芯盾时代集团企业统一身份安全管理体系，在 IAM 统一身份管理基座上扩展统一权限管理系统(UAP),实现细粒度权限统一管理能力。通过面向业务的权限管理策略配置能力，响应企业运营需求，实现业权一体化管理。

统一权限管理平台（UAP）建设

UAP 作为企业细粒度权限管理中心，能够实现应用内功能级权限和数据级权限的统一管理。系统内置应用权限模型管理能力、应用授权策略管理能力、权限视图分析能力、用户权限自助服务及权限审批功能流程、权限合规审计等能力流程，满足集团企业细粒度权限集中管理和业权一体管理需求：

• 应用权限模型管理，配置应用权限模型，支持 RBAC、ACL 模型的模式配置，以适配应用内真实权限管理模型架构。支持配置和管理各应用角色、功能权限、数据标签、数据权限，通过权限溯源和权限视图分析展示应用权限模型配置情况。

• 应用权限授权管理能力，为各应用配置用户授权的标准模型。通过定义各应用下用户组织维度、身份属性、岗位属性与应用角色细粒度权限的映射规则，形成对用户基于组织、职能职种、岗位的所需权限的授权关系表达，并关联应用内角色对应细粒度权限。并能够自动获取 EIAM 中组织用户身份属性变动，自动调整用户在应用内被授予的细粒度权限，完成自动授权配置，实现对业务需求的快速和准确响应。

• 应用授权同步权限回收，提供对应用自动化授权配置能力，可以通过 API 数据同步、SSO 等方式为应用配置同步权限数据，将用户角色、权限、授权数据，自动对应用同步供应，完成集中自动化授权流程；支持通过权限回收接口回收应用内权限数据，支撑 UAP 内权限基线分析和权限合规审计流程。

• 权限视图服务，对用户在各应用的授权数据进行关联分析，并形成业务权限管理视图，支持用户本人、部门领导、应用 IT 管理员从各自业务视角概览权限，快速了解权限分配情况、发现特殊例外权限、定位授权关键流程，支撑权限管理业务开展。

• 用户权限自助服务功能。UAP 以统一业务门户为载体，为用户提供权限自助服务能力，方便用户本人查询拥有应用角色权限、了解应用角色权限定义、发起权限申请、请求延长授权期限。

• 权限审批流程。支持根据按照应用业务属性，和业务权限申请类型，定义权限审批策略模板，定义审批节点分配审配人员，满足企业管理中各业务条线授权审批管理规范，实现进度可管理、动作可留痕、授权可审计。

业权一体化授权管理能力建设

UAP 作为芯盾时代集团企业统一身份安全管理体系中细粒度统一权限管理中心，自动同步 IAM 中多维组织用户信息，实现与企业多维组织的无缝对接。在 IAM 实现的用户访问权限管理基础上，为企业解决业务协同过程中用户、领导、IT 管理员的业务权限授权管控需求：

• 业务权限的授予困难。应用中存在大量的差异化特殊权限，难以集中定义并自动化为人员授权操作。需要通过大量的用户线下权限申请，并由管理员逐个在应用中配置。过程繁琐，影响业务效率；

• 用户业务权限使用困难。用户缺乏途径了解自己拥有的业务权限有哪些、根据业务需要能够申请哪些业务权限。影响用户权限申请的准确性和时效性，影响业务开展；

• 领导权限管理困难。各机构领导缺乏途径分析和统计所管理员工在各应用分配了多少权限，权限何时授予，员工申请权限是否合理、能否授予，领导管理和审批员工权限缺乏指导和支撑，并存在授权合规风险；

• 管理员权限管理困难。各应用管理员无法准确了解系统内角色、权限详情，无从了解系统中权限类型和授予比例，无法支撑应用内权限的配置管理。大量的权限审批流程差异大，无法保证对权限变更配置的准确合规，变更配置过程难以留痕，无法跟踪回溯。

业权一体化管理能力围绕业务需求，以应用授权管理流程为核心主线，贯穿企业授权模制定、权限视图分析、权限审批流转，和权限合规审计各功能条线。

业权一体化授权管理基于以 UAP 的细粒度权限自动授权功能为基础，服务集团企业不同用户全体，面向应用权限不同级别，提供面向业务需求的差异化授权服务流程：

自动/普通权限授权流程能力

流程能力拉通人事管理流程和应用 IT 配置流程，面向集团员工，适配人员入转调离产生的组织、身份信息变化，自动调整员工细粒度权限。

• UAP 为应用配置自动授权策略，形成由用户组织部门、职能职种、账号属性、岗位信息多维度身份信息映射表达的角色授权模型，并为角色分配细粒度应用资源权限，形成用户对应用内细粒度权限的映射模型。

• 通过 IAM 已对接的多维组织统一身份自动同步流程，更新用户组织身份信息，触发用户角色权限变更，并更新用户授权。

• 用户权限数据的授予和配置，可通过应用接口对接，由 UAP 推送授权数据。也支持推送权限变更通知，由 IT 管理员根据授权情况，人工在应用内配置调整。

• 完全自动化的授权流程，需要标准化授权模型的配置，和应用内权限模型的一致对接。对于过于复杂的角色授权定义和用户授权需求，和应用内部权限模型不规范的情况，芯盾时代能够提供业务权限咨询服务，协助制定权限模型，辅助应用治理改造对接。

• 对于模型不标准，无法完全实现人员角色模型自动映射，并自动授权的业务授权场景，支持将自动授权流程用于普遍性、共通性较高权限的授予；差异化特殊权限由用户本人申请，通过线上人工审批流程授予。

特殊权限授权流程能力

面向内部用户业务需要的特殊权限、复杂权限、敏感权限使用需求，UAP 提供线上权限申请和审批流程。由用户本人从业务理解角度发起权限申请，由部门领导和 IT 管理员分别审批，确认权限需求合理，和配置安全合规。审批通过后，及自动更新员工角色、权限配置关系。实现线上化员工特殊权限配置，满足业务开展需求。

• UAP 通过 IAM 业务门户提供用户权限自助服务，用户通过权限视图查询已获得各应用的角色权限，和可申请角色权限。系统对各角色权限提供解释说明，保证用户理解各权限定位，准确申请；

• 对于不确定权限，可由用户填写权限使用目标场景描述，便于审批确认；

• 对于无权限适配需求的，可由用户发起新增角色权限需求。

• 用户提交权限申请后，根据审批模板匹配各业务角色权限对应的审批节点、审批顺序，保证部门领导、和 IT 管理员分别确认业务合理性和授权安全合规性。

• UAP 支持对接企业 OA/BPM 审批流程，由企业实现集中统一审批流程，并自动获取权限审批结果，打通权限线上审批流程。

• 审批通过后，UAP 为员工配置对应的角色、权限，并更新应用权限配置数据。

• 用户权限数据的授予和配置，可通过应用接口对接，由 UAP 推送授权数据。也支持推送权限变更通知，由 IT 管理员根据授权情况，人工在应用内配置调整。