移动互联网、云计算、大数据、物联网快速发展，推动企业信息化变革，身份安全与身份中台理念获得重视。战略目标：建设企业信息化业务中台与标准规范体系，支撑业务融合，快速响应业务变革。云大物移快速发展，打破传统内外网安全边界，建立以身份为核心的逻辑边界。减少运营成本、提升工作效率、提高内外部用户满意度、塑造企业开放创新形象。

IAM产品负责用户身份治理、权限管理、安全认证、单点登录、行为审计等业务，与应用系统进行账号同步、单点登录、双因素认证集成，并与外部数据源、基础认证能力等资源进行集成。IAM使用群体包括普通用户、超级管理员、应用管理员。

对HR用户、IAM身份、应用账号进行治理及管理，形成用户统一登录身份，实现用户全生命周期管理。通过IAM的组织用户同步、组织用户管理、应用账号管理、应用账号同步，统一用户身份治理。

企业组织用户一般由HR系统进行管理，可能存在多套组织用户体系、以及非正式员工管理需求。IAM统一身份认证基础 是整合企业零散的组织用户数据，形成权威的组织用户体系，并向应用系统供应数据。芯盾时代IAM支持定时同步 （LDAP、DB、FTP、API）、实时同步（API）、初始化（LDAP、Excel）方式，以及同步任务管理同步数据源用户数据， 并根据应用系统的需要同步账户信息。

芯盾时代IAM管理用户全生命周期，实现用户、权限、账号自动化流转，建立标准规范、减少管理工作，保证安全合规。

用户权限管理涉及用户拥有哪些应用访问权限、用户应用账号具备哪些权限。芯盾时代IAM统一应用访问权限管理、统一应用账号权限管理（轻量级），两者互相独立。应用访问权限管理：考虑存量用户、新增用户、特殊用户三种场景权限管理需求，芯盾时代IAM支持各种授权模型。存量用户权限导入：从应用数据库导出账号数据，在IAM平台按照应用维度导入，账号即权限；新增用户自动授权：基于用户属性定义自动分组策略，通过ABAC与RBAC模型，实现自动化、动态授权；特殊用户人工授权：管理员根据业务需求，人工调整部分用户应用访问权限。授权模型：支持ACL、RBAC、ABAC授权模型，支持岗位授权、用户组授权、部门授权、用户授权、应用授权。应用账号权限管理：IAM与应用之间同步应用角色以及授权信息、IAM管理授权、应用控制权限。

IAM集中管理用户身份与应用权限信息，对于体系复杂、用户规模大、应用数量多的企业集团来说，从管理运营体系、管理效率等方面考虑，存在分级管理需求，也就是按照功能、组织、应用来进行分级管理。芯盾时代IAM通过RBAC1、ABAC模型构建灵活的分级管理方案，满足功能分级、组织分级、应用分级等管理业务场景。

芯盾时代IAM依托移动安全核心技术、提供多种认证能力、灵活认证策略、丰富认证场景，满足企业安全、合规、易用诉求。

Web应用推荐使用标准协议实现单点登录，可以保证安全性与标准化，应用系统需要简单改造。芯盾时代IAM支持Cas、Oauth、OIDC、SAML、JWT标准协议，并提供应用模板、SDK、API、Demo、集成文档等支持，简化应用对接工作。

支持传统认证、移动认证、生物认证、证书认证等技术，实现所知、所持、所有三个维度的认证能力。

移动办公场景越来越普遍，移动应用的安全认证至关重要，芯盾时代IAM通过善认APP提供与微信、支付宝、钉钉类似的免密认证体验，使用手势或者指纹替代密码认证。支持Android、iOS、H5移动应用形态，支持Scheme集成方案。

IAM集中管理用户的身份权限与登录访问控制，审计功能至关重要，传统IAM审计范围包括管理员操作行为、用户登录认证行为、用户访问行为。在零信任安全理念中，IAM需要实现用户全部行为的风险分析与动态访问控制，不仅包括用户登录与访问行为，还需要支持应用资源级别的动态访问控制。芯盾时代IAM利用零信任模型、流式计算技术、规则引擎技术，实现对管理员操作行为、用户登录认证行为、用户应用访问行为、用户应用资源访问行为的风险审计与动态访问控制功能。

对用户访问操作行为进行审计、比如应用访问权限、时间、频度等。

通过终端风险检测技术，上报认证设备风险、异常信息，让设备安全性更可见。

芯盾时代IAM通过设备指纹、软件安全沙箱、终端安全防御、三层秘钥体系核心专利技术，保障移动认证安全性。

物联网认证场景越来越多出现在人们的生活中，比如门禁、扫码支付等场景。芯盾时代IAM通过APP反向扫码技术，支持各种物联网安全认证场景。以下是某门禁扫码认证方案。

芯盾时代IAM践行零信任安全理念，采用增强型身份认证技术、连续自适应风险信任评估技术，实现安全身份认证与细粒度资源动态访问控制能力，达到安全性与易用性的完美平衡。

UAP集中管理企业应用权限，和企业应用系统、IAM系统进行交互。UAP需要与企业应用系统集成，从应用回收权限数据、向应用同步权限更新数据。UAP依赖企业IAM系统，从IAM同步组织、用户、账号数据。

芯盾时代统一应用权限管理产品（简称UAP），集中管理应用权限，兼容各种应用权限模型，支持自动化授权策略，建立应用权限管理与集成规范，有效解决应用权限管理存在的管理工作量大与安全隐患问题。权限粒度：支持应用菜单、按钮、API权限粒度。权限模型：支持RBAC模型、ACL模型、账号多角色、角色互斥、角色平行与继承、权限平行与继承。授权方式：支持自动化授权策略、人工授权。授权同步：把权限管理结果同步给应用，支持API实时同步、IAM账号同步、IAM SSO同步。权限回收：回收应用权限信息，支持初始化导入、API定时回收。权限视图：以应用维度查看、导出应用授权详情。权限审计：支持权限互斥规则配置与审计。

以人为核心的业务安全领域，为超过1000家政企、金融用户的业务安全供应商。基于零信任架构的终端安全、移动认证、身份管理、基于大数据和人工智能的风控、连续自适应风险评估。

56项发明专利，其中2项国际专利，103项软著。2018年度银监会创新课题，与城商行合作获得 一类、二类成果奖项。IAM三次入选Gartner权威报告：2019、2021 年IAM领域 客户心声报告。

覆盖多应用、多场景，提升安全性、用户体验 ，降低成本；IAM+SDP的零信任整体解决方案多处落地；国际和国密算法支持配置选择，满足不同客户对不同密码算法认证、加密需求。

基本情况：用户数：50万 二级单位：100+ 集团系统数：200+(总部、二级单位及三级单位)

某集团整体互信互认架构，是由集团互信认证中心为核心服务，对接总部IAM和二、三级IAM。整体方案中包含用户认证信息的互信互认、用户数据的下发、用户应用权限的申请同步。