近年来，我国高等院校在《中国教育现代化2035》战略的要求下，在《高等学校数字校园建设规范（试行）》的指引下，掀起了数字校园建设高潮。借助教学、科研、管理、服务等种类的业务应用，高校提升了业务的数字化、智能化水平，推动高等教育高质量发展。

在数字校园建设进程中，“数字身份”的重要性日益凸显。“数字身份”既是数字校园的“入口”，也是各个业务应用的“通行证”，是数字校园建设的重要基础。只有建立一体化、标准化、智能化的数字身份管理系统，全面提升身份安全水平，数字校园建设才能行稳致远。但在实际建设中，高校的数字身份管理却面临一系列的挑战。

高校面临的数字身份管理挑战

1.身份信息割裂，形成“身份孤岛”

高校的业务应用分为教学信息系统、科研信息系统、管理信息系统、服务信息系统等多种类型。这些业务应用的架构不一、部署方式不一，用户身份信息分散存储、分散管理。这导致高校IT系统内存在多个互不相通、标准不一的身份源，造成了一个个“身份孤岛”。

随着数字校园建设深入推进，高校的业务应用持续增加，多云、混合云环境逐步普及，云应用的比例逐步提高，使得高校的身份信息管理更加复杂。

2.用户类型复杂，人员流动频繁

高校的身份信息具有身份类型复杂，人员大批量、周期性流转的特点。在身份类型上，高校存在教职工、学生、访客、校友、科研合作伙伴等多种类型，每种类型都对应不同的管理模式。在学生入学、升学、毕业，以及教职工入转调离时，高校需要在短时间内快速完成大批账号的开通、注销、权限调整，身份管理工作量极大。

3.业务应用繁多，缺乏统一入口

由于各个业务应用的架构不一（BS架构、CS架构），登录入口众多，认证界面不一，密码体系与认证策略也不同，高校的教职工、师生不得不使用多个账号密码，通过不同的客户端、网页反复进行登录操作，操作体验不佳。

4.权限管理混乱，高度依赖人工

由于身份信息分散管理，高校普遍依赖人工管理访问权限，权限的发放、回收、调整耗费大量人力，不但效率低下，还容易造成安全隐患。同时，高校的业务应用普遍存在过度授权、长期授权的问题，越权访问、权限回收不及时都会带来安全风险。

5.认证方式混乱，安全难以保证

由于各个业务应用的认证方式不同，高校难以实施全局统一的身份认证策略，通过实施多因素认证、动态认证提升身份认证的安全性，也难以通过强制定期改密、提升密码强度来消除弱密码等安全隐患。

6.缺乏审计数据，遇事无从追溯

在传统的身份信息管理模式下，访问日志分散在各个应用之中，管理员只能单独审计不同的日志，难以以“身份”为线索跨应用追溯用户访问行为，输出完整的、可视化的审计报表，无法预判潜在威胁和攻击的情况。

芯盾时代IAM，助力高校破解数字身份管理难题

针对高校面临的数字身份管理难题，芯盾时代基于自主研发的用户身份和访问管理平台（IAM），帮助高校建立一体化、标准化、智能化的数字身份管理系统，为每一名访问者生成唯一可信的数字身份，进而实现对身份信息、身份认证、访问权限、审计日志的统一管理，全面提升高校的数字身份管理能力，为数字校园建设构筑身份安全基石。

1.建立权威身份源，实现身份信息统一管理

借助芯盾时代IAM，高校能够对分散在业务应用中的身份信息进行统一治理，为每一名访问者创建唯一的可信数字身份，为业务应用、办公设备、网络设备、安全设备、IT基础设备提供权威、可靠的身份数据源，从而打破“身份孤岛”，实现对全局身份信息的统一管理。

芯盾时代IAM全面支持各种身份认证协议，高校可以持续、便捷的将新建业务应用接入IAM平台，免于重复建设，提升业务应用的一体化水平，为数字校园建设打好基础。

2.身份信息自动化流转，身份管理更高效

芯盾时代IAM统一纳管所有应用、设备的身份信息后，高校的管理、运维人员能够通过统一的管理后台，一站式完成账号的开通、注销、权限调整，实现用户身份信息的全生命周期管理。借助IAM的用户属性、用户组管理能力，高校能够快速、安全的完成大批量账号的开通、注销，满足高校的特有需求。

同时，IAM还能帮助高校建立用户身份信息的分级管理体系，设置多个级别的管理员，将身份信息职能下放，提升管理效率。IAM的自助服务中心支持用户自助完成账号注册、修改密码、修改个人信息、账号权限调整等操作，高校可针对不同人群开放不同的自助服务功能，减少运维工作量。

3.建立统一应用门户，实现单点登录

借助芯盾时代IAM，高校能够建立PC端、移动端的双统一应用门户，将所有BS架构和CS架构的业务应用、iOS和安卓系统下App的访问入口集成在门户之中。借助单点登录功能，访问者只需在登录应用门户时认证一次，就能通过门户直接访问所有权限内的业务应用，实现“一次认证，全网通行”。

4.落实最小化授权，提升访问控制能力

芯盾时代IAM支持ACL、ABAC、RBAC等多种权限管理模型，高校能够综合运用各种模型，建立用户属性、用户组、应用权限三者之间的动态关联，实现默认授权与动态权限调整。IAM支持一级、二级、三级权限统一管理，访问控制能力细致数据级，可以帮助高校按照应用和数据的重要等级设置访问控制策略，落实最小化授权原则。

5.实施全局多因素认证，安全与便捷兼顾

芯盾时代基于自主研发的移动认证技术，为高校提供身份认证App和SDK，帮助高校一站式实现全局多因素认证。IAM支持密码、App扫码、短信验证码、动态口令、指纹识别、人脸识别等多种认证方式，并兼容微信、钉钉、飞书等互联网认证源，让访问者灵活选择认证方式，在认证时少输密码、不输密码，兼顾网络安全与操作体验。

6.提供统一访问日志，实现业务访问闭环管理

凭借IAM提供的统一访问日志，高校能够打破各个业务应用之间的信息壁垒，以身份为线索，追溯管理员操作行为、用户登录认证行为、用户应用访问行为、用户应用资源操作行为，让每一次访问都透明可见。在可视化后台的支持下，管理员能够快速生成可视化分析报表，形成对业务访问的闭环管理。