隨著我國制造業(yè)數(shù)字化轉(zhuǎn)型持續(xù)深入，身份安全的重要性日益凸顯。企業(yè)一方面需要強化身份安全防線，保障數(shù)據(jù)安全和業(yè)務(wù)安全，一方面需要讓身份信息貫穿業(yè)務(wù)訪問全流程，打破數(shù)據(jù)孤島，提升業(yè)務(wù)效率。但是，制造業(yè)的業(yè)務(wù)應(yīng)用普遍垂直性強、通用性差，對身份認證協(xié)議的兼容程度參差不齊，給企業(yè)的身份安全建設(shè)帶來了難題。

為了解決這一難題，“園林機械行業(yè)的特斯拉”格力博選擇與芯盾時代攜手，建設(shè)SSO單點登錄系統(tǒng)，打破業(yè)務(wù)應(yīng)用之間的壁壘，提升業(yè)務(wù)效率，助力企業(yè)的全球化發(fā)展。

關(guān)于格力博

格力博(江蘇)股份有限公司（簡稱“格力博，”股票代碼：301260）是全球新能源園林機械行業(yè)的領(lǐng)先企業(yè)之一，被譽為“園林機械行業(yè)的特斯拉”。格力博在全球擁有7000+員工，年銷售額突破50億元，旗下greenworks品牌割草機、吹風(fēng)機等多款產(chǎn)品常年位于Amazon平臺“Best Seller”（最暢銷產(chǎn)品）之列。 格力博高度重視信息化建設(shè)，將數(shù)字技術(shù)與自身業(yè)務(wù)深度融合，持續(xù)提升研發(fā)、設(shè)計、生產(chǎn)、銷售的數(shù)字化水平，推動了企業(yè)在全球的高速發(fā)展。

項目背景

隨著業(yè)務(wù)的快速發(fā)展，格力博的信息化建設(shè)不斷深入，引入了釘釘?shù)葮I(yè)務(wù)應(yīng)用提升辦公效率，還建設(shè)了SAP、訂單管理系統(tǒng)（OMS）、供應(yīng)商管理系統(tǒng)（SRM）等應(yīng)用，持續(xù)優(yōu)化業(yè)務(wù)流程、提升業(yè)務(wù)效率。隨著業(yè)務(wù)應(yīng)用持續(xù)增加，一系列身份安全問題隨之而來：

1.應(yīng)用賬戶繁多，員工操作不便

由于每個業(yè)務(wù)應(yīng)用都有各自的身份管理模塊，身份信息互不想通，格力博的員工需要使用不同的賬號登錄不同的應(yīng)用，操作體驗不佳。為了簡化操作，員工往往會為不同應(yīng)用的賬戶設(shè)置同樣的密碼。一旦賬戶密碼泄露，黑客就能在各個應(yīng)用中暢通無阻。

2.管理后臺分散，運維管理不便

由于身份信息不互通，運維人員需要通過分散的后臺完成各個業(yè)務(wù)應(yīng)用的賬戶創(chuàng)建、權(quán)限分配、日志審計等工作，不但工作量大，還容易造成孤兒賬號、僵尸賬號，帶來安全隱患。

3.身份認證不統(tǒng)一，身份安全難以保證

由于各個業(yè)務(wù)應(yīng)用的認證方式不同，格力博無法實現(xiàn)全局的多因素認證和強制定期改密。

方案設(shè)計

針對格力博的需求，芯盾時代基于自主研發(fā)的用戶身份與訪問管理平臺（IAM）,為其建立了SSO單點登錄系統(tǒng)。方案功能與設(shè)計如下：

1.統(tǒng)一業(yè)務(wù)應(yīng)用身份信息：SSO單點登錄系統(tǒng)向上對接HR系統(tǒng)，以HR系統(tǒng)中的身份信息為權(quán)威數(shù)據(jù)源；向下對接各個業(yè)務(wù)應(yīng)用，接管各個應(yīng)用的身份管理模塊，實現(xiàn)統(tǒng)一的身份認證、權(quán)限管理和審計管理。

2.建立統(tǒng)一應(yīng)用門戶，實現(xiàn)單點登錄：建立統(tǒng)一應(yīng)用門戶，將所有業(yè)務(wù)應(yīng)用的入口集成到門戶之中，借助單點登錄功能，讓員工一站式登錄權(quán)限內(nèi)的業(yè)務(wù)應(yīng)用。

3.對接釘釘App：將登錄系統(tǒng)與釘釘對接，基于釘釘App實現(xiàn)掃碼登錄。

客戶價值

SSO單點登錄系統(tǒng)投入使用后，格力博構(gòu)建了統(tǒng)一、規(guī)范、高效的員工身份信息管理體系，不但提升了身份安全水平，簡化了員工操作，還為后續(xù)的數(shù)字化轉(zhuǎn)型打好了基礎(chǔ)：

1.夯實身份安全基座，助力數(shù)字化轉(zhuǎn)型

借助SSO單點登錄系統(tǒng)，格力博以HR系統(tǒng)中的身份信息為權(quán)威身份源，統(tǒng)一了各業(yè)務(wù)應(yīng)用中的員工身份信息和組織架構(gòu)信息，建立了用戶、權(quán)限、應(yīng)用賬號自動化流轉(zhuǎn)機制，全面提升了身份管理水平，實現(xiàn)了基于身份的業(yè)務(wù)應(yīng)用標準化管理。 芯盾時代還為格力博制定了標準化的接口文檔和應(yīng)用對接規(guī)范，便于后續(xù)建設(shè)的應(yīng)用對SSO單點登錄系統(tǒng)對接，為后續(xù)的業(yè)務(wù)拓展提供保障。

2.一次認證，全網(wǎng)通行，提升員工操作體驗

憑借強大的研發(fā)能力、豐富的項目經(jīng)驗，芯盾時代IAM支持CAS、Oauth、Saml等身份認證協(xié)議。對于不支持標準協(xié)議的應(yīng)用，也能夠通過密碼代填的方式進行對接，實現(xiàn)業(yè)務(wù)應(yīng)用的單點登錄。 借助統(tǒng)一應(yīng)用門戶后和單點登錄功能，格力博的員工能夠在門戶內(nèi)訪問自身權(quán)限內(nèi)的應(yīng)用，一次認證、全網(wǎng)通行，操作效率顯著提升。

3.豐富認證策略，身份認證便捷又安全

將釘釘與SSO單點登錄系統(tǒng)對接后，格力博的員工可以自由選擇釘釘App掃碼和賬號密碼兩種認證方式，兼顧便捷與安全。由于實現(xiàn)了身份信息的統(tǒng)一管理，格力博可以通過限制密碼長度、字符來提升密碼強度，并實施定期改密，徹底消除弱密碼。

芯盾視點

對于制造業(yè)企業(yè)而言，數(shù)字化轉(zhuǎn)型是個長期的過程。身份安全憑借其在信息化建設(shè)中的基礎(chǔ)性地位，將貫穿數(shù)字化轉(zhuǎn)型的全過程，是制造企業(yè)數(shù)字化轉(zhuǎn)型的重要保障。制造業(yè)企業(yè)應(yīng)盡早建設(shè)用戶身份與訪問管理平臺，為信息化建設(shè)打好地基、搭好框架，讓數(shù)字化轉(zhuǎn)型更加安全、更有效率。

審核編輯：劉清