甘肃电投：“三化”改造践行者

甘肃省电力投资集团有限责任公司（甘肃省投资集团有限责任公司）是省政府出资设立的国有大型投资公司和国有资本投资公司改组试点单位。集团围绕全省传统优势产业、战略性新兴产业、重大基础设施规划实施项目，坚持“绿色发展”理念，持续发展新动能，打造全省“水火油气风光核”丝绸之路现代能源综合示范基地战略。经过30多年的改革发展，打造了能源和现代服务业两大产业，形成了电力热力、能源化工、数据信息、产业置业、会展文创、产业金融等6大板块。

集团公司积极贯彻落实“三化”改造，但在改造过程中信息化系统的大量建设也带来了新的问题，如人员信息分散、接入方式不统一、认证方式不安全、数据来源的不一致、系统维护困难等。为助力集团内部多业务板块高效协同，赋能管理和服务提质增效，提升集团信息化改造水平。甘肃电投携手派拉软件搭建统一数字身份管理平台（IAM），有效的改善和解决用户跨组织跨平台的信息对称问题，为集团提供账号全生命周期管理，实现各信息系统单点登录，提高访问安全等级，合理分配集团资源，也为“三化”的改造提供支撑和保障。

针对目前VPN认证形式单一的问题，统一身份认证通过与VPN的集成，将认证与网络连接分离，同时提供更高强度的认证手段，防止攻击者通过弱口令、暴力撞库等攻击黑入内网，造成数据泄露。

当用户在外网环境远程办公时，不需要直接连接VPN，先访问统一身份认证系统，使用手机号+短信验证码、钉钉扫码、用户名+密码+滑块验证码进行强身份认证，认证成功后通过SSO插件自动完成VPN拨号连接，进入内网环境。由于所有连接都是通过统一身份认证系统来完成的，所以对于来自外网的访问都能做到可控可管可查。满足“三化”改造对于加强信息安全技术应用，提高信息安全防护能力，对信息的安全运行进行全方位监控的要求。

钉钉作为甘肃电投的办公平台，除了日常即时通讯、协同办公以外，还可以与IAM进行集成，统一甘肃电投各业务系统在移动端的入口。

IAM系统通过统一帐号管理，将公司人员信息以SDK方式完成与钉钉通讯录同步。同时将发布在钉钉内的应用与IAM系统进行认证整合，当用户在钉钉中点击访问业务系统时，可以直接免密完成认证，从而实现移动端单点登录，为移动办公带来流畅体验，提高了办公自动化程度和综合管理水平。

Acount (账号管理): 定义集团统一的帐号规则，建立以人为中心，实现人员的创建、修改、停用、启用等一系列全周期管理。

Authentication (认证管理): 建立甘肃电投统一认证中心，提供多因素认证方式，实现应用访问的安全登录。

Authorization (授权管理): 基于角色和流程，构建甘肃电投统一授权模型，实现应用系统权限的集中管控。

Audit (审计管理): 对身份管理行为、平台操作行为、授权行为、用户访问行为进行集中审计，为事后追责提供可查机制。

Application (员工自助管理): 建立甘肃电投员工自助服务中心，员工可以自助修改个人信息、找回密码、修改密码、认证方式绑定，极大减轻账号运维工作量。