集团企业身份管理体系的身份治理能力滞后、业权协同集中管控能力缺失、流程协同能力低下。无法支撑企业多维数字组织的高效协同运作。

集团企业数字化转型需要组织的协同运作能力，数字化组织下的身份、权限和业务协同管理，需全面适配企业运营转型要求。企业现有烟囱式 IT 架构下的 IAM 系统，身份治理能力单一、治理覆盖不足，身份管理流程和身份数据分散，业权管理协同繁琐低效，无法支撑企业数字化转型组织变革要求。

身份治理能力单一

集团企业统一身份管理体系统一管理企业各类员工身份，需要为企业各类 IT 应用管理人员组织账号信息，通过身份治理能力为员工提供唯一有效身份标识，和对应的在各应用中的账号信息，并对应用账号集中进行全生命周期配置管理。与此相对的，集团企业 IT 应用众多，业务性质不同，需要使用的用户信息需求差异大。存在用户账号信息不同、组织数据范围不同、用户拥有多账号的需求差异。

集团企业的早期通过统一身份管理系统建设，具备了基础的统一账号管理能力。IAM 系统获取来自 HR/MDM 的用户数据后，为用户创建并管理统一账号，作为用户登录各 IT 应用的唯一标识。但用户在不同应用中的的账号、组织、岗位等属性信息采用统一内容格式，未能体现企业各业务系统对人员身份的差异化使用需求：

• 各应用在用户管理过程中，除通过 IAM 获取用户统一账号外，仍需要管理员手工配置其他差异化身份信息；

• IAM 难以对人员入转调离过程中不同应用的账号，集中提供差异化管控策略。

身份治理能力的低下，使各应用账号的配置和管理，仍需要管理员的大量线下配置工作，管理效率低下。

身份治理范围不足

企业多维组织下用户类型众多，内部员工、他组织人员、合作方人员、生态用户、招采用户、消费者客户需要企业统一管理账号信息，以支撑业务系统的差异化流程访问。

企业传统 IAM 建设中，实现了有限的身份治理和账号供应。IAM 对接总部 HR 系统，获取内部员工身份信息，并统一进行组织和账号的管理。但由于人员性质的不同，外部人员、生态用户、招采用户等并不属于集团企业人事管理体系，这些人员的账号信息由各业务系统独立进行配置，IAM 缺乏对应的人员状态和身份信息进行集中有效的管理和维护能力机制。

身份集中治理范围的不足，造成大量的独立管理流程，和外部人员账号和对应业务权限潜在管理风险。

身份管理流程、数据分散

集团企业组织机构庞大且复杂，业务属性差异大，各组织机构在接收集团统一人事管理信息之外，往往自行通过内部 AD、ERP 等系统维护管理自有业务条线的人员身份和账号数据。造成集团用户的身份数据源分散，数据内容、格式存在差异。

集团企业定期通过线下工作，同步各用户身份数据，但工作量大、周期长，给统一用保护身份造成工作压力：根据 Forrester Research 2022 年《Forrester Wave: Identity Management and Governance》报告，大型企业组织机构间身份账号的手工清洗、同步，平均每次历时 3~6 个月。企业统一身份数据状态的滞后限制了业务协同，增加了管理难度。

各组织机构用户身份的分散，造成了身份对应权限的管理分散。大量机构内自建应用权限管理并未纳入统一身份管理体系，由各系统管理员通过线下流程接收用户组织身份数据，根据业务需要，进行线下权限配置管理流程，权限配置工作量大，效率难以保证：根据《上海市企业员工流动率调查报告（2016）》报告，企业每年 10%~12%员工发生岗位变动。而对应的员工全部权限的配置调整需耗时 1~3 周，极大影响业务的协同开展。

业务协同繁琐效率低

集团企业复杂的组织机构和业务运营，形成了各自内部嫌贵对立的业务支撑应用，并分别建设登录鉴权体系为用户提供服务。随之数字化转型的组织转变，组织机构间业务协同模型转变，用户进行跨组织的应用访问和业务处理需求急剧增多，并需要对大量网络接入系统、业务认证系统反复登录操作。

据 IDC《Worldwide Identity and Access Management Forecast and Analysis》报告，全球某头部汽车制造企业员工平均日登录系统次数 20 次，输入需密码和短信验证码验证，交互等待耗时最长 40 分钟，非常影响员工生产效率。