fā)混亂，不但造成了巨大的安全隱患，更阻礙了企業(yè)的數(shù)字化轉(zhuǎn)型進程。

面對這一挑戰(zhàn)，北京能源集團有限責(zé)任公司（簡稱“京能集團”）攜手芯盾時代，通過建設(shè)統(tǒng)一身份認(rèn)證系統(tǒng)，重構(gòu)全集團的身份管理體系，為后續(xù)數(shù)字化建設(shè)奠定了堅實的“數(shù)字底座”。

關(guān)于京能集團

北京能源集團有限責(zé)任公司是北京市人民政府出資設(shè)立的國有獨資公司，肩負(fù)著保障首都北京能源安全可靠供應(yīng)的重任。京能集團成立于2004年，經(jīng)過多年的發(fā)展與資源整合，京能集團已從單一的能源產(chǎn)業(yè)，發(fā)展為熱力、電力、煤炭、健康文旅等多業(yè)態(tài)產(chǎn)業(yè)格局。

截至2024年底，京能集團資產(chǎn)規(guī)模達(dá)4934億元，擁有全資及控股企業(yè)860余家，員工總數(shù)超過3.4萬人，投資區(qū)域遍布全國33個省市區(qū)以及海外。2024年，京能集團在中國企業(yè)500強中排名第247位，在中國服務(wù)企業(yè)500強中位列第87位。

為響應(yīng)時代號召，京能集團提出了構(gòu)建全方位、多角度的“數(shù)字京能”建設(shè)目標(biāo)，“數(shù)字底座”建設(shè)正是這一宏偉藍(lán)圖的基礎(chǔ)工程。

項目背景

作為歷經(jīng)多次合并重組、組織與業(yè)務(wù)快速擴張的企業(yè)，京能集團在“身份管理”上面臨“分散、不全、不準(zhǔn)”三大挑戰(zhàn)：

1.員工身份分散管理，形成“身份孤島”

隨著京能集團信息化建設(shè)不斷加速，業(yè)務(wù)應(yīng)用持續(xù)增加，用戶數(shù)量快速增長。由于各個應(yīng)用之間的身份信息不互通互信，IT系統(tǒng)內(nèi)形成了一個個“信息孤島”。京能集團迫切希望改變多個身份源并存的局面，建立唯一的、權(quán)威的身份數(shù)據(jù)源，并映射到所有業(yè)務(wù)應(yīng)用中，從而實現(xiàn)全局身份信息的統(tǒng)一管理。

2.部分員工信息缺失，管理體系不盡完善

在京能集團高速擴張和并購重組的過程中，員工信息、組織架構(gòu)不斷調(diào)整，出現(xiàn)了部分員工信息、外部人員未能全部錄入主數(shù)據(jù)系統(tǒng)的問題。京能集團希望能夠?qū)⑺袉T工都納入身份管理體系之內(nèi)，做到“員工信息無遺漏，線上線下一盤棋”。

3.身份信息不夠準(zhǔn)確，“僵尸賬號”亟需清理

由于缺乏統(tǒng)一的管理制度、管理工具和數(shù)據(jù)標(biāo)準(zhǔn)，京能集團各個業(yè)務(wù)應(yīng)用中身份信息的準(zhǔn)確性難以保證。比如員工更改手機號、郵箱等身份信息后未全局同步，導(dǎo)致不同應(yīng)用中的身份信息“互相打架”。更嚴(yán)峻的是，業(yè)務(wù)應(yīng)用中存在未及時注銷或被長期遺漏的“僵尸賬號”，造成了嚴(yán)重的安全隱患。

方案設(shè)計

芯盾時代根據(jù)京能集團的網(wǎng)絡(luò)架構(gòu)和身份管理需求，結(jié)合豐富的央國企身份安全項目經(jīng)驗，基于自主研發(fā)的用戶身份與訪問管理平臺（IAM）,為其建立了統(tǒng)一身份認(rèn)證系統(tǒng)，幫助其重構(gòu)身份管理體系這一重要的“數(shù)字底座”。方案功能與實施計劃如下：

建設(shè)統(tǒng)一身份認(rèn)證系統(tǒng)：基于芯盾時代IAM，建立包含用戶管理中心、權(quán)限管理中心、認(rèn)證管理中心、審計監(jiān)控中心的統(tǒng)一身份認(rèn)證系統(tǒng)，實現(xiàn)對身份、認(rèn)證、權(quán)限、日志的統(tǒng)一管理，并制定集團統(tǒng)一身份認(rèn)證管理制度和技術(shù)標(biāo)準(zhǔn)。

實施全局身份治理：將統(tǒng)一身份認(rèn)證系統(tǒng)與主數(shù)據(jù)系統(tǒng)、OA系統(tǒng)等身份源對接，對員工身份數(shù)據(jù)進行統(tǒng)一治理，形成標(biāo)準(zhǔn)化的身份數(shù)據(jù)，為業(yè)務(wù)應(yīng)用提供權(quán)威的身份數(shù)據(jù)。

對接辦公平臺與業(yè)務(wù)應(yīng)用：將統(tǒng)一身份認(rèn)證系統(tǒng)與京能集團線上辦公平臺“智匯京能”對接，通過標(biāo)準(zhǔn)認(rèn)證協(xié)議，實現(xiàn)下游業(yè)務(wù)應(yīng)用的單點登錄；同時，將認(rèn)證系統(tǒng)與業(yè)務(wù)應(yīng)用對接，將身份信息、認(rèn)證信息同步到業(yè)務(wù)應(yīng)用中。

客戶價值

統(tǒng)一身份認(rèn)證系統(tǒng)投入使用后，京能集團構(gòu)建了覆蓋全局的身份管理體系，實現(xiàn)了身份信息、身份認(rèn)證、訪問權(quán)限、審計日志的統(tǒng)一管理，身份安全水平跨越式提升。

1.厘清員工身份信息，徹底消除“身份”孤島

使用IAM對集團身份數(shù)據(jù)進行統(tǒng)一治理后，京能集團構(gòu)建了標(biāo)準(zhǔn)化、唯一化的身份數(shù)據(jù)源，為3萬余名員工生成了唯一可信的數(shù)字身份，形成了權(quán)威的組織用戶體系。現(xiàn)在，京能集團不但將所有員工納入新的身份管理體系，還統(tǒng)一了身份數(shù)據(jù)的字段，全面更新了員工的個人信息，徹底告別身份信息“互相打架”的局面。

將統(tǒng)一身份認(rèn)證系統(tǒng)與所有業(yè)務(wù)應(yīng)用對接后，身份信息和組織信息能快速同步到所有業(yè)務(wù)應(yīng)用，實現(xiàn)了身份信息自動化流轉(zhuǎn)，從而消除“信息孤島”，讓“身份”貫穿每一次業(yè)務(wù)訪問。當(dāng)員工入職、轉(zhuǎn)崗、調(diào)動、離職時，管理人員能夠快速開通、注銷賬號，調(diào)整訪問權(quán)限，將身份管理能力提升至“分鐘級”，做到“人走號銷，權(quán)隨崗動”，消除崗位變動與權(quán)限變動之間的時間差。

2.業(yè)務(wù)應(yīng)用單點登錄，安全效率得以兼顧

憑借豐富的項目經(jīng)驗，芯盾時代順利完成了統(tǒng)一身份認(rèn)證系統(tǒng)與“智匯京能”的對接。借助標(biāo)準(zhǔn)認(rèn)證協(xié)議，統(tǒng)一身份認(rèn)證系統(tǒng)能夠?qū)ⅰ爸菂R京能”的認(rèn)證結(jié)果同步至所有業(yè)務(wù)應(yīng)用。此外，統(tǒng)一身份認(rèn)證系統(tǒng)還支持重點業(yè)務(wù)應(yīng)用的二次認(rèn)證，為核心業(yè)務(wù)、機密數(shù)據(jù)再加一把“安全鎖”。

將認(rèn)證系統(tǒng)與“智匯京能”深度整合后，員工可以在“智匯京能”中直接訪問權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用，也可以在統(tǒng)一門戶中使用“智匯京能”完成認(rèn)證，實現(xiàn)“一次認(rèn)證，全網(wǎng)通行”，操作體驗更佳。

3.建立“三級三員”體系，身份管理“軟硬一體”

芯盾時代根據(jù)京能集團的組織架構(gòu)，幫助其確定了總部、二級單位、三級單位的管理層級，明確了系統(tǒng)管理員、安全保密員和安全審計員的管理職責(zé)，形成了“三級三員”的管理架構(gòu)，將身份信息的管理責(zé)任落實到人，消除管理盲區(qū)。

芯盾時代還為京能集團制定了《統(tǒng)一身份認(rèn)證管理辦法》，撰寫了《統(tǒng)一身份認(rèn)證系統(tǒng)集成文檔》等技術(shù)文檔、管理制度和培訓(xùn)文件，幫助京能集團完成了對各級管理員的培訓(xùn)，確保統(tǒng)一身份認(rèn)證系統(tǒng)充分發(fā)揮效能，最終實現(xiàn)組織管理與IT管理的精準(zhǔn)對齊。

芯盾視點

用戶身份與訪問管理平臺（IAM）是企業(yè)IT系統(tǒng)的核心基礎(chǔ)設(shè)施。建設(shè)IAM平臺從來不是一個單純的IT項目，更是一個企業(yè)清除身份管理積弊、全面升級身份管理體系的寶貴機會。京能集團通過此次體系化的改造，掃除了數(shù)字化轉(zhuǎn)型道路上的“身份管理”障礙，為“數(shù)字京能”戰(zhàn)略奠定了堅如磐石的“數(shù)字底座”。