芯盾时代构建全场景覆盖的身份管理产品矩阵

在数智化时代，“身份”在企业IT管理中的重要性日益凸显。在业务层面，“身份”是联通物理世界和数字世界的桥梁，每一次业务操作、数据流转都与它有关。在管理层面，“身份”是企业业务一体化的基石，只有管理好数字身份，企业才能将组织管理与IT管理对齐。在安全层面，“身份”是新的安全边界，是零信任安全架构的支柱。没有身份安全，就没有网络安全。

芯盾时代作为领先的零信任业务安全产品方案提供商，统一身份管理平台的市场占有率稳居前三，技术能力行业领先。凭借强大的自主研发能力、对客户需求的深度理解，芯盾时代构建了全场景覆盖的身份管理产品矩阵，不但能够为企业提供具备全栈功能的用户身份与访问管理平台（IAM），还能够针对不同应用场景，提供云身份服务（IDaaS）、客户身份与访问管理（CIAM）等产品方案，让企业的身份管理能力覆盖全用户、全场景、全设备，实现“身份管理无死角，全局身份统一管”。

用户身份与访问管理（IAM）平台——企业内部身份“大管家”

芯盾时代IAM是企业内部身份“大管家”，具备身份管理、身份认证、权限管理、安全审计的全栈功能，能够帮助企业一站式建立智能、高效、可控的统一身份管理体系。

借助芯盾时代IAM，企业能够统一管理所有业务应用的身份信息，一站式实施多因素认证，实现组织管理与IT管理的对齐。员工能够使用一个账户登录所有业务应用，借助单点登录（SSO）功能实现“一次认证，全网通行”，又安全又便捷。

芯盾时代IAM，具备以下优势：

全局身份信息统一管理：为员工创建唯一的可信身份，形成权威的组织架构，实现对所有业务应用身份信息、身份认证、访问权限、访问日志的统一管理，建立自动化流转的用户全生命周期管理机制。

一站式实施全局多因素认证：基于自主研发移动认证技术，一站式实现所有业务应用的多因素认证，为员工提供密码、短信验证码、App扫码、指纹识别等认证方式。

落实“最小化授权”：支持RBAC、ABAC、ACL等权限管理模型，权限管理能力细化至URL级，实现权限的精细化、动态化授予、回收与审计。

统一审计全局日志：提供覆盖全局的日志审计与可视化报表分析功能，清晰展现“谁在何时、何地、访问了什么内容”，轻松实现对访问行为的追溯，满足内外部审计要求。

云身份服务（IDaaS）——SaaS模式的IAM平台

芯盾时代IDaaS通过SaaS订阅模式向企业客户提供一站式身份管理与访问控制服务。平台已集成国内外主流SaaS应用，方便用户快速接入相应系统，同时平台支持通过连接器方式安全连接企业内网私有应用，解决了混合云场景下的应用身份互联问题。

借助芯盾时代IDaaS，企业可多、快、好、省地实现以下功能：

全栈功能，订阅即得：具备IAM的全栈功能，并已集成国内外主流SaaS应用，用户只需按需订阅，即可快速接入相应系统，建立全局统一身份管理体系。

云端身份，更加安全：借助芯盾时代IDaaS，企业能强化对云应用账户的安全管理，提升云账户的安全水平。

开箱即用，弹性扩容：芯盾时代IDaaS能够快速与不同生态的SaaS应用，以及企业本地部署的业务应用对接，开箱即用；采用微服务架构、分布式数据集群，企业可弹性扩容。

运维简单，成本可控：企业无需专门配置服务器、数据库等软硬件资源，无需对软硬件进行维护升级，有效减少建设成本和运维成本。

客户身份与访问管理平台（CIAM）——To C企业客户身份管理神器

芯盾时代CIAM是针对B2C、G2C场景的外部用户身份管理与访问控制服务。针对外部用户分布广、规模大、触点多等特点，CIAM通过社交软件集成、统一注册、统一认证、集中管理、风险控制功能，保证外部用户管理的一致性、安全性、便捷性。

芯盾时代CIAM不仅具备IAM的安全内核，更在高性能、高可用、用户体验和隐私保护方面进行了深度优化：

统一全渠道客户身份信息：借助芯盾时代CIAM，企业能够整合网站、App、小程序等渠道、应用中的客户身份数据，创建唯一的、可信的客户身份，实现全渠道客户身份全生命周期统一管理，为客户提供个性化的登录和认证体验。

兼容各种应用生态：对外，芯盾时代CIAM全面兼容运营商、微信、支付宝、微博等应用生态；对内，兼容前端和后端的业务应用和平台，让客户身份信息高效流转。

弹性扩展，应对客流高峰：采用高度可伸缩、分布式架构，以及全面的负载均衡和监控策略，企业可以动态调整算力，满足节假日、营销热点的突发需求。

保障身份安全，满足合规需求：芯盾时代CIAM完全满足相关法规、国标中对于客户个人信息收集、存储、使用、传输的要求，为企业的合规建设提供保障。

特权账号管理系统（PAM）——将每一次特权访问落实到人

芯盾时代PAM能够帮助企业统一管理全局特权账号，打破特权账号管理系统与员工身份管理体系之间的壁垒，将每一次特权访问落实到人，全面提升特权账号的安全水平。

借助芯盾时代PAM，企业能够解决特权账号管理“独、散、乱、慢”的问题：

特权访问定位到人：芯盾时代PAM能够将特权账号与管理员的身份信息相关联，提升对特权账号的管控和追溯能力。芯盾时代能够帮助企业打破PAM和IAM之间的壁垒，建立“IAM+PAM+堡垒机”的运维管理架构，让每一次特权访问都安全可控。

准确掌握特权账号状态：芯盾时代PAM能够帮助企业自动发现、梳理特权账号，形成内容全面、分类清晰的特权账号清单，进而实现账号的自动化流转，并识别风险账号，消除安全隐患。

统一定期改密，满足合规要求：提供密码集中管理功能，企业能够实现自定义设置密码安全策略、一站式定期密码修改等功能，满足监管合规要求。

提升特权访问安全性：企业能够基于身份、时间、IP、行为等因素动态调整特权账号的访问权限，针对风险访问自适应执行阻断、二次认证等策略，让特权访问更安全。

统一应用权限管理平台（UAP）——企业权限管控的“中央枢纽”

借助芯盾时代UAP，企业能够将权限管理与身份管理、业务应用彻底解耦，无需大规模改造即可快速升级权限管理能力，实现“集权有道、分权有序、授权有章、用权有度”，落实“最小化授权原则”，全面提升身份安全水平。

全面兼容上下游应用：芯盾时代UAP向上兼容市场上的统一认证管理产品，向下兼容各种架构、各种部署模式、采用各种权限框架的业务应用。企业无需全面改造即可升级权限管理能力。

全局访问权限自动化管理：借助芯盾时代UAP，企业基于身份信息和组织架构，统一管理所有业务应用的访问权限，实现自动化授权和权限同步回收，做到“权随职动，人离权销”，提升权限回收的时效性。

可视化权限合规审计：提供可视化的审计后台，支持以应用维度展示授权详情、账号授权方式等内容，管理人员可根据需求配置权限互斥规则，设置对权限违规事件的处置策略，实现权限违规快速响应。

双因素认证（2FA）系统——轻松实现多因素认证

芯盾时代2FA是轻量化、易集成的安全增强解决方案。通过移动安全认证技术与标准认证插件的结合，可在不改造目标系统的情况下，轻松实现双因素认证，提升身份认证的安全性，满足安全合规要求。

芯盾时代2FA具备以下特性：

兼容多种设备、应用、操作系统：芯盾时代2FA兼容各种认证协议，可应用于VPN、堡垒机等设备、各种架构的Web应用与应用、Windows、Linux等操作系统，以及各种中间件的身份认证场景。

标准集成方案，降低改造成本：提供Radius、LDAP、Web SDK、Scheme、Plugin、API等标准集成方案，大幅简化集成工作，无须改造系统便可实现外接双因素认证。

自研核心技术，移动认证更安全：芯盾时代自主研发的设备指纹、软件安全沙箱、智能终端密码模块、终端安全态势感知等产品技术，保证移动认证App和SDK在安全的终端环境中运行，为多因素认证提供安全支持。

操作系统用户身份与访问管理（OIAM）——替换微软AD域，构建信创基座

芯盾时代OIAM具备微软AD的所有核心能力，能够帮助企业无感替换AD域，还全面支持各种标准身份协议和组件，能够兼容各种操作系统、应用、设备。芯盾时代OIAM具备完全自主知识产权，兼容各种国产芯片、操作系统，能够为企业的信创建设提供有力支撑。

借助芯盾时代OIAM，企业能够一站式实现以下功能：

全面兼容各种操作系统：凭借对LDAP、AD、RSAT、Samba等标准协议和组件全面的支持性，OIAM能够无缝接入Ubuntu、CentOS、RedHat等Linux系统和统信UOS、麒麟KylinOS等国产操作系统，以及各种架构的应用和设备。

打通业务域与办公域的身份管理：芯盾时代能够将将OIAM接入IAM，从而统一管理办公域和业务域的身份信息，既能提升身份管理和身份认证的效率，又能简化员工操作，实现“开机即登录，全网都通行”。

满足合规要求，支撑信创建设：芯盾时代OIAM拥有完全自主知识产权，全面支持国产密码算法，适配全体系国产化软硬件、系统，满足信创要求。

网络设备3A管理系统（AAA）——网络设备不再“一套密码走天下”

芯盾时代AAA能够帮助企业强化对网络设备的身份管理与访问控制，彻底改变网络设备“一套密码走天下”的混乱局面，建立起“统一认证、精细授权、全程审计”的运维新范式，是思科ISE等国外产品的理想替代方案。

借助芯盾时代AAA，企业能够全面提升基础设施的安全性和可管理性：

全面兼容主流网络设备：芯盾时代AAA支持Radius与Tacacs+等主流认证协议，全面兼容国内外主流厂商的网络设备。

身份认证更加安全：基于自主研发的移动认证技术，芯盾时代AAA提供灵活认证策略，支持密码、OTP、密码+OTP，兼顾安全与便捷。

访问行为落实到人：芯盾时代AAA支持企业组织用户同步与管理、用户组管理，能够帮助企业实现网络设备认证、授权、审计一体化管理，将每一次访问行为落实到人，提升网络设备访问的安全性。

网络准入认证系统（NAA）——守好网络安全第一道防线

芯盾时代NAA将安全防线前置到网络接入的瞬间，对所有尝试接入企业网络的设备进行严格的身份验证和安全检查，通过对人与设备进行双重身份绑定和认证，实现“非认证，不接入”，从源头阻止非法设备进入内部网络。

芯盾时代NAA具备以下特性，能够帮助企业守好网络安全第一道防线：

设备兼容性好：通过802.1X认证协议、Portal认证协议兼容主流厂商网络接入设备。

认证策略更安全、更灵活：基于802.1X认证协议的认证策略控制，支持密码、令牌、推送等认证方式组合；基于Portal认证协议的认证策略控制，支持基于接入设备、环境因子实现丰富的密码、短信、扫码、令牌等认证方式组合。

身份管理能力更全面：支持LDAP同步、FTP同步、API推送、API拉取、社交软件同步等企业数据源同步方式，支持组织、用户、岗位、用户组管理能力，支持复杂的密码安全策略管理能力。

随着数字化转型逐步深入，企业的IT系统越发庞大、复杂，单点式的身份管理解决方案已难以满足企业的多样化需求，身份管理正式进入体系化时代。

芯盾时代的身份管理产品矩阵通过平台化的架构，将分散的身份管理能力有机地整合在一起，形成覆盖云端与本地、内部与外部、人类与非人类身份的统一治理框架。借助芯盾时代的身份管理产品矩阵，企业不但能建立完善的身份管理体系，防范针对身份的网络攻击，还能为数字化转型构建安全基座，为企业的未来发展赋能。