在管理和安全方面面临的挑战:
l 门店分布广、IT系统多、管理难度大
良品铺子门店地域分布广且分散,IT系统数量多且复杂,管理的难度和沟通成本巨大。
l 员工规模大、入转调离频繁,手动管理效率低
良品铺子因自身业务特点,门店店员人员调动和组织架构调整较频繁,IT部门需要花费大量的人力解决店员的入职、调动、离职以及重置密码等繁琐的日常工作。
l认证强度及方式急需提升
原有系统基本均采用的是用户名+密码方式,并存在大量用户忘记密码等现象,使得用户倾向于使用简单密码或者重复密码,密码风险难以管控给信息安全留下了隐患。
l 风险管控力度不足、审计不充分
原有系统在业务运行和访问过程中的风险控制手段较弱,无法动态进行访问控制,无法对弱密码、僵尸账号、孤儿账号、操作权限、管理权限等进行有效审计,在运行中和运行后的管理控制手段存在提升空间。
竹云IDaaS解决方案
良品铺子针对以上需求,选择竹云IDaaS建立统一身份认证体系。
u串联上下游业务,实现身份数据一致性:
将SAP HR模块作为上游统一身份源,人事部门在SAP中对员工入职调离操作后,竹云IDaaS随同入转调离事件,将机构信息、身份信息等同步到钉钉和AD中,保证多个身份源之间的数据一致性。
u简化身份管理流程,实现自动化作业:
竹云IDaaS连接下游各应用系统,通过基于用户组/岗位的自动授权策略,自动化的完成员工应用账号的开设、变更和关闭,提高工作效能。在员工入职后能够快速开通相应系统访问权限,即开即用;在员工离职后,竹云自动关闭其应用账号,杜绝安全隐患和信息资产外泄。
u简化员工操作,提高工作效能:
以竹云用户中心作为员工的应用访问门户,通过竹云IDaaS提供的SAML/OIDC等协议组件串接所有应用系统。员工可选择AD账号密码、短信验证码、钉钉扫码等方式认证成功一次后,即可通达所有有权访问的应用。
u提供全流程审计能力,帮助企业达到合规要求
竹云IDaaS通过自适应MFA、统一密码策略、统一应用权限视图等功能,同时提供详实的管理员操作、员工访问信息,以用户为基点,回溯其历史过程,帮助企业快速达到合规审计要求。
u基于零信任架构,对内外网应用进行整体保护:
竹云IDaaS基于零信任的理念,对内网应用进行端口隐藏,并在用户访问过程中,对其进行持续、动态的访问控制,保障业务访问及应用服务的安全。
方案效果
l纳管用户2万+人,包含内部员工、门店店员、加盟商等不同用户类型
l本期已接入应用20+个:包括内网应用(SAP GUI、泛微OA、AD、商品中台、会员中台、数据门户、门店系统、加盟商系统等),也包含外网及SaaS应用(钉钉、阿里邮箱、阿里云、简道云、云学堂、携程商旅等)。
l服务运行安全稳定:DAU日均6000+,每月月活MAU2万+ ,服务根据用户访问及业务情况自动弹性伸缩,充分保障服务稳定和业务连续性。
