需求背景

移动互联网时代，移动办公应用市场高速发展。钉钉、企微、飞书、和企业自建移动办公应用为企业带来员工工作效率提升、建设成本降低等诸多益处。但相对应的，移动办公应用的身份管理和用户认证功能，大多未纳入企业身份统一管理体系，造成移动办公 APP 使用过程中身份管理和配置工作重复繁琐，员工认证凭据和认证流程与无法统一管理等问题。

芯盾时代 IAM 系统作为企业统一身份认证系统，能够为打通移动办公应用身份管理和认证流程。实现企业员工账号生命周期统一管理，并提供更安全、便捷的用户认证体验。

解决方案

场景一：IAM 作为移动办公软件组织用户数据源

移动办公应用独立维护其用户和组织信息，致使企业用户身份和组织信息分散不统一，无法集中管理，容易造成用户身份风险。

芯盾时代 IAM 系统，能够整合企业内、外不同身份源，对正式员工、外部人员维护唯一权威的组织用户体系，并实现统一的用户全生命周期管理。

IAM 能够为移动办公应用提供组织用户数据源和账号供应服务，系统通过接口对接移动办公应用服务。当用户发生入职、离职、转岗、换部门产生的组织和账号变更时，IAM 能够将对应用户最新组织账号数据实时推送给移动办公应用，实现企业用户身份账号同步。

芯盾时代 IAM，支持为企业微信、钉钉、飞书等企业自建移动应用提供组织及账号供应服务。

场景二：IAM 作为移动办公软件认证源

钉钉、企微、飞书等移动办公 APP，用户登录时由应用自身进行用户认证，缺少企业统一身份认证系统的支撑，在认证便利性、安全性、审计管理全面性方面存在能力短板：

1. 安全性问题

当移动 APP 使用账号密码方式登录认证时，应用自行管理用户账号密码，用户设置的账密强度、格式、更新机制往往无法满足企业安全管理制度保持要求，登录认证安全难以保证。

2. 便利性问题

移动应用账号密码与企业自建应用不一致，用户办公使用需要反复输入，记忆使用繁琐不便。

3. 审计管理问题

移动应用自行完成用户登录认证，企业无法感知和监测，无法发现用户身份及业务风险并闭环处置。

芯盾时代 IAM 系统为移动办公应用提供集中式的认证服务， 与企微等移动应用同步用户身份，并使用提供的密码认证接口与其对接。用户登录移动办公应用，调用 IAM 认证服务，通过 IAM 为移动办公应用进行认证鉴权，实现统一身份访问，并授权对应的信息资产。

通过 IAM 为移动办公软件提供认证服务，能够改善用户认证安全性、便利性、可管理性：

• IAM 集中管理移动办公应用账号密码，按照企业管理规范检查账密格式、强度、更新周期。

• 移动应用账密与内部办公应用保持一致，并可实现单点登录，简化登录流程。

• IAM 具备强大的审计功能，更好地监控用户全局活动并发现身份风险。提供更全面的分析报告。

场景三：IAM 实现移动办公软件内 H5 应用单点登录

移动办公应用为企业提供了自建 H5 应用的发布和集成服务，企业员工能够通过移动 APP 使用内部应用流程，减少了企业进行移动应用开发和部署的成本，提升了员工工作效率。

但是移动办公应用仅提供了移动端应用入口路径，员工使用内部 H5 应用仍需要反复登录认证，操作繁琐，未能从根本上实现办公效率提升的目标。

芯盾时代 IAM 系统能够为移动办公 APP 内的企业 H5 应用提供单点登录服务。IAM 通过标准认证协议接口对接移动办公 APP 和企业应用服务后台，为应用提供用户无感知的单点登录认证交互流程。用户登录移动办公 APP 后使用企业自建应用，能够直接打开已授权应用，无需反复认证操作。业务流程如下：

• 用户在手机端访问 h5 应用；

• 当 H5 应用和 IAM 通过标准协议对接，重定向到 IAM 进行认证；

• IAM 通过 oauth 协议去移动办公应用获取用户信息。

• 获取完用户信息后，IAM 完成免密登录。

• IAM 完成登录后，重定向到 H5 应用，且携带对应的用户凭据信息。

• H5 应用携带 IAM 下发的用户凭据信息向 H5 应用后台请求登录。

• H5 应用后台携带 IAM 下发的用户凭据信息向 IAM 请求用户信息。

• IAM 验证用户凭据信息后，给应用下发用户信息。

• 应用拿到用户信息后，完成单点登录，展示对应的 H5 应用界面。

场景四：IAM 使用移动办公软件扫码认证

钉钉、企微、飞书等移动办公 APP 具备扫码认证能力，能够为其 PC 端应用提供免密多因素认证。企业用户希望满足已有使用习惯，通过移动办公 APP 为自建应用提供免密认证，简化员工 APP 安装操作，提升办公效率。

但是在具体操作过程中，移动办公应用需要与大量企业应用分别对接开发，工作量大。且多个移动 APP 作为认证载体，使用难以协调统一。

芯盾时代 IAM 系统，为企业使用移动办公 APP 认证提供多码和一的扫码认证方案：

IAM 作为认证中心，通过标准认证接口分别对接移动办公应用和企业各自建应用，并提供面向不同移动 APP 的统一认证二维码。用户登录时，由移动办公 APP 完成扫码认证操作并向 IAM 提供用户身份信息，IAM 完成对内部应用的认证凭据派发和认证鉴权。实现用户使用任一移动 APP 扫码，即可免密单点登录内部办公应用效果，为企业用户带来更简易便捷的登录方式和更好的用户体验。

场景五：IAM 使用移动办公软件消息通道

芯盾时代 IAM 系统提供认证 APP，为用户登录提供动态令牌等多因素认证手段。而企业在已有移动办公 APP 情况下，往往希望保留现有移动端办公 APP 的使用习惯和操作流程，减少 APP 的安装和维护操作。芯盾时代 IAM 对此提供使用移动办公 APP 消息通道，推送动态口令和认证消息的服务流程：

芯盾时代 IAM 系统通过标准接口，与移动办公应用同步人员信息，打通消息推送通道。用户在 IAM 登录页面发起认证请求后，IAM 能够实时将对应用户的动态口令和认证消息推送给移动办公应用，用户即可在其移动办公 APP 内实时获取认证凭据，完成输入操作和认证鉴权。