复杂的组织架构与管理运营体系、多样化的系统与应用建设、大规模的用户与用户类型角色、跨地域的运营与安全合规要求、繁琐的跨部门协调与系统集成......这些都是大多数大型集团企业数字化转型创新发展与变革的切实阻碍。如何找准杠杆点，翘动“地球”，让“大象”也可以灵活、安全、合规、高效的“跳舞”？

一、以身份为抓手，大象也可以跳舞

数字身份作为一切现实人、设备、应用等映射于数字世界的唯一标识，抓住身份，就抓住了链接现实世界和数字世界的纽带。因此，要想让大型集团企业如此庞大复杂的“数字世界”安全合规、创新发展与高效有序协同，做好企业一切人、设备、应用等全域身份治理至关重要。
然而，跨组织管理，一个大型集团包含多个子公司、部门和业务单元。不同子公司还可能有独立的管理团队、系统和流程。这种分散的管理方式使得统一身份治理变得复杂；
多样化的用户角色和类型，不同员工、合作伙伴、客户和供应商在不同业务单元和系统中扮演不同的角色，拥有不同访问权限和需求，如何有效管理这些多样化的角色，并在动态的业务环境中，灵活而精确的进行访问权限控制是一个挑战；
多样化的IT系统和应用，包括不同供应商提供的系统，增加了身份管理和集成的复杂性。员工和合作伙伴需要访问集团内部不同系统和平台，如何在多个系统和平台之间无缝的单点登录体验对用户至关重要；
全球化运营，不同国家和地区的法律法规（如GDPR、CCPA等），不同的身份验证和数据保护要求，对身份治理系统提出了更高的合规要求与本地化需求。例如，中国的数据出境安全管理法律体系明确规定了，针对重要数据和个人信息的数据出境安全管理，要求原始数据不出域、数据可用不可见等；美国《加州法案》对特定数据实施本地化存储或处理等措施，保护本国个人数据免受外国监视与调取等。
数字化安全风险激增，万物互联下企业传统网络边界不断被打破，由于涉及多个系统和大量用户，大型集团企业往往面临更高的安全风险，身份盗用、账户被攻破、内部人员滥用权限、泄露敏感信息等安全风险不容忽视。
面对上述身份治理困境，大型集团企业如何应对？

二、4大身份治理模型，满足不同集团需求

派拉软件结合数百家大型集团企业身份治理成功经验，总结出了适配不同集团企业不同管理需求的4大身份治理模型：

1、集团总控子公司独立身份治理

该模型主要针对业务产品、品牌多样化，各个品牌由独立子公司全流程运营，组织架构业务系统独立建设，集团级共享应用统建的大型集团企业。这类集团企业在身份安全建设上，通常是这样的场景：集团总部有一套IAM，下属分子公司又各自建设了一套IAM，合作的IAM厂商还可能不同，有的甚至比集团总部建设的还早。
这时候，集团总部要想管控整个下属分子公司怎么办？派拉软件集团总控，子公司独立身份治理模型就派上用场了。

通过采用联邦认证互信的技术手段，对已经有IAM的分子公司，进行身份同步；针对暂时没有IAM的子公司，则直接采用总部IAM，按照总部提供的标准进行接入认证与身份同步。从而，在满足总公司统控的安全合规管理要求上，又不耽误分子公司独立业务的运行，还能同步完成其他没有IAM的分子公司身份治理，大大节省IAM投入建设成本。

2、集团化业务领域独立身份治理

第二种身份治理模型主要针对业务围绕营销端开展，各业务领域接口清晰，组织架构和业务系统纷纷围绕不同业务领域建设的大型集团企业。这时候，可以按不同业务领域建立不同的IAM平台。

以某知名汽车集团为例，集团拥有多维度业务领域，按照业务领域又可以划分出多个用户群体，包括企业内部用户、经销商、供应商、C端客户等。围绕不同业务和用户群体，集团建设了面向内部员工用户运营管理的EIAM，面向C端消费者的CIAM，以及面向经销商/渠道商的BIAM和供应商的SIAM等。

针对C端用户，集团完成了多品牌千万级消费者用户信息统一合规管理，以及APP、小程序、车机大屏等多触点统一安全认证，提升消费者用户体验及品牌认可度，赋能营销获客，保障合规经营；
针对B端用户，集团实现了多品牌经销商身份聚合，赋能各经销商多角色分级管理，形成面向经销商的专属门户，拉齐集团市场营销战略；
针对S端用户，集团实现了供应链法人实体从自助注册到审核入库及注销的一体化分级管理体系，提高供应链效率，降低合作风险，确保上下游企业经营合规性，优化资源利用；
针对E端用户，集团实现内部雇员及数字服务的高效安全连接，提高人力资源管理效率，促进组织顺畅运作，加强数据安全，优化权限管理，降低信息泄露风险，确保合规经营。

3、集团化统建多租户隔离身份治理

第三种身份治理模型则适用于以核心产品进行全球化布局的集团企业。其下属以工厂、门店、品牌为单位的子公司可以完全复制总部数字化系统，并为了满足各个国家区域的合规要求，采用多租户方式建设IAM平台。

多租户模式是一种软件架构设计，它允许多个租户（下游子公司）共享同一个软件应用实例，同时保证数据的隔离和安全。也就是说，每个子区域/子公司即一个租户，每个租户都有独立的用户中心、认证中心、授权中心。它们只管本地人员的用户、认证和授权。集团总部可以做统一的控制，随时启动或关停哪个区域的哪个应用或哪个用户的纳入纳管。
过程中，为满足合规要求，总部回收的是去标识化的数据，保证本地用户数据信息本地化存储。针对全球多个区域的认证中心，采用跨域数据中心的联邦互信，保障全球用户系统访问体验的一致性与安全性。

4、集团化统建分级分权身份治理

这类身份治理模型主要针对集团企业产品类别单一，各个子公司供应商伙伴都围绕单一品牌产品合作的大型集团企业。企业组织架构和业务系统往往都是由集团统一集中建设。这时候，采用一套IAM，结合分级分权原则，就可以实现对旗下所有子公司统管统控。

通过明确公司层级结构，包括高层管理、中层管理和基层员工，每一层级的权限和责任清晰定义。根据不同层级和角色需求，划分相应的访问权限和操作权限。确保每个用户仅能访问完成其工作所需的最少权限，降低潜在安全风险。

三、IAM五大作用，持续赋能集团企业

要想落地上述四大身份治理模型，IAM必不可少。大型集团企业将在管理、效率、成本、风险防范、资源整合、安全态势感知协同等多个维度，切身体会到派拉软件IAM在其IT建设与数字化转型中的作用与价值：

1、加强管理，资源整合与安全强化

统一身份治理标准、统一登录入口、统一身份账号、统一认证、统一授权管控、统一审计......使过去以系统账户为中心的管理方式上升为以自然人为中心，让每一个用户只拥有唯一的合法身份。
所有认证与管理服务都围绕唯一合法身份进行，所有用户行为都依据企业统一安全规则进行约束，以避免用户身份假冒、越权使用等安全事件。
针对用户从点击、登录、认证、访问等全链路全局审计，清晰掌握企业用户行为轨迹，真正具备可追溯管理能力，提升企业总体管理水平。

2、提升效率，优化全体员工用户体验

面对大型集团企业内众多的应用系统，通过单点登录，实现一次登录全系统访问。结合员工全生命周期管理，实现集团数万规模员工入转调离自动化账号开通/关闭、授权/清权......配合线上化、自动化流程审批，一键清权等功能，确保身份账号与权限调整的及时高效与安全合规，大大提升工作效率的同时，优化用户体验。

3、防范风险，保障用户全链路访问安全

通过IAM建设，全面清除集团大量僵尸账号、弱密码账号等风险账号，减少因账号密码被攻破带来的安全风险。在实际用户访问全程中，如用户登录时，根据当前用户登录时间、地点、终端和需要访问的应用系统等差异化场景信息，制定不同认证策略并支持二次认证，以防范不同业务系统登录场景下的安全风险隐患，保障用户认证过程中的安全性。在访问过程中，结合最小权限原则，严格控制用户访问范围，避免权限不当造成的安全风险。最后，结合可视化全局审计，让管理员对企业应用资源访问情况一目了然，实现事前感知、事中监控、事后审计的安全管控与风险防范。

4、整合资源，避免应用功能重复建设

通过将集团多身份源整合，如HR、AD、各种应用系统账号等，实现不同渠道来源用户信息整合及分类分层管理。此外，针对集团已有IAM平台与认证设施平台进行整合，利用联邦互信认证等技术，实现旧资源利用与整合。最终帮助大型集团企业将分散的信息进行运算资源及系统应用整合，避免应用功能的重复建设，大大节约IT成本。

5、数据支撑，协同集团安全态势感知

IAM作为企业的基础设施平台，可提供访问信息、用户行为、授权行为、异常登录、违规操作等重要用户信息数据，为企业实现大数据分析提供有效数据支撑，协同整体安全态势感知。此外，结合UEBA（用户实体行为分析能力），聚焦不同业务安全风险场景，借助算法模型与AI技术，采取风险控制引擎，依据身份因子、浏览器因子、操作系统因子、行为因子等各种风险因子，在重要的风险决策点（如注册、登录、应用系统访问、业务功能获取等），进行风险识别与风险评分。从而，快速识别潜在安全威胁和异常情况，并及时告警，形成有效的黑名单数据库，为集团企业或外部提供反欺诈数据服务等。

更多大型集团型企业数字身份治理方案与技术细节，欢迎扫描下方海报二维码，报名预约派直播课。9月19日19：00，直播间见！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课