东风汽车有限公司：数字化如何驱动车企角逐万亿市场？

东风汽车有限公司 ( DFL )成立于2003年6月9日，是东风汽车集团有限公司与日产汽车公司战略合作携手组建的中国首家拥有全系列乘用车及轻型商用车产品，汽车零部件和装备，集汽车设计、研发、采购、生产、销售、售后和出行服务为一体的汽车合资企业，也是日产公司在海外唯一的一个全系列合作项目。公司拥有东风、日产、启辰和英菲尼迪四大品牌，注册资本167亿元人民币。

东风汽车有限公司总部在武汉，旗下有东风日产乘用车公司、东风英菲尼迪汽车有限公司、东风汽车股份有限公司、郑州日产汽车有限公司、东风汽车零部件（集团）有限公司五大事业部。主要生产基地分布在湖北、广东、河南、辽宁、江苏等地。2020年的整体销量实绩为145万辆。

账号：集团内部账号管理信息化覆盖率低，用户需要记录多个应用网址、多套账号密码，同时，由于东风汽车各业务系统之间身份数据互不关联，因此，存在部分应用系统中组织数据、用户身份数据不同步的情况，另外，在账号管理方面，无法实现横向拉通，且部分基于AD的应用仅能同步账号，无法同步用户口令等；

数据源：HR系统数据源主要通过人工录入，数据获取方式单一，各系统数据无法及时同步；

流程：系统认证分散，每个系统在建设阶段都要开发认证模块。各应用系统流程缺失，无集中有效的进行审批流程；

审计安全：大量系统存在弱口令的风险，各应用系统审计独立，无法有效监控账号的使用情况，致使各系统中存在大量无效用户（空帐号/僵尸账号）。

一套基础数据，搭建四个基础服务，通过集中的身份管理服务，形成完整统一且权威的身份数据源，面向应用提供规范的认证和授权基础服务，为东风汽车信息安全保驾护航。

方案特点：通过建设派拉统一身份管理平台，为管理员构建以web视图方式呈现的，用户身份与对应的应用系统账号的集中管理和账号全生命周期管理流程的配置。实现东风汽车用户的AD/Exchange帐号创建、更改、回收查询、禁用启用及用户在AD域或Exchange中更改密码后反向同步至身份管理平台的功能，并提供自助服务平台，用户可自助查询个人信息且方便用户自助对部分个人信息修改或密码修改等。

账号管理规范：上游与东风汽车用户数据源对接，形成标准数据同步规范，下游系统遵循IAM提供的接口规范，形成平台内部用户帐号管理规范。

应用集成规范：针对企业内应用提供Oauth2.0应用集成规范，同时提供saml协议认证，针对CS应用提供form-base的模式接入。

用户密码统一SSO策略：通过对用户密码集中存储，实现用户密码的统一管控，同时，根据密码策略，保障用户账号密码每90天更新一次，并需符合长度和复杂度的校验。

MFA强认证：针对外部及外网访问用户及应用启用MFA强认证，保证平台及用户访问的安全性。

AD域桌面单点:IAM和域控集成，实现域内用户，开机即访问，提升用户体验。

实现内外网统一认证:SSO 支持外网访问，针对DFL外网部署的应用提供更好的集成服务，启用https访问保证IAM平台安全，方便用户异地拨入VPN的繁琐。