對于多分支、多層級、多人員的大型企業(yè)而言，員工的“身份管理”很容易成為一筆“糊涂賬”。在組織層面，每一次組織架構調(diào)整、并購重組、開設分支機構，都會造成人員信息與組織架構的變動。在IT層面，不同時期建設的業(yè)務應用架構各異，身份管理能力參差不齊，形成一個個“身份孤島”。當組織變動與IT建設相互交織，企業(yè)的身份信息越發(fā)混亂，不但造成了巨大的安全隱患，更阻礙了企業(yè)的數(shù)字化轉(zhuǎn)型進程。

面對這一挑戰(zhàn)，北京能源集團有限責任公司（簡稱“京能集團”）攜手芯盾時代，通過建設統(tǒng)一身份認證系統(tǒng)，重構全集團的身份管理體系，為后續(xù)數(shù)字化建設奠定了堅實的“數(shù)字底座”。

關于京能集團

北京能源集團有限責任公司是北京市人民政府出資設立的國有獨資公司，肩負著保障首都北京能源安全可靠供應的重任。京能集團成立于2004年，經(jīng)過多年的發(fā)展與資源整合，京能集團已從單一的能源產(chǎn)業(yè)，發(fā)展為熱力、電力、煤炭、健康文旅等多業(yè)態(tài)產(chǎn)業(yè)格局。

截至2024年底，京能集團資產(chǎn)規(guī)模達4934億元，擁有全資及控股企業(yè)860余家，員工總數(shù)超過3.4萬人，投資區(qū)域遍布全國33個省市區(qū)以及海外。2024年，京能集團在中國企業(yè)500強中排名第247位，在中國服務企業(yè)500強中位列第87位。

為響應時代號召，京能集團提出了構建全方位、多角度的“數(shù)字京能”建設目標，“數(shù)字底座”建設正是這一宏偉藍圖的基礎工程。

項目背景

作為歷經(jīng)多次合并重組、組織與業(yè)務快速擴張的企業(yè)，京能集團在“身份管理”上面臨“分散、不全、不準”三大挑戰(zhàn)：

1.員工身份分散管理，形成“身份孤島”

隨著京能集團信息化建設不斷加速，業(yè)務應用持續(xù)增加，用戶數(shù)量快速增長。由于各個應用之間的身份信息不互通互信，IT系統(tǒng)內(nèi)形成了一個個“信息孤島”。京能集團迫切希望改變多個身份源并存的局面，建立唯一的、權威的身份數(shù)據(jù)源，并映射到所有業(yè)務應用中，從而實現(xiàn)全局身份信息的統(tǒng)一管理。

2.部分員工信息缺失，管理體系不盡完善

在京能集團高速擴張和并購重組的過程中，員工信息、組織架構不斷調(diào)整，出現(xiàn)了部分員工信息、外部人員未能全部錄入主數(shù)據(jù)系統(tǒng)的問題。京能集團希望能夠?qū)⑺袉T工都納入身份管理體系之內(nèi)，做到“員工信息無遺漏，線上線下一盤棋”。

3.身份信息不夠準確，“僵尸賬號”亟需清理

由于缺乏統(tǒng)一的管理制度、管理工具和數(shù)據(jù)標準，京能集團各個業(yè)務應用中身份信息的準確性難以保證。比如員工更改手機號、郵箱等身份信息后未全局同步，導致不同應用中的身份信息“互相打架”。更嚴峻的是，業(yè)務應用中存在未及時注銷或被長期遺漏的“僵尸賬號”，造成了嚴重的安全隱患。

方案設計

芯盾時代根據(jù)京能集團的網(wǎng)絡架構和身份管理需求，結合豐富的央國企身份安全項目經(jīng)驗，基于自主研發(fā)的用戶身份與訪問管理平臺（IAM）,為其建立了統(tǒng)一身份認證系統(tǒng)，幫助其重構身份管理體系這一重要的“數(shù)字底座”。方案功能與實施計劃如下：

建設統(tǒng)一身份認證系統(tǒng)：基于芯盾時代IAM，建立包含用戶管理中心、權限管理中心、認證管理中心、審計監(jiān)控中心的統(tǒng)一身份認證系統(tǒng)，實現(xiàn)對身份、認證、權限、日志的統(tǒng)一管理，并制定集團統(tǒng)一身份認證管理制度和技術標準。

實施全局身份治理：將統(tǒng)一身份認證系統(tǒng)與主數(shù)據(jù)系統(tǒng)、OA系統(tǒng)等身份源對接，對員工身份數(shù)據(jù)進行統(tǒng)一治理，形成標準化的身份數(shù)據(jù)，為業(yè)務應用提供權威的身份數(shù)據(jù)。

對接辦公平臺與業(yè)務應用：將統(tǒng)一身份認證系統(tǒng)與京能集團線上辦公平臺“智匯京能”對接，通過標準認證協(xié)議，實現(xiàn)下游業(yè)務應用的單點登錄；同時，將認證系統(tǒng)與業(yè)務應用對接，將身份信息、認證信息同步到業(yè)務應用中。

客戶價值

統(tǒng)一身份認證系統(tǒng)投入使用后，京能集團構建了覆蓋全局的身份管理體系，實現(xiàn)了身份信息、身份認證、訪問權限、審計日志的統(tǒng)一管理，身份安全水平跨越式提升。

1.厘清員工身份信息，徹底消除“身份”孤島

使用IAM對集團身份數(shù)據(jù)進行統(tǒng)一治理后，京能集團構建了標準化、唯一化的身份數(shù)據(jù)源，為3萬余名員工生成了唯一可信的數(shù)字身份，形成了權威的組織用戶體系?，F(xiàn)在，京能集團不但將所有員工納入新的身份管理體系，還統(tǒng)一了身份數(shù)據(jù)的字段，全面更新了員工的個人信息，徹底告別身份信息“互相打架”的局面。

將統(tǒng)一身份認證系統(tǒng)與所有業(yè)務應用對接后，身份信息和組織信息能快速同步到所有業(yè)務應用，實現(xiàn)了身份信息自動化流轉(zhuǎn)，從而消除“信息孤島”，讓“身份”貫穿每一次業(yè)務訪問。當員工入職、轉(zhuǎn)崗、調(diào)動、離職時，管理人員能夠快速開通、注銷賬號，調(diào)整訪問權限，將身份管理能力提升至“分鐘級”，做到“人走號銷，權隨崗動”，消除崗位變動與權限變動之間的時間差。

2.業(yè)務應用單點登錄，安全效率得以兼顧

憑借豐富的項目經(jīng)驗，芯盾時代順利完成了統(tǒng)一身份認證系統(tǒng)與“智匯京能”的對接。借助標準認證協(xié)議，統(tǒng)一身份認證系統(tǒng)能夠?qū)ⅰ爸菂R京能”的認證結果同步至所有業(yè)務應用。此外，統(tǒng)一身份認證系統(tǒng)還支持重點業(yè)務應用的二次認證，為核心業(yè)務、機密數(shù)據(jù)再加一把“安全鎖”。

將認證系統(tǒng)與“智匯京能”深度整合后，員工可以在“智匯京能”中直接訪問權限內(nèi)的業(yè)務應用，也可以在統(tǒng)一門戶中使用“智匯京能”完成認證，實現(xiàn)“一次認證，全網(wǎng)通行”，操作體驗更佳。

3.建立“三級三員”體系，身份管理“軟硬一體”

芯盾時代根據(jù)京能集團的組織架構，幫助其確定了總部、二級單位、三級單位的管理層級，明確了系統(tǒng)管理員、安全保密員和安全審計員的管理職責，形成了“三級三員”的管理架構，將身份信息的管理責任落實到人，消除管理盲區(qū)。

芯盾時代還為京能集團制定了《統(tǒng)一身份認證管理辦法》，撰寫了《統(tǒng)一身份認證系統(tǒng)集成文檔》等技術文檔、管理制度和培訓文件，幫助京能集團完成了對各級管理員的培訓，確保統(tǒng)一身份認證系統(tǒng)充分發(fā)揮效能，最終實現(xiàn)組織管理與IT管理的精準對齊。

芯盾視點

用戶身份與訪問管理平臺（IAM）是企業(yè)IT系統(tǒng)的核心基礎設施。建設IAM平臺從來不是一個單純的IT項目，更是一個企業(yè)清除身份管理積弊、全面升級身份管理體系的寶貴機會。京能集團通過此次體系化的改造，掃除了數(shù)字化轉(zhuǎn)型道路上的“身份管理”障礙，為“數(shù)字京能”戰(zhàn)略奠定了堅如磐石的“數(shù)字底座”。