用户全生命周期管理-浙江建工统一身份管理系统

“用户”全生命周期管理——浙江建工统一身份管理系统目录0102建设背景建设方案03建设成效04发展趋势建设背景01建设历程20092010201120122013完成中心机房建设，OA\PM\HR\AM等信息管理系统全面实施通过特级资质信息化考评，短信平台上线使用资金成本管理全面实施；移动终端平台上线实施备战特级资质信息化考评，RTX即时通讯平台上线使用完成集团监控指挥中心建设，建立三级监控管理体系，工地可视化管理系统全面上线实施2014资金预算、进度管理、工程实体检测系统上线实施建设历程20152016201720182019新HR系统上线，全面预算、集中采购、电子签章、移动端RTX及宝利通硬件视频会议系统上线实施新大楼数据中心建设、灾备中心建设；PM系统分供商管理、招标管理、审计管理；HR系统证照管理、劳动合同管理上线实施统一身份管理系统、劳务实名制系统、新手机APP上线实施；决策中心建设融资管理、二级单位发文和信息发布上线实施；搭建资金支付平台，资金成本信息化全面推进业务财务一体化全面实施；报表中心建设；HR系统干部管理、挂职管理；人力资源微信公众号企业信息、发文、权限管理、印章管理、函件管理和固定资产管理等业务均已实现网上流程审批。实现了二级单位的协同办公管理和电子签章在用印审批中的应用。OA系统发文管理企业信息图片新闻会议管理固定资产管理二级单位应用印章管理权限管理函件管理OA系统项目管理实现了以合同管理为基础、成本控制为主线，基于工程施工阶段的全生命周期管理。PM系统工程投标阶段立项及准备阶段项目实施阶段竣工交付阶段工程项目全生命周期管理专业分包管理成本控制劳务分包管理租赁合同管理质量管理安全管理科技管理进度管理生产管理设备管理集中采购成本核算合同结算材料出库其他间接费用录入成本预算业主合同管理采购合同管理劳务分包管理专业分包管理租赁合同管理成本分析成本动态分析分供商管理资金管理国家定额+行业定额+地方定额+企业定额+清单计价物料管理风险管理报名工程登记投标工程立项标书编制定标纪要开标登记中标登记业主合同评审业主合同签订项目立项项目部成立项目人员配置开通权限合同预算目标成本招标管理合同管理结构验收竣工验收竣工备案竣工结算回访与保修工程资料归档风险管理成本超标预警进度拖期预警合同变更预警资金支付预警物料领用预警资金平衡预警质量、安全事故预警项目管理驾驶舱项目绩效分析成本指标分析产值指标分析利润指标分析进度指标分析项目风险分析PPP合同评审投标总结工程业务信息跟踪建设基于“人才为核心”的人力资源管理系统，实现建工“人”的全生命周期管理。HR系统组织管理人员管理绩效管理任职资格能力素质培训管理人力资源规划合同管理薪酬管理证照管理功能模块晋升管理干部管理HR系统四库一平台人员数据企业数据项目数据证书数据证照管理模块通过对员工证照的集中统一管理，实现人、证书、项目的联动管理，提高企业证照管理效率。HR系统协同办公系统项目管理系统人力资源系统财务管理系统档案管理系统视频监控系统决策中心云资料平台门户网站RTX、有度企业邮件系统网络学院劳务实名制系统视频会议系统手机APP电子签章系统实体检测系统能耗监测系统微信公众号网采平台信息系统系统应用情况1234纳入系统管理的项目1562个上线业务流程317个有效帐号3828个系统数量20多个5数据量5T6每天在线人数OA：300左右PM：500左右IT管理面临迫切问题流程效率低手工进行各个信息系统的帐号管理、授权管理，容易出现帐号管理遗漏、误操作等风险，并且费时费力、效率低下。为了避免记忆不同的复杂密码，部分用户选择在不同系统中使用相同的密码或简单易记的弱口令。二级单位、项目部帐号借用、共用现象比较普遍。存在高危安全风险IT集约管理能力弱90%安全风险无法预知，只能采取救火式运维机制；投入至少3倍甚至更多资源处理用户体验问题；存在重复功能建设，额外花费50%的建设成本。用户体验差用户需记忆多个系统的密码；用户仍需保存多个常用系统访问地址；用户忘记密码，频繁联系管理员处理。无法有效支撑合规审计基于用户管理及访问行为，仅能获取20%的审计数据；大多采取人为数据采集、分析，难以有效支撑审计时效性；缺乏实时有效的事前、事中审计，事后责任难以追溯到人。难以满足业务战略扩展信息化资源整合缺乏平台和规范体系；企业并购与业务转型，信息系统无法支撑业务融合；内外部应用存在多套管理架构和体系，信息系统无法快速响应业务需求。打造基础安全平台必要性面临挑战业务整合迫切度信息资产安全业务流程风险控制精细化管理信息化发展趋势安全风险用户体验管理提升审计要求建设必要性统一身份管理在信息化过程中作为基础安全平台，成为一种趋势；统一身份管理是整合（用户身份、授权、访问、合规）信息化的最有效最便捷的技术手段；可帮助提升经营效益、优化流程、加强安全和降低经营风险；可有效执行合规管理要求。02建设方案战略定位企业须将信息安全、身份安全管理纳入经营战略规划中总部二级单位基础安全平台内部用户移动用户外部用户面向全用户面向业务面向战略办公业务核心业务外部业务互联网业务资源整合业务融合科技创新安全经营集中用户主数据服务统一访问管理集中权限管理集中合规管理统一身份安全管理与访问控制平台建设目标单点登录创建基于身份管理的统一认证。通过单点登录，提升系统登录效率和体验。提供统一的应用导航。身份管理建立统一的身份数据源。规范再建系统账号命名规则。统一授权创建基于身份管理的授权管理。提供多个系统的统一权限管理。构建企业权限视图，规范权限控制。建设内容统一身份访问管理统一规范权限管理访问安全管理：集中访问入口管理和访问控制策略配置访问安全加强：多种安全认证，适应不同业务场景安全预警与监控：事前、事中、事后一体化访问安全预警和审核机制准入授权：基于应用准入的访问授权细粒度授权：基于角色、数据、菜单等多维权限管控权限策略：权限控制与分配权限互斥：集中授权和权限互斥管理身份统一管理：用户身份统一管理数据集中管理：权威主数据供给流程效率管理：账号与授权流程管理制度规范：用户命名规范、应用整合接入规范、安全策略标准、访问准入规范组织职责：平台管理员职责、运维职责、分级管理职责等审计管理：合规预警与监控系统架构统一身份认证平台应用导航用户权威数据源用户管理访问管理权限管理合规管理数据存储硬件设施JDBC认证LDAP认证LTPA认证RADIUS认证SPNEGO认证X509认证Trusted认证OAUTH认证OpenID认证SAML认证JWT认证同步引擎策略管理连接器配置管理同步服务访问管理外部业务系统内部业务系统网络应用层数据层服务层Windows桌面访问移动终端访问浏览器访问用户管理员网络业务功能模块架构WEB用户移动用户WEB应用导航移动应用导航统一认证接入服务用户身份管理服务用户账号管理用户权限管理用户自助服务用户身份管理和认证基础服务身份信息同步服务权限信息同步服务应用集成管理服务账号供应/回收服务权限赋予/收回服务认证/单点登录服务用户身份和认证数据服务统一身份与认证管理平台用户身份库用户认证目录融合认证服务PKI认证OTP认证短信认证生物认证集成应用系统HR系统PM系统OA系统邮件系统用户全生命周期管理入职调岗兼职离职返聘账号创建账号变更账号合并账号禁用账号启用身份数据源建立用户统一身份数据源以HR系统员工数据为主，PM系统为辅建立用户统一身份数据源。同时支持管理员导入用户和用户自注册方式录入。建立应用角色权威库获取应用系统角色定义，建立建工应用角色权威库。统一身份安全管理平台内部用户外部用户HR系统（主要来源）PM系统（补充来源）管理员导入用户自注册用户身份信息来源应用系统PM系统HR系统OA系统应用角色定义来源统一访问管理邮件系统OA系统AD域生产维护系统姓名：李成工号：058490统一登录应用集中导航统一访问控制平台1多终端设备支持

2多认证方式支持

3多应用类型支持

一次登录统一账号，统一密码，一次登录即可访问各类应用多认证方式多认证方式保障安全性集中导航应用集中展示统一权限管理组织1组织2财务系统角色1人资角色1技术服务角色1财务管理财务查询人力资源管理人力资源查询技术服务管理技术服务查询业务角色应用角色组织机构/岗位稽核审计查询稽核审计管理人力资源审计人资角色2授权对象岗位1人资角色3安全审计访问行为分析统计用户登录/登出认证数量时间段内活跃用户统计排行时间段内应用访问量统计排行时间段内指定用户账号的登录位置跟踪…身份管理分析重复账号统计报表违建账号统计报表僵尸账号统计报表用户账号状态报表…运维管理分析数据同步监控与预警用户身份认证监控与预警各接口异常预警用户令牌有效性认证监控…安全监控与预警发生用户用非正常IP登录时，系统发出告警发生用户用非时间登录时，系统发出告警发生用户登录失败次数超过指定阀值时，系统发出告警发生用户异地登录时，系统发出告警…身份报表平台用户统一入口帐号安全移动端APP认证方式一级二维码动态口令账号密码二级指纹人脸手势声纹系统主页应用授权方式应用授权方式自定义授权角色可见全员可见集成方式单点登录OA系统PM系统HR系统AM系统企业邮箱决策中心劳务实名制系统直接跳转门户网站网络学院视频监控系统资料系统权限平台运行客户端RTX待办任务新邮件在线用户登录日志项目实施情况统一登录：统一入口访问统一账号：3000+用户集成应用：20+应用集成方式：单点登录、直接跳转、运行客户端认证方式：二维码/动态口令+人脸/声纹/指纹/手势授权方式：自定义授权、角色授权、全员可见03建设成效建设成效提高用户满