集团企业新质生产力发展要求数字化组织协同运作，提升决策和生产效率，员工需要具备在任意网络位置访问各机构的业务应用的能力。而各组织机构发展过程中自建业务应用和内部独立认证鉴权系统，在集团业务协同过程中，产生大量的用户跨组织机构、跨网络访问业务的统一安全接入和认证登录需求；企业网络建设的扩容升级过程，形成多厂家网络设备异构的网络格局，网络接入层的有线无线设备混合组网方式尤其复杂。用户终端入网需结合对应网络厂家设备分别认证操作，无法实现统一的用户接入认证。

芯盾时代整合提供跨组织机构统一安全接入能力、跨组织机构应用访问互信能力，和异构局域网用户终端统计接入认证能力，满足集团用户泛网络业务访问统一安全认证的需求。

跨组织机构统一安全接入能力建设

集团企业用户访问各组织机构内业务应用过程中，除内部专线互通外，仍存在大量的外部链路跨机构访问需求。而用户身份和业务需求的差异，使各组织机构的接入控制要求不同，增加用户安全接入的控制难度。芯盾时代基于 IAM+SDP 提供跨组织机构统一安全接入服务能力：

• 扩展集团企业总部零信任 SDP 系统，为集团各组织机构网络出口统一部署零信任网关，并接入集团统一零信任安全体系。由集团总部零信任控制器统一控制各组织零信任网关，从集团全局规划和部署用户访问接入策略。

• SDP 系统与 IAM 系统实现集团多维组织身份同步，和多因素认证鉴权服务调用。

• 用户从任意网络位置访问接入，由客户端与控制器进行预认证，并由控制器获取用户在各组织机构拥有权限应用信息，为对应网关下发客户端认证连接策略，允许用户从对应网关进行接入认证，并控制用户向与拥有权限的业务应用发起业务认证。

• 客户端通过 IAM 统一多因素认证后，能够与各机构零信任网关建立安全加密隧道，实现用户统一安全接入各组织结构网络，并在 IAM 跨组织应用访问互信基础上，实现应用单点访问。

跨组织机构应用访问认证互信能力建设

为满足集团用户高效的跨组织业务系统访问需求，芯盾时代部署在集团企业总部的 IAM 系统能够对接各组织机构自建统一认证源，实现用户认证双向互信。帮助用户对集团内各类应用一次认证单点登录，提升用户业务访问效率和体验。

• 当用户在所属组织机构 IAM 系统认证登录成功后，完成本地 IAM 业务单点登录，并访问本地应用。

• 此后用户通过业务连接访问其他单位或集团应用系统时，触发 IAM 系统进行互信认证流程。

• 芯盾时代 IAM 支持对其他机构认证中心，通过互信流程用户登录状态、用户信息以及登录认证等级同步至目标应用系统所属的 IAM。

• 根据分级认证策略，用户可无需再次登录或者进行更高级别的认证后，访问应用系统。

异构局域网用户终端接入认证管理能力（NAA）建设

芯盾时代通过在 IAM 平台扩展网络接入认证系统（NAA），为集团企业用户在异构的局域网络环境中，提供统一的终端入网认证服务。

• IAM 作为身份基座，为 NAA 同步集团企业多维组织用户身份信息，NAA 能够根据用户组织机构、业务范围、身份属性为用户设置认证准入策略。

• NAA 提供基于 802.1x 和 Portal 的终端认证能力，能够作为认证服务器，集中对接企业局域网中各厂家设备，打通认证流程。为用户从局域网的不同网络接入形式、不同厂家设备入网，提供认证服务，保证用户使用统一身份进行入网认证。

• NAA 调用 EIAM 多因素统一认证能力，方便用户通过统一移动认证 APP，进行双因素认证操作，保持与业务登录认证一致性体验，兼顾认证安全性和便利性。