芯盾时代身份管理整体解决方案，基于零信任体系架构，为企业提供覆盖业务域、运维域、办公域全场景统一身份管理能力流程。整体方案包括零信任业务安全平台（SDP）、用户身份与访问控制系统（IAM）、双因素认证系统（2FA）、操作系统用户身份与访问管理（OIAM）、特权账号管理系统（PAM）：

受控终端组件

终端组件覆盖 win/mac/linux/android/iOS/browser 等泛终端平台。基于场景化认证能力、专利设备指纹、环境风险监测、和安全密码模块技术实现安全受控终端的访问接入控制。终端组件配合 SDP 系统实现安全预认证和加密隧道接入。并能够为应用跨浏览器使用，提供版本适配和单点登录控制。

SDP 系统

SDP 为用户提供安全可控的应用访问接入能力。系统基于 SPA 预认证能力及应用代理技术，实现企业资源隐藏保护。提供访问主体多维认证、应用隐藏与访问代理、数据安全传输、访问控制策略执行、统一应用门户及单点登录、增强认证、日志审计、数据动态清洗及主动防御等能力。满足不同场景用户访问企业应用的安全性和友好性。

IAM 系统

是整个方案的身份管理能力核心。，IAM 作为企业身份中台，为企业内部员工、供应商、合作伙伴和外部客户身提供身份治理、权限管控、单点登录、风险检测响应能力，实现企业员工业务系统的统一身份访问，解决企业信息化管理难、用户使用不便、认证授权不安全等问题。IAM 系统支持企业结合身份管理体系现状进行相应的身份管理制度和规范的建设，形成用户身份保障完整体系。

2FA 系统

系统通过移动安全认证技术与标准认证插件，融合推送、扫码、动态口令、生物认证等技术，为客户提供多种移动安全免密认证方式。支持 Radius、LDAP、Web SDK、Scheme、Plugin、API 等标准集成方案，简化集成工作，无须对目标系统进行改造便可实现密码认证之外的第二因素认证，满足安全合规要求。

PAM 系统

满足企业特权账号集中管理和安全使用需求。系统以零信任终端准入控制，以数据密码不落本地的数据安全和身份安全为核心，以最小化权限管理为基本原则，以特权会话管理与监控为重要手段，帮助客户系统化的落地并实现各种业务场景下特权账号的集中安全管理，同时降低因特权账号泄漏或被滥用而造成的数据安全事故的发生概率，消除弱口令，口令共享带来的安全风险和隐患。

OIAM 系统

为企业内网域控应用需求，提供安全便捷的操作系统账号与认证管理。系统兼容 Windows Server 2008 R2 AD DC 规格，支持 Windows 系统用户加域、账号认证、组策略管理功能；支持统信 UOS、麒麟 KylinOS、Ubuntu、CentOS、RedHat 等 Linux 系统账号管理与认证功能，满足国家信创合规要求。

整体方案基于零信任统一身份安全理念，整合各子能力流程，为用户提供集中统一的身份管理，和拉通的身份访问控制服务：

集中的身份管理能力

芯盾时代身份安全整体方案中各功能子系统，均以零信任身份安全理论为核心，对各自业务流程提供用户身份管理和控制服务。其中 IAM 系统是整个方案和企业 IT 系统的身份中台，负责提供身份整合与治理能力，实现账号同步及供应流程，为各子系统提供员工账号等身份信息。

IAM 对接企业上游不同身份源，关联整合形成企业唯一权威身份数据。通过内置灵活的身份模型定义能力，为方案各子系统和企业应用配置生成所需的组织及账号数据；IAM 身份治理能力可实现员工账号全生命周期管理，人员组织、身份信息变更，可自动化实现对应账号的配置调整，并同步供应给各下游子系统，完成企业的统一身份管理配置。

下游子系统对接 IAM，获取用户账号数据，并进一步完成各自身份控制能力设置：

SDP 系统

同步获取 IAM 提供用户身份信息，设置用户的细粒度的访问控制策略。通过安全预认证，授权用户对特定网络资源的访问权限。

PAM 系统

PAM 系统与 IAM 协同工作，实现对特权账号的集中管理和控制。IAM 负责创建、修改和删除用户运维账号和密码，并定义用户与权限之间的关系。PAM 系统获取运维账号密码后加密存储，并配置账号的访问权限和操作行为策略，确保特权账号仅被授权人员使用，监控和记录账号的使用情况，防止滥用或非法使用。

OIAM 系统

OIAM 在 IAM 系统的支撑下，实现办公系统的安全访问控制。IAM 为 OIAM 拉通域用户账户数据，并集中配置管理后同步供应。OIAM 系统根据用户信息配置办公系统的访问控制策略，并提供认证服务。

拉通的访问控制流程

芯盾时代身份安全管理整体方案提供以身份为中心的整体访问安全防护能力，能够在保证企业不同业务访问的安全性的同时，提升用户体验。用户访问整体流转流程概括如下：

• 用户从互联网访问企业内部各类应用和资源，首先需要通过 SDP 系统认证，以实现安全预认证和细粒度的服务资源授权。SDP 为用户提供认证交互，而 IAM 作为后台认证中心，为 SDP 提供用户认证鉴权。认证通过后，用户通过加密隧道接入企业内网。

• 用户接入后需要使用业务域应用资源，或者在内网使用应用资源，由 IAM 接管用户访问流程，并提供门户和 SSO 服务能力。用户外网接入已通过 SDP 拉通 IAM 实现用户认证鉴权，用户点击应用操作，可免认证直接登录。也可根据认证策略由 IAM 系统或者 2FA 系统提供二次多因素认证操作。

• 用户接入后的运维操作，由 SDP 系统和 PAM 配合实现，用户在 SDP 客户端通过视频流交互发起认证请求，SDP 服务端对接 PAM 系统，由 PAM 完成运维账号密码取用和认证鉴权。

• 用户在内网使用主机系统，由 OIAM 管理设备并为用户提供认证鉴权。

• 对于企业各类网络安全设备、主机设备本身不具备双因素认证能力的，2FA 系统能够结合部署，为用户认证提供双因素认证服务。

以上完整的访问控制流程，可以根据客户业务场景拆分，由子系统灵活组合进行适配：

• 远程办公场景：提供 IAM+SDP 产品组合，满足内外网安全办公需求

• 远程运维场景：提供 PAM+SDP 产品组合，满足内外网安全运维需求

• 内网办公场景：IAM，满足内网安全办公需求

• 内网运维场景：PAM，满足内网安全运维需求

• 远程访问场景：SDP，保障远程访问安全需求

• 等保合规场景：2FA，提供双因素认证能力，满足等保合规需求

• 终端域控场景：OIAM，替换 AD 域控，满足 UOS、KylinOS、Windows 认证需求

• 网络准入场景：提供 Portal、Radius 认证服务，满足 WiFi AC 准入、PC 网络准入需求

完整的身份安全体系

芯盾时代身份安全管理整体解决方案，不只为用户提供 SDP、IAM、OIAM、PAM、2FA 产品服务，并从流程和能力上进行深度整合，为企业真正实现统一身份管理的落地执行：

统一身份管理

芯盾时代身份安全管理整体方案。通过 IAM 整合企业上游分散身份数据源，并整合为唯一权威身份源，通过集中身份治理和权限管理流程定义人员组织架构、账号、权限信息。能够适配各自系统身份模型需求，并自动供应，实现全局统一的身份和权限管理，减少了不同系统中重复的身份配置工作和错误的可能性。

统一认证授权

芯盾时代 IAM 系统能够作为企业统一认证中心，对接 SDP、OIAM、PAM、2FA 系统，为人员在不同系统的登录认证提供集中鉴权，对人员跨网络、跨场景、跨应用的访问，提供单点登录，简化认证流程。

提升身份安全

通过身份拉通和认证拉通，企业可以更加全面、准确地感知用户在不同环境和业务场景中的身份状况，并基于多因素身份认证技术和零信任安全理念，面向用户设置统一的身份认证策略。最终由 SDP、2FA 系统、IAM 门户、PAM、OIAM 系统分别施行，为用户的各业务条线访问提供闭环的认证措施和防控能力，增加用户账号的安全性，防止未经授权的访问。

增强合规审计能力

通过身份拉通和认证集中，企业能够从整体上更好的掌握用户登录及业务访问行为，实现统一的身份风险分析和审计，为企业整体 IT 决策提供支持。