近年來，我國高等院校在《中國教育現代化2035》戰略的要求下，在《高等學校數字校園建設規范（試行）》的指引下，掀起了數字校園建設高潮。借助教學、科研、管理、服務等種類的業務應用，高校提升了業務的數字化、智能化水平，推動高等教育高質量發展。

在數字校園建設進程中，“數字身份”的重要性日益凸顯?！皵底稚矸荨奔仁菙底中@的“入口”，也是各個業務應用的“通行證”，是數字校園建設的重要基礎。只有建立一體化、標準化、智能化的數字身份管理系統，全面提升身份安全水平，數字校園建設才能行穩致遠。但在實際建設中，高校的數字身份管理卻面臨一系列的挑戰。

高校面臨的數字身份管理挑戰

1.身份信息割裂，形成“身份孤島”

高校的業務應用分為教學信息系統、科研信息系統、管理信息系統、服務信息系統等多種類型。這些業務應用的架構不一、部署方式不一，用戶身份信息分散存儲、分散管理。這導致高校IT系統內存在多個互不相通、標準不一的身份源，造成了一個個“身份孤島”。

隨著數字校園建設深入推進，高校的業務應用持續增加，多云、混合云環境逐步普及，云應用的比例逐步提高，使得高校的身份信息管理更加復雜。

2.用戶類型復雜，人員流動頻繁

高校的身份信息具有身份類型復雜，人員大批量、周期性流轉的特點。在身份類型上，高校存在教職工、學生、訪客、校友、科研合作伙伴等多種類型，每種類型都對應不同的管理模式。在學生入學、升學、畢業，以及教職工入轉調離時，高校需要在短時間內快速完成大批賬號的開通、注銷、權限調整，身份管理工作量極大。

3.業務應用繁多，缺乏統一入口

由于各個業務應用的架構不一（BS架構、CS架構），登錄入口眾多，認證界面不一，密碼體系與認證策略也不同，高校的教職工、師生不得不使用多個賬號密碼，通過不同的客戶端、網頁反復進行登錄操作，操作體驗不佳。

4.權限管理混亂，高度依賴人工

由于身份信息分散管理，高校普遍依賴人工管理訪問權限，權限的發放、回收、調整耗費大量人力，不但效率低下，還容易造成安全隱患。同時，高校的業務應用普遍存在過度授權、長期授權的問題，越權訪問、權限回收不及時都會帶來安全風險。

5.認證方式混亂，安全難以保證

由于各個業務應用的認證方式不同，高校難以實施全局統一的身份認證策略，通過實施多因素認證、動態認證提升身份認證的安全性，也難以通過強制定期改密、提升密碼強度來消除弱密碼等安全隱患。

6.缺乏審計數據，遇事無從追溯

在傳統的身份信息管理模式下，訪問日志分散在各個應用之中，管理員只能單獨審計不同的日志，難以以“身份”為線索跨應用追溯用戶訪問行為，輸出完整的、可視化的審計報表，無法預判潛在威脅和攻擊的情況。

芯盾時代IAM，助力高校破解數字身份管理難題

針對高校面臨的數字身份管理難題，芯盾時代基于自主研發的用戶身份和訪問管理平臺（IAM），幫助高校建立一體化、標準化、智能化的數字身份管理系統，為每一名訪問者生成唯一可信的數字身份，進而實現對身份信息、身份認證、訪問權限、審計日志的統一管理，全面提升高校的數字身份管理能力，為數字校園建設構筑身份安全基石。

1.建立權威身份源，實現身份信息統一管理

借助芯盾時代IAM，高校能夠對分散在業務應用中的身份信息進行統一治理，為每一名訪問者創建唯一的可信數字身份，為業務應用、辦公設備、網絡設備、安全設備、IT基礎設備提供權威、可靠的身份數據源，從而打破“身份孤島”，實現對全局身份信息的統一管理。

芯盾時代IAM全面支持各種身份認證協議，高?？梢猿掷m、便捷的將新建業務應用接入IAM平臺，免于重復建設，提升業務應用的一體化水平，為數字校園建設打好基礎。

2.身份信息自動化流轉，身份管理更高效

芯盾時代IAM統一納管所有應用、設備的身份信息后，高校的管理、運維人員能夠通過統一的管理后臺，一站式完成賬號的開通、注銷、權限調整，實現用戶身份信息的全生命周期管理。借助IAM的用戶屬性、用戶組管理能力，高校能夠快速、安全的完成大批量賬號的開通、注銷，滿足高校的特有需求。

同時，IAM還能幫助高校建立用戶身份信息的分級管理體系，設置多個級別的管理員，將身份信息職能下放，提升管理效率。IAM的自助服務中心支持用戶自助完成賬號注冊、修改密碼、修改個人信息、賬號權限調整等操作，高校可針對不同人群開放不同的自助服務功能，減少運維工作量。

3.建立統一應用門戶，實現單點登錄

借助芯盾時代IAM，高校能夠建立PC端、移動端的雙統一應用門戶，將所有BS架構和CS架構的業務應用、iOS和安卓系統下App的訪問入口集成在門戶之中。借助單點登錄功能，訪問者只需在登錄應用門戶時認證一次，就能通過門戶直接訪問所有權限內的業務應用，實現“一次認證，全網通行”。

4.落實最小化授權，提升訪問控制能力

芯盾時代IAM支持ACL、ABAC、RBAC等多種權限管理模型，高校能夠綜合運用各種模型，建立用戶屬性、用戶組、應用權限三者之間的動態關聯，實現默認授權與動態權限調整。IAM支持一級、二級、三級權限統一管理，訪問控制能力細致數據級，可以幫助高校按照應用和數據的重要等級設置訪問控制策略，落實最小化授權原則。

5.實施全局多因素認證，安全與便捷兼顧

芯盾時代基于自主研發的移動認證技術，為高校提供身份認證App和SDK，幫助高校一站式實現全局多因素認證。IAM支持密碼、App掃碼、短信驗證碼、動態口令、指紋識別、人臉識別等多種認證方式，并兼容微信、釘釘、飛書等互聯網認證源，讓訪問者靈活選擇認證方式，在認證時少輸密碼、不輸密碼，兼顧網絡安全與操作體驗。

6.提供統一訪問日志，實現業務訪問閉環管理

憑借IAM提供的統一訪問日志，高校能夠打破各個業務應用之間的信息壁壘，以身份為線索，追溯管理員操作行為、用戶登錄認證行為、用戶應用訪問行為、用戶應用資源操作行為，讓每一次訪問都透明可見。在可視化后臺的支持下，管理員能夠快速生成可視化分析報表，形成對業務訪問的閉環管理。

芯盾時代用戶身份與訪問管理平臺（IAM）能夠為高校解決數字身份管理難題，促進高校公共數據共享，提升信息化服務水平，助推高校數校園建設，推動高等教育事業高質量發展。