東風汽車有限公司：數(shù)字化如何驅(qū)動車企角逐萬億市場？

東風汽車有限公司 ( DFL )成立于2003年6月9日，是東風汽車集團有限公司與日產(chǎn)汽車公司戰(zhàn)略合作攜手組建的中國首家擁有全系列乘用車及輕型商用車產(chǎn)品，汽車零部件和裝備，集汽車設(shè)計、研發(fā)、采購、生產(chǎn)、銷售、售后和出行服務(wù)為一體的汽車合資企業(yè)，也是日產(chǎn)公司在海外唯一的一個全系列合作項目。公司擁有東風、日產(chǎn)、啟辰和英菲尼迪四大品牌，注冊資本167億元人民幣。

東風汽車有限公司總部在武漢，旗下有東風日產(chǎn)乘用車公司、東風英菲尼迪汽車有限公司、東風汽車股份有限公司、鄭州日產(chǎn)汽車有限公司、東風汽車零部件（集團）有限公司五大事業(yè)部。主要生產(chǎn)基地分布在湖北、廣東、河南、遼寧、江蘇等地。2020年的整體銷量實績?yōu)?45萬輛。

賬號：集團內(nèi)部賬號管理信息化覆蓋率低，用戶需要記錄多個應(yīng)用網(wǎng)址、多套賬號密碼，同時，由于東風汽車各業(yè)務(wù)系統(tǒng)之間身份數(shù)據(jù)互不關(guān)聯(lián)，因此，存在部分應(yīng)用系統(tǒng)中組織數(shù)據(jù)、用戶身份數(shù)據(jù)不同步的情況，另外，在賬號管理方面，無法實現(xiàn)橫向拉通，且部分基于AD的應(yīng)用僅能同步賬號，無法同步用戶口令等；

數(shù)據(jù)源：HR系統(tǒng)數(shù)據(jù)源主要通過人工錄入，數(shù)據(jù)獲取方式單一，各系統(tǒng)數(shù)據(jù)無法及時同步；

流程：系統(tǒng)認證分散，每個系統(tǒng)在建設(shè)階段都要開發(fā)認證模塊。各應(yīng)用系統(tǒng)流程缺失，無集中有效的進行審批流程；

審計安全：大量系統(tǒng)存在弱口令的風險，各應(yīng)用系統(tǒng)審計獨立，無法有效監(jiān)控賬號的使用情況，致使各系統(tǒng)中存在大量無效用戶（空帳號/僵尸賬號）。

一套基礎(chǔ)數(shù)據(jù)，搭建四個基礎(chǔ)服務(wù)，通過集中的身份管理服務(wù)，形成完整統(tǒng)一且權(quán)威的身份數(shù)據(jù)源，面向應(yīng)用提供規(guī)范的認證和授權(quán)基礎(chǔ)服務(wù)，為東風汽車信息安全保駕護航。

方案特點：通過建設(shè)派拉統(tǒng)一身份管理平臺，為管理員構(gòu)建以web視圖方式呈現(xiàn)的，用戶身份與對應(yīng)的應(yīng)用系統(tǒng)賬號的集中管理和賬號全生命周期管理流程的配置。實現(xiàn)東風汽車用戶的AD/Exchange帳號創(chuàng)建、更改、回收查詢、禁用啟用及用戶在AD域或Exchange中更改密碼后反向同步至身份管理平臺的功能，并提供自助服務(wù)平臺，用戶可自助查詢個人信息且方便用戶自助對部分個人信息修改或密碼修改等。

賬號管理規(guī)范：上游與東風汽車用戶數(shù)據(jù)源對接，形成標準數(shù)據(jù)同步規(guī)范，下游系統(tǒng)遵循IAM提供的接口規(guī)范，形成平臺內(nèi)部用戶帳號管理規(guī)范。

應(yīng)用集成規(guī)范：針對企業(yè)內(nèi)應(yīng)用提供Oauth2.0應(yīng)用集成規(guī)范，同時提供saml協(xié)議認證，針對CS應(yīng)用提供form-base的模式接入。

用戶密碼統(tǒng)一SSO策略：通過對用戶密碼集中存儲，實現(xiàn)用戶密碼的統(tǒng)一管控，同時，根據(jù)密碼策略，保障用戶賬號密碼每90天更新一次，并需符合長度和復(fù)雜度的校驗。

MFA強認證：針對外部及外網(wǎng)訪問用戶及應(yīng)用啟用MFA強認證，保證平臺及用戶訪問的安全性。

AD域桌面單點:IAM和域控集成，實現(xiàn)域內(nèi)用戶，開機即訪問，提升用戶體驗。

實現(xiàn)內(nèi)外網(wǎng)統(tǒng)一認證:SSO 支持外網(wǎng)訪問，針對DFL外網(wǎng)部署的應(yīng)用提供更好的集成服務(wù)，啟用https訪問保證IAM平臺安全，方便用戶異地撥入VPN的繁瑣。