隨著我國制造業(yè)數(shù)字化轉型持續(xù)深入，身份安全的重要性日益凸顯。企業(yè)一方面需要強化身份安全防線，保障數(shù)據(jù)安全和業(yè)務安全，一方面需要讓身份信息貫穿業(yè)務訪問全流程，打破數(shù)據(jù)孤島，提升業(yè)務效率。但是，制造業(yè)的業(yè)務應用普遍垂直性強、通用性差，對身份認證協(xié)議的兼容程度參差不齊，給企業(yè)的身份安全建設帶來了難題。

為了解決這一難題，“園林機械行業(yè)的特斯拉”格力博選擇與芯盾時代攜手，建設SSO單點登錄系統(tǒng)，打破業(yè)務應用之間的壁壘，提升業(yè)務效率，助力企業(yè)的全球化發(fā)展。

關于格力博

格力博(江蘇)股份有限公司（簡稱“格力博，”股票代碼：301260）是全球新能源園林機械行業(yè)的領先企業(yè)之一，被譽為“園林機械行業(yè)的特斯拉”。格力博在全球擁有7000+員工，年銷售額突破50億元，旗下greenworks品牌割草機、吹風機等多款產(chǎn)品常年位于Amazon平臺“Best Seller”（最暢銷產(chǎn)品）之列。 格力博高度重視信息化建設，將數(shù)字技術與自身業(yè)務深度融合，持續(xù)提升研發(fā)、設計、生產(chǎn)、銷售的數(shù)字化水平，推動了企業(yè)在全球的高速發(fā)展。

項目背景

隨著業(yè)務的快速發(fā)展，格力博的信息化建設不斷深入，引入了釘釘?shù)葮I(yè)務應用提升辦公效率，還建設了SAP、訂單管理系統(tǒng)（OMS）、供應商管理系統(tǒng)（SRM）等應用，持續(xù)優(yōu)化業(yè)務流程、提升業(yè)務效率。隨著業(yè)務應用持續(xù)增加，一系列身份安全問題隨之而來：

1.應用賬戶繁多，員工操作不便

由于每個業(yè)務應用都有各自的身份管理模塊，身份信息互不想通，格力博的員工需要使用不同的賬號登錄不同的應用，操作體驗不佳。為了簡化操作，員工往往會為不同應用的賬戶設置同樣的密碼。一旦賬戶密碼泄露，黑客就能在各個應用中暢通無阻。

2.管理后臺分散，運維管理不便

由于身份信息不互通，運維人員需要通過分散的后臺完成各個業(yè)務應用的賬戶創(chuàng)建、權限分配、日志審計等工作，不但工作量大，還容易造成孤兒賬號、僵尸賬號，帶來安全隱患。

3.身份認證不統(tǒng)一，身份安全難以保證

由于各個業(yè)務應用的認證方式不同，格力博無法實現(xiàn)全局的多因素認證和強制定期改密。

方案設計

針對格力博的需求，芯盾時代基于自主研發(fā)的用戶身份與訪問管理平臺（IAM）,為其建立了SSO單點登錄系統(tǒng)。方案功能與設計如下：

1.統(tǒng)一業(yè)務應用身份信息：SSO單點登錄系統(tǒng)向上對接HR系統(tǒng)，以HR系統(tǒng)中的身份信息為權威數(shù)據(jù)源；向下對接各個業(yè)務應用，接管各個應用的身份管理模塊，實現(xiàn)統(tǒng)一的身份認證、權限管理和審計管理。

2.建立統(tǒng)一應用門戶，實現(xiàn)單點登錄：建立統(tǒng)一應用門戶，將所有業(yè)務應用的入口集成到門戶之中，借助單點登錄功能，讓員工一站式登錄權限內的業(yè)務應用。

3.對接釘釘App：將登錄系統(tǒng)與釘釘對接，基于釘釘App實現(xiàn)掃碼登錄。

客戶價值

SSO單點登錄系統(tǒng)投入使用后，格力博構建了統(tǒng)一、規(guī)范、高效的員工身份信息管理體系，不但提升了身份安全水平，簡化了員工操作，還為后續(xù)的數(shù)字化轉型打好了基礎：

1.夯實身份安全基座，助力數(shù)字化轉型

借助SSO單點登錄系統(tǒng)，格力博以HR系統(tǒng)中的身份信息為權威身份源，統(tǒng)一了各業(yè)務應用中的員工身份信息和組織架構信息，建立了用戶、權限、應用賬號自動化流轉機制，全面提升了身份管理水平，實現(xiàn)了基于身份的業(yè)務應用標準化管理。 芯盾時代還為格力博制定了標準化的接口文檔和應用對接規(guī)范，便于后續(xù)建設的應用對SSO單點登錄系統(tǒng)對接，為后續(xù)的業(yè)務拓展提供保障。

2.一次認證，全網(wǎng)通行，提升員工操作體驗

憑借強大的研發(fā)能力、豐富的項目經(jīng)驗，芯盾時代IAM支持CAS、Oauth、Saml等身份認證協(xié)議。對于不支持標準協(xié)議的應用，也能夠通過密碼代填的方式進行對接，實現(xiàn)業(yè)務應用的單點登錄。 借助統(tǒng)一應用門戶后和單點登錄功能，格力博的員工能夠在門戶內訪問自身權限內的應用，一次認證、全網(wǎng)通行，操作效率顯著提升。

3.豐富認證策略，身份認證便捷又安全

將釘釘與SSO單點登錄系統(tǒng)對接后，格力博的員工可以自由選擇釘釘App掃碼和賬號密碼兩種認證方式，兼顧便捷與安全。由于實現(xiàn)了身份信息的統(tǒng)一管理，格力博可以通過限制密碼長度、字符來提升密碼強度，并實施定期改密，徹底消除弱密碼。

芯盾視點

對于制造業(yè)企業(yè)而言，數(shù)字化轉型是個長期的過程。身份安全憑借其在信息化建設中的基礎性地位，將貫穿數(shù)字化轉型的全過程，是制造企業(yè)數(shù)字化轉型的重要保障。制造業(yè)企業(yè)應盡早建設用戶身份與訪問管理平臺，為信息化建設打好地基、搭好框架，讓數(shù)字化轉型更加安全、更有效率。

審核編輯：劉清