“用户”全生命理
——浙江建工统一身份管理系统
2019年11月
副总工程师
信息中心主任
目 录
01
02
建设背景
建设方案
03 建设成效
04 发展趋势
建设背景01
建设历程
完成中心机房建设,OA\
PM\ HR\AM
等信息管理系统全面实施
通过特级资质信息化考
评,短信平台上线使用
资金成本管理全面实施
;某著名企业终端平台
上线实施
备战特级资质信息化考评
,RTX即时通讯平台上线
使用
完成集团监控指挥中心建
设,建立三级监控管理体
系,工地可视化管理系统
全面上线实施
资金预算、
进度管理、
工程实体检测
系统上线实施
建设历程
新HR系统上线,全面预
算、集中采购、电子签章、
某著名企业端RTX及宝利
通硬件视频会议系统上线
实施
新大楼数据中心建设、灾备中
心建设;PM系统分供商管理、
招标管理、审计管理;HR系统
证照管理、劳动合同管理上线
实施
统一身份管理系统、
劳务实名制系统、新
手机APP上线实施;
决策中心建设
融资管理、二级单位发文
和信息发布上线实施;搭
建资金支付平台,资金成
本信息化全面推进
业务财务一体化全面实施;
报表中心建设;HR系统干部
管理、挂职管理;人力资源
企业信息、发文、权限管理、印章管理、函件管理和固定资产管理等业务
均已实现网上流程审批。实现了二级单位的协同办公管理和电子签章在用印
审批中的应用。
OA系统
发文管理 企业信息 图片新闻
会议管理 固定资产管理 二级单位应用
印章管理 权限管理 函件管理
OA系统
项目管理实现了以合同管理为基础、成本控制为主线,基于工程施工阶段
的全生命理。
PM系统
工程投标阶段 立项及准备阶段 项目实施阶段 竣工交付阶段
工程项目全生命理
专业
分包
管理
成本
控制
劳务
分包
管理
租赁
合同
管理
质量管理
安全管理
科技管理
进度管理
生产管理
设备管理
集中采购
成本核算 合同结算材料出库 其他间接费用录入
成本
预算
业主合同管理
采购合同管理
劳务分包管理
专业分包管理
租赁合同管理
成本分析 成本动态分析
分供商管理
资金管理
国家定额+行业定额+地方定
额+企业定额+清单计价
物料
管理
风险管理
报名工程登记
投标工程立项
标书编制
定标纪要
开标登记
中标登记
业主合同评审
业主合同签订
项目立项
项目部成立
项目人员配置
开通权限
合同预算
目标成本
招标管理
合同管理
结构验收
竣工验收
竣工备案
竣工结算
回访与保修
工程资料归档
风险
管理 成本超标预警 进度拖期预警 合同变更预警 资金支付预警 物料领用预警 资金平衡预警 质量、安全事故预警
项目管理驾驶舱
项目绩效分析 成本指标分析 产值指标分析 利润指标分析 进度指标分析 项目风险分析
PPP合同评审
投标总结
工程业务信息跟
踪
建设基于“人才为核心”的人力资源管理系统,实现建工“人”的全生命理。
HR系统
组织管理
人员管理
绩效管理 任职资格
能力素质
培训管理
人力资源规划
合同管理
薪酬管理
证照管理
功能
模块
晋升管理
干部管理
HR系统
四库
一平台
人员数据
企业数据 项目数据
证书数据
证照管理模块通过对员工证照的集中统一管理,实现人、证书、项目的联动
管理,提高企业证照管理效率。
HR系统
协同办公系统
项目管理系统
人力资源系统
财务管理系统
档案管理系统
视频监控系统
决策中心
云资料平台
门户网站
RTX、有度
企业邮件系统
网络学院
劳务实名制系统 视频会议系统
手机APP
电子签章系统
实体检测系统
能耗监测系统网采平台
信息系统
系统应用情况
1
2
3
4
纳入系统管理的项目
1562个
上线业务流程
317个
有效帐号
3828个
系统数量
20多个
5
数据量
5T
6
每天在线人数
OA:300左右
PM:500左右
IT管理面临迫切问题
流程效率低
• 手工进行各个信息系统的帐号管
理、授权管理,容帐号管理遗漏、
误操作等风险,并且费时费力、
效率低下。
• 为了避免记忆不同的复杂密码,部
分用户选择在不同系统中使用相同
的密码或简单弱口令。
• 二级单位、项目部帐号借用、共用
现象比较普遍。
存在高危安全风险
IT集约管理能力弱
• 90%安全风险无法预知,只能采
取救火式运维机制;
• 投入至少3倍甚至更多资源处理用
户体验问题;
• 存在重复功能建设,额外花费
50%的建设成本。
用户体验差
• 用户需记忆多个系统的密码;
• 用户仍需保存多个常用系统访问地
址;
• 用户忘记密码,频繁联系管理员处
理。
无法有效支
撑合规审计
• 基于用户管理及访问行为,仅能获
取20%的审计数据;
• 大多采取人为数据采集、分析,难
以有效支撑审计时效性;
• 缺乏实时有效的事前、事中审计,
事后责任难以追溯到人。
难以满足业务
战略扩展
• 信息化资源整合缺乏平台和规范
体系;
• 企业并购与业务转型,信息系统
无法支撑业务融合;
• 内外部应用存在多套管理架构和
体系,信息系统无法快速响应业
务需求。
打造基础安全平台必要性
面临挑战
业务整合
迫切度
信息资产
安全
业务流程
风险控制
精细化
管理
信息化发展趋势
安全风险 用户体验
管理提升审计要求
建设必要性
统一身份管理在信息化过程中
作为基础安全平台,成为一种
趋势;
统一身份管理是整合(用户身
份、授权、访问、合规)信息
化的最有效最便捷的技术手段;
可帮助提升经营效益、优化流
程、加强安全和降低经营风险;
可有效执行合规管理要求。
02 建设方案
战略定位
企业须将信息安全、身份安全管理纳入经营战略规划中
总部
二级单位
基础安全平台
用户 某著名企
业用户
外部用户
面向全用户
面
向
业
务
面
向
战
略
办公业务
核心业务
外部业务
互联网业务
资源整合
业务融合
科技创新
安全经营
集中用户
主数据服务
统一访问管理
集中权限管理 集中合规管理
统一身份安全管理与访问控制平台
建设目标
单点登录
创建基于身份管理的统一认证。
通过单点登录,提升系统登录效
率和体验。
提供统一的应用导航。
身份管理
建立统一的身份数据源。
规范再建系统账号命名规
则。
统一授权
创建基于身份管理的授权管理。
提供多个系统的统一权限管理。
构建企业权限视图,规范权限
控制。
建设内容
• 访问安全管理:集中访问入口管理
和访问控制策略配置
• 访问安全加强:多种安全认证,适
应不同业务场景
• 安全预警与监控:事前、事中、事
后一体化访问安全预警和审核机制
• 准入授权:基于应用准入的访
问授权
• 细粒度授权:基于角色、数据、
菜单等多维权限管控
• 权限策略:权限控制与分配
• 权限互斥:集中授权和权限互
斥管理
• 身份统一管理:用户身份
统一管理
• 数据集中管理:权威主数
据供给
• 流程效率管理:账号与授
权流程管理
• 制度规范:用户命名规范、
应用整合接入规范、安全策
略标准、访问准入规范
• 组织职责:平台管理员职责、
运维职责、分级管理职责等
• 审计管理:合规预警与监控
系统架构
统一身份认证平台应用导航
用户权威
数据源
用户管理 访问管理 权限管理 合规管理
数据存储 硬件设施
JDBC认证 LDAP认证 LTPA认证 RADIUS认
证SPNEGO认
证
X509认证
Trusted认
证
OAUTH认证 OpenID认证 SAML认证 JWT认证同步引擎
策略管理
连接器
配置管理
同步
服务
访
问
管
理
外部业务系统业务系统
网络
应
用
层
数
据
层
服
务
层
Windows桌面访问 某著名企业终端访
问
浏览器访问 用户 管理员
网络
业务功能模块架构
WEB用户 某著名企业用户
WEB应用导航 某著名企业应用导航
统一认证接入服务
用户身份管理服务
用户账号管理 用户权限管理 用户自助服务
用户身份管理和认证基础服务
身份信息同步服
务
权限信息同步服
务
应用集成管理服
务
账号供应/回收服
务
权限赋予/收回服
务
认证/单点登录服
务
用户身份和认证数据服务
统一身份与认证管理平台
用户身份库 用户认证目录
融合认证服务
PKI认证
OTP认证
短信认证
生物认证
集成应用系统
HR系统
PM系统
OA系统
邮件系统
用户全生命理
入职 调岗 兼职 离职 返聘
账号创建 账号变更 账号合并 账号禁用 账号启用
身份数据源
建立用户统一身份数据源
以HR系统员工数据为主,PM系统为辅建立
用户统一身份数据源。同时支持管理员导入
用户和用户自注册方式录入。
建立应用角色权威库
获取应用系统角色定义,建立建工应用角色
权威库。
统一身份安全管理平台用
户
外
部
用
户
HR系统(主要来源)
PM系统(补充来源)
管理员导入
用户自注册
用户身份信息来源
应
用
系
统
PM系统 HR系统 OA系统
应用角色
定义来源
统一访问管理
邮件系统
OA系统
AD域
生产维护系统
工号:058490
统一登录 应用集中导航
统一访问控制平台
1 多终端设备支持
2 多认证方式支持
3 多应用类型支持
一次登录
统一账号,统一密码,一次登录即可访问各类应用
多认证方式
多认证方式保障安全性
集中导航
应用集中展示
统一权限管理
组织1
组织2
财务系统角色1
人资角色1
技术服务角色1
财务管理
财务查询
人力资源管理
人力资源查询
技术服务管理
技术服务查询
业务角色 应用角色组织机构/岗位
稽核审计查询
稽核审计管理
人力资源审计
人资角色2
授权对象
岗位1
人资角色3
安全审计
访问行为分析
统计用户登录/登出认证数量
时间段内活跃用户统计排行
时间段内应用访问量统计排行
时间段内指定用户账号的登录位置跟踪
…
身份管理分析
重复账号统计报表
违建账号统计报表
僵尸账号统计报表
用户账号状态报表
…
运维管理分析
数据同步监控与预警
用户身份认证监控与预警
各接口异常预警
用户令牌有效性认证监控
…
安全监控与预警
发生用户用非正常IP登录时,系统发出告警
发生用户用非时间登录时,系统发出告警
发生用户登录失败次数超过指定阀值时,系
统发出告警
发生用户异地登录时,系统发出告警
…
身份报表平台
用户统一入口
帐号安全
某著名企业端APP
认证方式
一级
二维码
动态口令
账号密码
二级
指纹 人脸
手势 声纹
系统主页
应用授权方式
应用授权
方式
自定义授权
角色可见
全员可见
集成方式
OA系统
PM系统
HR系统
AM系统
企业邮箱
决策中心
劳务实名制系统
单点登
录
门户网站
网络学院
视频监控系统
资料系统
权限平台
直接跳
转
RTX
运行客
户端
待办任务
新邮件
在线用户
登录日志
项目实施情况
统一登录:统一入口访问
统一账号:3000+用户
集成应用:20+应用
集成方式:单点登录、直接跳转、运行客户端
认证方式:二维码/动态口令+人脸/声纹/指纹/手势
授权方式:自定义授权、角色授权、全员可见
03 建设成效
建设成效
提高用户满意度
提高系统管理效率
提升用户帐号安全
控制用户访问行为
实现权限统一管理
01
04
02
03
建设
成效
05
全生命理
PM •施工阶段
HR •人
IAM •用户
04 发展趋势
信息化建设基础
• 制定标准的编码管
理体系,实现企业
数据的标准化管理
• 所有的应用从统
一入口进入
• 提供标准的数据交
换机制,便于系统
集成
• 规范用户的访问行
为,实现帐户的安
全管理
统一
主数据
统一数
据接口
统一应
用入口
统一身
份认证
大数据
IOT
BIM
AI
区块链
趋势
数字时代数字时代
Thank you!
