长江电力：智慧能源企业用「身份」管控，为「安全」发电！

IAM平台全面集成集团E-HR系统和ECN系统，实现内部员工与外部供应商身份数据的全面打通，建立长江电力唯一权威身份数据源，向下游系统集中供应身份数据，实现从核心数据源到各应用系统间的身份数据的同步。

组织岗位账号同步功能，可实现根据情况按照需要，同步指定范围的组织和账号，而无需每次都全量同步，提高了同步的效率，缩短了同步的时间，降低了同步失败的概率和风险，实现了组织岗位账号按需同步，灵活机动。

IAM平台与各个系统单点集成，实现了对各个系统在平台的归集、排序和认证校验，减少了进入应用系统的步骤，提升用户登录效率。同时抛弃原有明文密码传输、接口校验的认证方式，采用OAuth2.0、SAML、OIDC等标准协议实现应用单点登录认证，加强应用系统单点登录认证通道安全；

将动态口令、二维码扫描、人脸识别方式集成进现有的掌上长电APP，使用能通过掌上长电APP任选一种方式进行身份的认证。同时保留传统的用户名密码的方式的登录认证，同时采用动态滑块认证方式，防范恶意攻击行为。

IAM平台分级分域管理功能，支持组织架构、用户数据、应用系统数据的分级分权管理；集团管理员可以管理所有用户、组织架构、账号信息；子公司管理员可管理权限内的的组织、用户、账号信息。既满足长江电力集团集中化管理需要，也满足分辖管理的需求。

IAM平台通过用户岗位角色进行自动化权限分配；员工离开工作岗位后，管理员通过IAM平台可一键停用账号，并对该账号所关联的所有系统进行清权操作，无需多系统后台重复清权，有效规避离职员工的账号风险；

部分应用存在多人共用帐号情况，对于此类公共帐号，IAM平台中可通过主从账号映射授权的方式可以将一个账号与多个用户的登录账号建立映射授权关系，在同一时间段用户同时使用公共账号时也可以进行实名制审计，从而保障所有操作的可追溯性。

IAM平台提供了一个集中存储中心以日志的形式记录用户所有操作。审计人员、安全管理人员可以随时查看这些记录用户、系统和应用的日志信息。同时审计功能可以记录所有用户帐号管理的行为，节省审计时间，加快审计人员响应速度。

用户可通过IAM平台自助申请应用系统账号，各层级相关领导线上审批通过后，审批通过后IAM自动开通相应应用账号。线上流程化申请，提高帐号开通效率，简化了信息部门的运维工作压力。

IAM平台用户自助解锁、找回密码功能，同时IAM可通过人脸识别、动态口令、短信码的方式进行身份的鉴定，保障自助操作为本人操作，防止恶意自助所带来的安全风险。自助功能改变了原有人为线下找信息部申请的方式，极大的提高运维效率，同时优化用户体验。


连续数年在基础设施和系统建设方面的持续投入，让长江电力在信息化能力方面打下了良好的基础，逐步实现了企业精益生产、精细化管理、精准考核等方面的业务管理需要；而企业信息安全作为数字化转型的基础，亦是长江电力信息化布局中的重要一环。此次携手派拉软件构建IAM管理平台，打通了长江电力应用系统身份体系，为长江电力的信息安全体系打下了扎实基础，更进一步深化了企业内部的信息化进程！