近年來，我國保險行業(yè)對外開放的步伐持續(xù)提速，吸引眾多外資保險公司加速布局中國市場。

作為全球保險巨頭，某外資保險集團（以下簡稱“X保險”）將中國市場視為重中之重。通過股權收購、戰(zhàn)略投資、設立新公司等方式，X保險的業(yè)務版圖從壽險、健康險擴展到財險，基本完成了直保端、渠道端、服務端的全鏈條覆蓋，在華業(yè)務持續(xù)快速增長。

支撐X保險在中國“搶灘登陸”的是其強大的數(shù)字化能力。借助一個個數(shù)字化業(yè)務應用，X保險建立了高效、可靠、靈活的業(yè)務體系，推動風險管理、市場營銷、客戶服務等工作高效運轉。

項目背景

隨著X保險在中國持續(xù)發(fā)力，新的業(yè)務應不斷上線，“數(shù)字身份”的管理難題日益突出，給其造成了一系列困擾。

1.多實體、多分支架構，身份信息無法統(tǒng)一管理

為了擴張業(yè)務版圖，X保險設立了中國總部和多家子公司，還通過股權收購參股了多家公司，形成了多實體、多分支的組織架構。在數(shù)字化建設中，X保險的中國總部、子公司、參股公司分別建立了多個業(yè)務應用。這些應用由不同公司管理運維，全集團員工共同使用。運維人員不但要管理本公司的人員信息，還要滿足外公司人員的訪問需求，只能在每個業(yè)務應用中都建立一套身份信息和組織架構，導致身份數(shù)據散、亂、雜，無法實現(xiàn)標準化管理。

2.身份管理依賴人工，效率、安全難以保障

由于缺乏統(tǒng)一的身份管理體系，X保險的員工在入職、離職、職務變動時，需要HR將信息同步給本公司和外公司的運維人員，由運維人員在不同的應用中手動創(chuàng)建、刪除賬戶，調整賬戶權限。這導致身份信息管理的鏈條長、節(jié)點多、時效慢，容易造成僵尸賬號、孤兒賬號。

3.權限管理不夠嚴格，存在數(shù)據泄露風險

由于各個業(yè)務應用的權限管理能力不一，運維人員只能單獨配置應用的權限管理模型、訪問控制策略，難以實現(xiàn)對業(yè)務資源的分級化、精細化管控，也無法實現(xiàn)基于風險信息的動態(tài)權限管理。

4.行業(yè)、總部雙重監(jiān)管，合規(guī)建設迫在眉睫

作為外資保險公司，X保險不但要滿足我國網絡安全法律法規(guī)、保險行業(yè)監(jiān)管制度的相關要求，還需要接受集團總部的合規(guī)審計。X保險迫切希望妥善解決“數(shù)字身份”的管理難題，同時滿足行業(yè)、總部對身份認證、訪問控制、權限管理的要求，為數(shù)字化戰(zhàn)略打好基礎。

方案設計

芯盾時代作為領先的零信任業(yè)務安全產品方案提供商，在IAM市場的占有率穩(wěn)居前列，在金融行業(yè)IAM市場處于領導地位，在銀行、保險、信托、證券領域擁有豐富的身份安全建設經驗。X保險經過全面考察，選擇與芯盾時代合作，基于芯盾時代用戶身份與訪問管理平臺（IAM），建設統(tǒng)一身份管理平臺。方案設計與功能如下：

1.利用芯盾時代IAM，對X保險IT系統(tǒng)中分散的身份數(shù)據進行治理，基于AD域和HR系統(tǒng)形成標準化的身份數(shù)據，為全集團提供唯一的身份源；通過IAM的標準化數(shù)據接口，與總部、子公司、參股公司的所有業(yè)務應用對接，接管所有業(yè)務應用的身份管理，實現(xiàn)跨網、跨域、跨應用的統(tǒng)一身份認證、統(tǒng)一權限管理、統(tǒng)一安全審計。

2.為X保險建立統(tǒng)一應用門戶，集成所有業(yè)務應用的訪問入口，配合單點登錄功能，實現(xiàn)“一次認證、全網通行”。

客戶價值

借助統(tǒng)一身份管理平臺，X保險建立了跨網、跨域、跨應用的身份管理體系，不但提升了對“數(shù)字身份”的管理水平，為數(shù)字化建設打好了基礎，還為運維人員、普通員工提供更好的數(shù)字化工具，提升了運維、辦公效率。目前，X保險的核心業(yè)務應用已全部接入統(tǒng)一身份管理平臺，取得了良好的應用效果。

1.統(tǒng)一管理身份信息，建立標準化管理機制

統(tǒng)一身份管理平臺投入使用后，X保險構建了覆蓋全中國區(qū)的員工身份管理體系，能夠為每個員工生成唯一可信的數(shù)字身份，建立了自動化流轉的用戶全生命周期管理機制。借助平臺，員工可以使用一個賬號登錄集團的所有業(yè)務應用，減少需要記錄、使用的密碼數(shù)量，運維人員可以一站式完成員工身份信息的創(chuàng)建與調整，統(tǒng)一設置多個應用的訪問權限、審計多個應用的訪問日志，大幅減少運維工作量，提升工作效率。

2.訪問權限自助申請，業(yè)務訪問更加安全

芯盾時代為X保險建立了自助服務中心，由不同公司的運維人員擔任負責建設運維的業(yè)務應用的管理員。當員工需要開通某一應用的訪問權限，或因職務變動需要變更訪問權限，只需在自助服務中心提出申請，由對應的管理員審批即可。借助此功能，X保險建立了層次清晰、分工明確的員工身份管理機制。

統(tǒng)一身份管理平臺支持ACL、RBAC、ABAC等多種權限管理模型，X保險能夠實現(xiàn)業(yè)務資源的“最小化授權”，并根據身份、設備、行為的風險信息，動態(tài)執(zhí)行放行、拒絕、二次認證、權限收斂等訪問控制策略，確保業(yè)務訪問的安全性。

3.統(tǒng)一業(yè)務域與辦公域，簡化員工操作流程

將AD域作為身份源后，X保險的員工可以用一個身份登錄終端設備和業(yè)務系統(tǒng)。借助統(tǒng)一應用門戶和單點登錄功能，員工在登錄終端設備后，無需再次認證即可登入應用門戶，直接訪問權限內的業(yè)務應用，“一次認證，全網通行”。

4.滿足內外合規(guī)要求，支撐企業(yè)數(shù)字化建設

芯盾時代的全線產品均滿足網絡安全等級保護、密碼應用安全性測評，以及保險行業(yè)各種監(jiān)管文件、國標、行標的要求。借助統(tǒng)一身份管理平臺，X保險全面提升了身份安全能力，降低了數(shù)據泄露和網絡攻擊的風險，順利通過了內外部的合規(guī)審計，從而提升整體安全水平。

芯盾視點

隨著我國金融業(yè)對外開放持續(xù)深入，將會有更多外資銀行、保險、信托、證券公司進入中國市場。芯盾時代在金融行業(yè)IAM市場處于領導地位，客戶案例眾多，實踐經驗豐富，產品方案久經考驗，已經為多家外資金融機構提供服務，是外資金融機構身份安全建設的理想選擇。