日立電梯：打造「身份」新防線，開啟電梯加速度！

在日立電梯的數(shù)字化轉(zhuǎn)型過程中，信息化系統(tǒng)成為了業(yè)務(wù)運(yùn)作的重要載體，大量業(yè)務(wù)資源基于信息化系統(tǒng)的傳輸與存儲(chǔ)，引起了日立電梯對(duì)資源訪問者“身份安全”問題的關(guān)注。然而，日立電梯以往的信息化系統(tǒng)相對(duì)孤立，各系統(tǒng)中的“用戶身份”分散，很難實(shí)現(xiàn)對(duì)用戶的訪問控制和監(jiān)管，存在較大的信息安全隱患。

基于對(duì)內(nèi)部用戶身份管理和訪問控制的迫切需求，日立電梯在2016年便于派拉軟件正式合作，構(gòu)建統(tǒng)一的數(shù)字身份管理平臺(tái)（IAM平臺(tái)），對(duì)其內(nèi)部用戶進(jìn)行全面身份治理，加強(qiáng)信息安全管控，提升IT運(yùn)維效率。

派拉IAM平臺(tái)為日立電梯「身份安全」帶來以下變革：

原先日立電梯的IT系統(tǒng)都擁有獨(dú)立的用戶體系，重復(fù)建設(shè)成本居高不下，極大的浪費(fèi)IT資源，同時(shí)也形成了煙囪式的系統(tǒng)孤島，用戶管理分散，給審計(jì)工作帶來巨大難度，制約了業(yè)務(wù)發(fā)展。

IAM平臺(tái)為其構(gòu)建統(tǒng)一的身份庫，建立權(quán)威的身份數(shù)據(jù)源為下游系統(tǒng)供應(yīng)身份數(shù)據(jù)，減少組織用戶體系的重復(fù)建設(shè)成本。實(shí)現(xiàn)應(yīng)用系統(tǒng)的用戶身份集中管控、統(tǒng)一調(diào)用，系統(tǒng)間的身份數(shù)據(jù)互聯(lián)互通，規(guī)避系統(tǒng)孤島。

IAM平臺(tái)應(yīng)用前，日立電梯內(nèi)部各系統(tǒng)帳號(hào)回收、變更滯后，面對(duì)頻繁的人員離職或調(diào)動(dòng)，由于缺乏制度、流程的有效規(guī)范，無法及時(shí)變更用戶各系統(tǒng)的帳號(hào)權(quán)限，存在離職、調(diào)崗等類型員工權(quán)限復(fù)用風(fēng)險(xiǎn)，同時(shí)帳號(hào)管理效率極低；

IAM平臺(tái)為其建立了規(guī)范化的應(yīng)用系統(tǒng)帳號(hào)管理制度和流程，人員崗位變動(dòng)可根據(jù)流程一點(diǎn)關(guān)閉或調(diào)整各個(gè)應(yīng)用系統(tǒng)權(quán)限，有效規(guī)避系統(tǒng)僵尸帳號(hào)隱患，規(guī)避帳號(hào)權(quán)限滯后變更帶來的信息安全隱患。

日立電梯原先的單點(diǎn)登錄平臺(tái)只提供Form-base（表單代填）的集成方式，無法實(shí)現(xiàn)登錄環(huán)節(jié)的強(qiáng)認(rèn)證，安全性較差；

IAM平臺(tái)則使用OAuth Token和其他加密的方式，安全性更好；同時(shí)派拉IAM平臺(tái)提供集成指引和標(biāo)準(zhǔn)的SDK包，可方便快捷的實(shí)現(xiàn)應(yīng)用的SSO集成。

IAM平臺(tái)應(yīng)用前，日立電梯采用單一認(rèn)證訪問方式，系統(tǒng)多數(shù)采用用戶名加密碼的簡(jiǎn)單認(rèn)證方式，部分系統(tǒng)的密碼設(shè)置也不符合復(fù)雜密碼的要求，業(yè)務(wù)安全無法有效保障。

派拉IAM平臺(tái)上線后為其提供OTP動(dòng)態(tài)口令認(rèn)證、微信掃碼認(rèn)證等方式，實(shí)現(xiàn)用戶訪問統(tǒng)一強(qiáng)認(rèn)證，增強(qiáng)訪問安全。