集团企业新质生产力和数字化发展过程中，需要实现对多维数字化组织的管理。身份管理能力需要理解不同组织用户类型并适配，从而支撑各组织机构的自建业务应用的差异化人员使用管理需求，并不同各类人员的业务访问提供针对性安全认证和接入授权服务能力。

此能力建设阶段，芯盾时代统一身份安全管理体系对应侧重数字化多维组织管理能力建设：

• 在 IAM 基座平台上实现企业多维组织管理能力，接入并融合各组织机构分散用户数据，形成集团各类员工用户的统一身份中心；

• 满足各组织应用对用户身份的差异使用需求，集中实现用户账号自动治理能力；

• 新增 SDP 零信任安全接入能力体系，并打通业务门户单点鉴权流程，和多因素认证策略能力，整合并实现用户内外网安全接入访问集团应用。

• 此阶段统一身份安全管理体系，各系统模块围绕 IAM 统一身份基座，协同运转：

• IAM 作为体系内统一身份源、和多因素认证主体，为 SDP 同步多维用户身份信息，提供认证能力调用；

• SDP 作为外网用户安全入口，为 IAM 服务和业务应用提供安全接入保护；

• 用户风险引擎接收用户访问行为数据，分析用户访问风险，并提供对风险的认证和授权决策。

集团企业 IT 系统方面，此阶段需要对各组织机构的用户数据源进行同步对接适配工作，完成与集团 IAM 的用户数据同步对接；各组织业务系统实现与集团 IAM 的单点集成对接，并进行代办、提醒的接口和流程开发改造，实现和集团 IAM 门户的代办提醒集成对接。

统一用户身份治理能力建设

IAM 在已完成的集团企业内部用户统一账号管理基础上，升级统一用户身份治理能力：纳入集团各组织机构分散身份源、整合形成统一用户身份，通过应用账号治理策略能力，适配业务应用身份需求，通过身份治理能力链，实现差异化的用户身份信息自动供应。

在统一用户身份治理过程中，芯盾时代通过身份治理链服务能力，帮助集团企业解决多维组织身份管理过程中的身份源分散、用户数据维度不同、应用组织账号体系差异大、用户账号管控方式多样等难题，实现多维组织用户自动化、差异化的身份治理和账号供应：

多维组织用户适配

为适配企业多维数字组织，芯盾时代 IAM 内置组织用户模型中心，可对集团企业内外部各类员工的组织、用户、岗位数据范围、数据格式进行配置。能够在 IAM 系统中集中维护和管理不同组织架构及下属人员，实现对集团企业各组织内部人员、合作方员工的统一管理。

多维组织用户数据源对接

为统一纳入分散的各组织用户数据源，芯盾时代 IAM 具备数据连接 worker 模块，内置可视化同步策略模板。能够配置需同步的数据源范围、格式，对接技术机制、验证机制、时间同步机制。从而适配并对接 HR/MDM 用户身份数据、AD 组织用户数据、ERP 用户账号数据、企微/飞书/钉钉用户组织等数据源。

应用账号配置策略

为满足集团企业办公支撑系统、ERP/财务支撑系统、生产管理等系统业务人员的使用差异，芯盾时代 IAM 提供可视化应用账号策略配置能力，根据用户唯一身份数据，实现对各应用所需的不同组织数据和用户账号数据的按需自动派生。应用账号全量信息均可由 IAM 统一管理，减少 IT 管理员线下用户配置工作量，提升安全性和业务效率。

用户账号管理策略

为满足集团企业业务协同过程中人员的各类入转调离对应的业务使用变化，芯盾时代 IAM 提供集中用户账号管理策略，用户账号管理能够集中对接人事管理流程和人工配置流程：

• IAM 自动同步获取 HR 系统中用户入职、离职、变岗信息变化，并对应自动调整用户账号状态及信息；

• 对人员借调、业务临时申请等业务使用需求，管理员可在 IAM 平台进行应用的账号解绑、冻结、假删除等控制策略，集中快速响应用户账号变更需求。用户账号的状态人工配置调整，前期可由 IT 管理员登录 IAM 平台操作，第三阶段通过 IAM 对接企业 OA 和 BPM 审批流程，自动根据第三方审批结果状态自动变更用户账号，进一步提升业务效率，减少管理工作量。

应用账号下发策略配置

为满足各应用自身应用账号对接机制，芯盾时代 IAM 具备数据推送 worker 模块，内置可视化同步策略模板，可配置适配数据源范围、格式，和用户数据的推送/拉取机制，满足对现网各业务应用的具体适配需求。