隨著我國制造業數字化轉型持續深入，身份安全的重要性日益凸顯。企業一方面需要強化身份安全防線，保障數據安全和業務安全，一方面需要讓身份信息貫穿業務訪問全流程，打破數據孤島，提升業務效率。但是，制造業的業務應用普遍垂直性強、通用性差，對身份認證協議的兼容程度參差不齊，給企業的身份安全建設帶來了難題。

為了解決這一難題，“園林機械行業的特斯拉”格力博選擇與芯盾時代攜手，建設SSO單點登錄系統，打破業務應用之間的壁壘，提升業務效率，助力企業的全球化發展。

關于格力博

格力博(江蘇)股份有限公司（簡稱“格力博，”股票代碼：301260）是全球新能源園林機械行業的領先企業之一，被譽為“園林機械行業的特斯拉”。格力博在全球擁有7000+員工，年銷售額突破50億元，旗下greenworks品牌割草機、吹風機等多款產品常年位于Amazon平臺“Best Seller”（最暢銷產品）之列。 格力博高度重視信息化建設，將數字技術與自身業務深度融合，持續提升研發、設計、生產、銷售的數字化水平，推動了企業在全球的高速發展。

項目背景

隨著業務的快速發展，格力博的信息化建設不斷深入，引入了釘釘等業務應用提升辦公效率，還建設了SAP、訂單管理系統（OMS）、供應商管理系統（SRM）等應用，持續優化業務流程、提升業務效率。隨著業務應用持續增加，一系列身份安全問題隨之而來：

1.應用賬戶繁多，員工操作不便

由于每個業務應用都有各自的身份管理模塊，身份信息互不想通，格力博的員工需要使用不同的賬號登錄不同的應用，操作體驗不佳。為了簡化操作，員工往往會為不同應用的賬戶設置同樣的密碼。一旦賬戶密碼泄露，黑客就能在各個應用中暢通無阻。

2.管理后臺分散，運維管理不便

由于身份信息不互通，運維人員需要通過分散的后臺完成各個業務應用的賬戶創建、權限分配、日志審計等工作，不但工作量大，還容易造成孤兒賬號、僵尸賬號，帶來安全隱患。

3.身份認證不統一，身份安全難以保證

由于各個業務應用的認證方式不同，格力博無法實現全局的多因素認證和強制定期改密。

方案設計

針對格力博的需求，芯盾時代基于自主研發的用戶身份與訪問管理平臺（IAM）,為其建立了SSO單點登錄系統。方案功能與設計如下：

1.統一業務應用身份信息：SSO單點登錄系統向上對接HR系統，以HR系統中的身份信息為權威數據源；向下對接各個業務應用，接管各個應用的身份管理模塊，實現統一的身份認證、權限管理和審計管理。

2.建立統一應用門戶，實現單點登錄：建立統一應用門戶，將所有業務應用的入口集成到門戶之中，借助單點登錄功能，讓員工一站式登錄權限內的業務應用。

3.對接釘釘App：將登錄系統與釘釘對接，基于釘釘App實現掃碼登錄。

客戶價值

SSO單點登錄系統投入使用后，格力博構建了統一、規范、高效的員工身份信息管理體系，不但提升了身份安全水平，簡化了員工操作，還為后續的數字化轉型打好了基礎：

1.夯實身份安全基座，助力數字化轉型

借助SSO單點登錄系統，格力博以HR系統中的身份信息為權威身份源，統一了各業務應用中的員工身份信息和組織架構信息，建立了用戶、權限、應用賬號自動化流轉機制，全面提升了身份管理水平，實現了基于身份的業務應用標準化管理。 芯盾時代還為格力博制定了標準化的接口文檔和應用對接規范，便于后續建設的應用對SSO單點登錄系統對接，為后續的業務拓展提供保障。

2.一次認證，全網通行，提升員工操作體驗

憑借強大的研發能力、豐富的項目經驗，芯盾時代IAM支持CAS、Oauth、Saml等身份認證協議。對于不支持標準協議的應用，也能夠通過密碼代填的方式進行對接，實現業務應用的單點登錄。 借助統一應用門戶后和單點登錄功能，格力博的員工能夠在門戶內訪問自身權限內的應用，一次認證、全網通行，操作效率顯著提升。

3.豐富認證策略，身份認證便捷又安全

將釘釘與SSO單點登錄系統對接后，格力博的員工可以自由選擇釘釘App掃碼和賬號密碼兩種認證方式，兼顧便捷與安全。由于實現了身份信息的統一管理，格力博可以通過限制密碼長度、字符來提升密碼強度，并實施定期改密，徹底消除弱密碼。

芯盾視點

對于制造業企業而言，數字化轉型是個長期的過程。身份安全憑借其在信息化建設中的基礎性地位，將貫穿數字化轉型的全過程，是制造企業數字化轉型的重要保障。制造業企業應盡早建設用戶身份與訪問管理平臺，為信息化建設打好地基、搭好框架，讓數字化轉型更加安全、更有效率。

審核編輯：劉清