業務發展中面臨的挑戰

• 多身份源，不同部門分管導致數據差異

漢朔科技存在多個員工身份源，分管在不同的業務部門，包括北森(人事部)、企業微信(人事部)、AD(IT部)。各個不同部門對員工的入轉調離都需要進行操作，不同部門之間通過工單或郵件方式交換信息，經常信息不一致導致處理延遲或數據差異。

•多套業務應用，應用權限及日常管理不便

漢朔科技在日常研發和業務運營中，使用了40多套應用。

研發管理上：不同產線的多套Gitlab；資源管理上：齊治堡壘機、微軟Azure、Grafana(監控分析)、Zabbix(監控分析)、ELK(日志管理)、seafile(云存儲)；業務管理上：Odoo(ERP和CRM)、預算管理、SAP Concur等；辦公管理上：北森(人事系統)、泛微(辦公系統)、企業微信(移動辦公)、魔學院(培訓系統)、Jira(項目管理與事務跟蹤)、Confulence(知識管理)、微軟AD等。

隨同人員的入職，各應用管理員需根據工單，手工對其崗位授權不同的應用訪問權限，經常導致處理延遲。同時，在人員離職后，因沒有統一權限視圖，無法及時獲知該員工在職事所擁有的所有應用權限，導致個別應用權限未能及時關閉和清理，導致安全隱患。

• 全球化身份管理和運營成本高

漢朔科技的員工分布在全球，日常需跨域跨時區協同辦公。人事管理、應用管理、業務管理等方面無法快速協同，管理員每天都陷入為全球員工開建各種應用賬號，調整權限，重置密碼等繁瑣的工作中，將導致運營成本增高。

•員工日常訪問應用，使用不便不便

員工日常使用的應用有些和AD做了集成，例如Jira、Wiki等，使用AD賬號密碼登錄；有些無法和AD集成的，例如Concur、泛微、魔學院等，需使用各自的用戶密碼登錄，導致員工在使用這些應用的過程中分辨不清到底需要用什么用戶名來登錄。同時，即使和AD集成統一認證的應用，之間也不能實現單點登錄。嚴重影響了員工使用體驗和業務協同效率。

•合規審計不便

漢朔科技的相應業務開展需要應對國內、國外審計要求，如ISO27001、等保三級、SOC2等等。這些審計要求都對用戶身份鑒別、密碼安全強度、員工應用權限視圖等方面提出了相應檢查點。

但之前的應用管理分散，各自有各自的管理體系，用戶數據分離、密碼管理要求不一、應用賬號及權限分散，導致應對審計要求，需要查詢員工到底擁有哪些系統的訪問權限時，只能一個個應用的分析和導出。又因員工在各系統中賬號名等信息項不一致，導致無法關聯相應信息，造成信息碎片，無法整體獲取員工權限視圖。

竹云IDaaS解決方案

漢朔科技針對以上需求，選擇竹云IDaaS建立統一身份管理體系。

•串聯上下游業務，實現身份數據一致性

將北森作為上游統一身份源，人事部門在北森中對員工入職調離操作后，竹云IDaaS隨同入轉調離事件，將機構信息、身份信息等同步到企業微信和AD中，保證多個身份源之間的數據一致性。

•簡化身份管理流程，實現自動化作業化

竹云IDaaS連接下游各應用系統，通過基于用戶組/崗位的自動授權策略，自動化的完成員工應用賬號的開設、變更和關閉，提高工作效能。在員工入職后能夠快速開通相應系統訪問權限，即開即用；在員工離職后，竹云自動關閉其應用賬號，杜絕安全隱患和信息資產外泄。

•簡化員工操作，提高工作效能

漢朔科技自研了一套員工工作門戶(Hi Hanshow)，通過竹云IDaaS提供的SAML/OIDC等協議組件串接所有應用系統后，將IDaaS保護的所有應用掛接到該Portal上。員工可選擇AD賬號密碼、短信驗證碼、企業微信掃碼等方式認證成功一次后，即可通達所有有權訪問的應用。

•提供全流程審計能力，幫助企業達到合規要求

竹云IDaaS通過自適應MFA、統一密碼策略、統一應用權限視圖等功能，同時提供詳實的管理員操作、員工訪問信息，以用戶為基點，回溯其歷史過程，幫助企業快速達到合規審計要求。

效果示意