IAM系统负责用户身份治理与管理、权限管理、安全认证、单点登录、行为审计等业务，与数据源系统、基础认证能力、应用系统等进行集成。IAM用户群体包括普通用户、超级管理员、应用管理员等。

纵向分为应用层、服务层、功能层、数据层；横向分为应用门户、认证APP、管理系统、身份治理、身份认证、单点登录、审计管理等模块。

系统使用SpringCloud/SpringBoot微服务架构（兼容K8S服务治理），把产品划分为不同的微服务，各微服务独立部署，支持横向扩展、高可用、高并发。

问题：多系统多用户管理复杂、各系统用户信息不一致、存在孤儿帐号僵尸帐号、没有集中存储和管理身份。统一身份管理，对HR用户（组织用户源）、IAM身份（主账号）、应用账号（从账号）进行治理及管理，形成用户统一认证身份，实现用户全生命周期管理。统一身份管理方案主要包括组织用户同步、组织用户管理、应用账号管理、应用账号同步。

统一用户管理支持用户全生命周期的管理，实现用户、权限、应用账号自动化流转机制，形成管理规范、减少人工操作，建立身份安全基线。

系统支持应用账号拉取与推送，按照应用维度配置同步方式，实现应用账号自动同步。

问题：大量帐号密码登录、各系统密码策略不一、认证方式单一、没有覆盖移动端等新场景。IAM依托移动安全核心技术、提供多种认证能力、灵活认证策略、丰富认证场景，满足企业安全、合规、易用诉求。

支持传统认证、移动认证、生物认证、证书认证等技术，实现所知、所持、所有三个维度的认证能力。

支持配置登录认证策略与访问认证策略，根据用户、应用、环境、行为等因子触发二次认证流程。认证策略支持单因素、双因素、认证分级策略。认证分级策略支持对认证方式分级，对应用分级，当以低安全等级认证方式登录访问高安全等级应用时，需要用户进行二次认证。认证分级策略可以按照应用、用户维度设置认证策略。

提供密码安全策略内容，包括密码复杂度、连续错误次数、错误锁定时间、简单密码屏蔽等；支持密码错误一定次数后，自动锁定账号或加强二次验证。提供弱密码管理功能，自带弱密码库，支持编辑，支持自定义弱密码规则等，可禁止弱密码用户登录，强制修改密码等。

IAM支持Windows AD域认证作为一种认证方式，用户通过AD域登录操作系统后可以直接通过浏览器访问应用门户和应用系统。

问题：权限分散管理，无法确认用户有哪些权限；人员异动离职权限回收难；统一权限管理涉及访问权限（用户可以访问哪些应用）、应用权限（应用账号操作权限）。传统方案是由应用管理员给用户在应用中开通账号并分配权限，开通账号即代表用户拥有该应用访问权限，依靠人工管理，缺乏管理标准与操作审计，存在较大管理工作量以及安全隐患。应用可能采取不同的权限框架（比如Shiro、Spring Security、自定义框架），不同的权限模型（RBAC、ACL、RBAC+ACL等），不同的权限粒度（菜单、按钮、数据等），应用权限管理比较复杂，难以标准化。芯盾时代IAM支持访问权限与应用权限管理方案，两者互相独立。

IAM集中管理用户身份与应用权限信息，对于体系复杂、用户规模大、应用数量多的企业集团来说，从管理运营体系、管理效率等方面考虑，存在分级管理需求，也就是按照功能、组织、应用来进行分级管理。IAM通过RBAC1、ABAC模型构建灵活的分级管理方案，满足功能分级、组织分级、应用分级等管理业务场景。

IAM对第三方应用调用IAM API服务进行统一授权，支持Oauth2.0协议与数据加密加签，保证数据安全性。

问题：每个系统单独入口；无法自己修改信息和密码；需要反复登录；支持标准协议实现单点登录，可以保证安全性与标准化，应用系统需要简单改造。芯盾时代IAM产品支持Cas、Oauth、OIDC、SAML、JWT标准协议，并提供应用模板、SDK、API、Demo、集成文档等支持，简化应用对接工作。