大型集团数字化现状洞察,三步解决组织分级分权管理难题|身份云研究院
在经历全球范围的疫情冲击后,疫情对企业数字化转型的影响已经从初期被迫式、局部场景的“云办公”转化为长期深远地全场景影响。加之近年中美技术加速解耦,以及信创政策的加持下,中国企业在数字化转型中使用本地化解决方案代替原有的外企套装软件的情况正在加速。同时以OpenAi 为主导的人工智能领域地突破,种种因素给企业数字化转型到来的新的难题和契机。
数据显示,在经历疫情后,中国企业数字转型成熟度稳步提升,转型成效显著的领军企业营收增速达到其他企业的 4 倍,国有企业和大型集团作为排头兵已经进入数字化转型的深水区和分水岭。数字化转型是涉及企业全业务、跨职能的系统性长期工程,数字化转型没有“银弹”,更不可能一蹴而就。
据统计,超半数企业由于缺乏前瞻性布局,经历大刀阔斧的转型后,数字化价值效益不明显。本文将剖析集团型企业数字化转型现状与难度,以及如何通过构建集团身份中台以及多租户架构,提升大型集团及下游子公司管理效能,并为集团构建适应未来发展的数字化身份基础设置。
01.集团型企业数字化管理现状洞察
集团型组织通常具备下游企业众多、业态丰富、层级复杂、跨多区域、人员庞杂且变动频繁等特点。同时由于集团型组织中的 IT 力量分布在旗下各子公司的各层级单位,并因不同子公司业务、区域、技术力量等客观因素的限制,导致在数字化建设过程中各子公司数字化转型的认知、侧重、程度等多方面存在差异,子公司与子公司间孤岛式搭建数字化体系,各子公司内部也是烟囱式构建数字化系统。这些因素进一步导致集团数字化转型面临以下挑战:
1.集团信息化较早、程度较深,老旧系统和传统的管理流程难兼容新数字化建设理念和需求
集团型企业通常信息化建设较早,程度较深。但由于早期信息化过程通常使用大量的套装软件以及主要依靠外部供应商提供信息化咨询和系统建设。在新技术加持的数字化转型背景下,集团内部的老旧系统和传统的信息化管理流程、制度老化,“修修补补又一年”的传统理念难兼容新数字化建设的需求,推倒重构周期过长、成本过高。
2.各子公司间孤岛式搭建数字化体系,集团难以实现统一管理所有子公司员工身份和应用系统数据
各子公司由于业务架构、技术能力、区域法规等多种客观因素的差异,以及不同子公司中员工、经销商、供应商、上下游合作伙伴等角色各不相同,各子公司基于自身业务架构和管理需求独立建设数字化体系,同时各自独立维护各类数字化应用系统以及管理复杂的身份体系。导致在集团内部形成一个个独立的数字化孤岛,重复损耗建造、维护、迭代成本,集团难以打通各子公司数据,无法统一管理各子公司员工身份和应用系统数据。
3.子公司内部烟囱式数字化建设,跨部门协作协同难,内部数据传递效率低,市场需求响应灵活度不足
绝大多数公司受长期规模经济专业化分工发展模式的影响,内部层级分明、职能分工明确,传统的利益格局和权利体系固化,导致资源共建共享和跨部门协同协作等数字化转型开放意识不足。在数字化转型过程中各部门围绕自身核心业务线搭建和实施相应的数字化系统,在内部形成以各个业务线为单位的烟囱式数字化结构,不同业务线的系统间数据割裂,导致公司内部数据传递效率低,无法充分发挥数据要素的价值。同时由于跨组织协同和各系统间数据流通受阻,而企业内部研发资源有限,导致市场需求响应灵活度不足。
4.集团难以向下游子公司敏捷推广和实施先进数字化转型经验,无法形成数字化规模经济效应
集团在深入数字化改革过程中,通常会调研和试点先进的数字化转型方法论,受阻于上述问题,由于没有一套完善的子公司数字化管理架构,试点成果的项目和经验难以快速复制和推广至下游各子公司。而传统的数字化系统部署、升级和维护工作主要依靠各子公司独立实施,这会导致集团整体的资源利用率降低,运营成本高。同时,集团如果拓展新的业务,很难快速为其提供和部署现有的数字化能力,全集团无法形成全场景的数字化规模经济效应。
02.构建集团数字化身份管理基础设施的重要性
全球知名咨询机构 Gartner 在 2019 年提出 EBC(Enterprise Business Capability,企业业务能力) 这一理念,并认为 EBC 正在成为数字时代企业的核心竞争力。简要来说,EBC 其中的一个理念倡导企业以数据驱动,从端到端,将企业内部数据从过去烟囱式和孤岛式转化为协同式,提升企业整体数字化能力。
1.细粒度管理集团内部及下游所有身份权限,保障集团信息安全与审计合规。
集团或企业的管理,本质上是对人的管理,在数字化时代同样如此。不同的是,数字化时代的身份不仅包含人的身份信息,也包括终端设备和系统等。同时,信息安全是企业管理的核心。如上文所述,随着业务上云、生态协作、多云混合等场景涌现以及移动互联、IOT 设备的普及,大量的设备接入和上云让企业的身份信任边界外扩,过去以企业内部防火墙为边界的身份与访问控制(IAM)已经无法应对现今分布式身份和权限管理需。
所以集团提前部署下一代身份基础设施,即基于云的身份管理与访问控制系统(IDaaS)。IDaaS 提供身份验证、授权、访问注册的统一身份中台,能够同时管理企业内部应用和 SaaS 应用,通过打通云上与本地系统的身份体系以及 OneID 能力,实现对集团内部员工和下游子公司员工、外部合作伙伴等角色的身份、权限、数据进行统一管控。
强大的 IDaaS 具备完善的权限管理和安全策略配置能力,例如 Authing IDaaS 提供基于 OPA 引擎的 RBAC&ABAC 权限管理模型,既可以管理业务中的实体资源,也可以管理数据、API、菜单、按钮等细颗粒度权限控制,不仅如此,Authing IDaaS 还提供强大的权限编排能力,实现集团及子公司全业务场景权限管理覆盖。Authing IDaaS 还提供完善的组织内用户行为审计日志,来满足集团安全合规需求。
2.多租户模式帮助集团实现下游子公司分级分权管理,提升集团数字化统一管理效能
集团身份治理的难点在于管理旗下众多的子公司复杂的员工、供应商、合作伙伴等角色身份信息。传统的 IAM 仅支持单租户模式,子公司独立管理和维护复杂的身份体系,而 IDaaS 同时支持多租户模式,可以帮助集团实现所有下游子公司的统一管理。
多租户模式是一种软件架构设计,它允许多个租户(下游子公司)共享同一个软件应用实例,同时保证数据的隔离和安全。仅依靠单一的多租户架构并不能有效管理集团子公司所有员工和其它角色身份信息。需要基于强大的身份中台能力的多租户架构,集团可以快速整合全体子公司身份体系,实现复杂的组织架构分级分权管理。
对于集团型企业而言,多租户架构为集团公司提供一个统一的身份管理平台,以及员工身份信息 OneID 能力,简化了对各子公司业务数据和流程的监控。集团公司可以在一个平台上查看和分析所有子公司的数据,为集团的统一管理提供高效的数据决策支持。多租户架构可以在很大程度上简化对旗下众多子公司的管理,提升集团整体数字化统一管理效能。不仅如此,基于身份中台的多租户架构还具备以下优势:
- 提高资源利用率,节省运维成本:由于多租户架构在一个应用实例中支持多个子公司,可以根据不同子公司实际业务需求分配资源,通过负载均衡和弹性扩容,使得系统可以根据租户的实际需求和系统负载自动分配资源。这种动态分配机制确保了资源在不同租户之间得到合理分配,提高了整体系统的性能和稳定性。在资源需求增长时,可以迅速分配更多资源以满足需求,在需求降低时,可以回收资源以减少浪费。这种弹性扩展能力有助于实现资源的最优化,显著降低 IT 基础设施、维护和升级的成本。
- 租户数据隔离,数据安全合规:虽然多租户架构下的各子公司共享同一个应用实例,但可以确保每个子公司的数据彼此隔离。此外,多租户架构还可以提供集中的权限管理能力和安全策略配置,以及提供完善的租户内用户行为审计日志,确保所有子公司的数据安全以及满足所在地区法律合规。
3.打通集团全链路身份体系,提升集团和旗下子公司运营管理效能
随着数字化进程的深入,多应用、混合云的环境,给使用传统 IAM 进行身份管理的企业带来沉重的管理负担。例如:对于集团下游子公司而言, IT 管理员需要维护每个员工在不同系统之间的账号信息,并做日志审计和授权管理,当员工使用企业内部 AD 域账号访问外部系统,以及外部系统需要通过 VPN 登录到内部 AD 域时,员工需要维护复杂的账户密码体系。
IDaaS 提供统一的用户目录,通过可信单一数据源将企业不同系统的用户身份数据进行统一整合和管理。还提供统一的应用管理平台。通过满足各类标准集成协议,使得集团可以通过一处集成应用与子公司关联,极大程度减少集团内重复的应用集成成本。
可靠的 IDaaS 方案还提供应用集成网络,来帮助集团和子公司快速集成所需应用,降低应用集成成本。例如 Authing APN(应用集成网络)预集成了 2000 多款数字化应用,以及支持多种主流协议的自建应用快速集成解决方案,实现数据和业务流程的无缝对接,集团可以通过多租户架构快速为每个子公司或新的业务线快速部署所需应用软件。
通过上述身份和应用系统的打通,以及与上文身份中台权限管理能力的结合,实现全集团应用系统的单点登录能力,员工只需认证一次,即可访问所有被授予访问权限的业务系统,提升员工办公效率以及防止密码泄露。同时,强大的 IDaaS 解决方案还提供身份自动化能力,来自动化实现集团内部上下游身份信息同步,极大程度降低企业 IT 人员运营管理负担,提升集团整体管理效能。同时还带来以下优势:
- 统一的升级和维护:通过基于身份中台的多租户模式,集团公司可以统一进行应用的升级和维护,避免了在多个子公司分别进行升级和维护的繁琐工作。这不仅可以降低运维成本,还可以确保所有子公司都能及时获得最新的功能和性能改进。
- 全场景的数字化规模经济效应:IDaaS 可以帮助集团公司打破原有的企业内部和集团内部数据壁垒。通过多租户模式提高集团公司业务模式创新和跨组织协同协作创新能力,形成以数字能力沉淀和按需调用赋能业务轻量化、协同化的数字化发展模式。随着越来越多的业务和子公司的接入,每个子公司的运营、部署、集成、维护等时间和成本将得到释放,实现集团全场景的数字化规模经济效应。
03.最佳实践案例分享:某全球知名大型集团
1.需求挑战
- 该集团旗下有 300 多家公司,近 400 个分部组织。组织结构庞大人员众多,身份体系混乱,由于各公司各组织分布在多个地区,组织架构和员工身份管理难度大,集团内部信息传递效率低。希望构建统一身份中台,整合各公司组织的员工身份体系以及保障同一自然人在全平台身份信息保持唯一。
- 由于各公司各组织分布在全球多个地区,需要有强大的权限管理能力、安全策略能力、完善的审计报告以及相关的合规资质来满足不同地区的数据安全合规要求。
- 各子公司均有不同程度的数字化能力,集团希望统一管理旗下所有子公司应用数据以及提供完善的数据看板。同时各子公司也能拥有完善的身份管理体系管理下属员工、经销商等角色。
2.解决方案
- 通过 Authing 为该集团构建的统一身份中台,以及 OneID 能力,快速整合旗下子公司身份体系,通过 Authing 多租户实现子公司分级分权管理,并保障各子公司间数据隔离。同时通过 Authing 身份自动化能力,实现集团上下游数据信息实时同步。极大程度提升了集团和企业的运营管理效率。
- Authing 提供基于 OPA 引擎的 RBAC&ABAC 权限管理模型,以及提供完善的租户内用户行为审计日志。同时 Authing 还满足不同国家和行业的合规性要求,如三级等保认证、ISO 质量认证体系认证、欧盟 GDRP 数据保护条例、CMMI 3 级能力认证、国家商用密码产品认证等资质。
- 通过 Authing 多租户能力,集团可以通过控制台实现一处管理所有旗下子公司员工身份信息、应用数据信息等。同时各租户(子公司)拥有完善的租户管理控制台,可以有效的管理子公司内部的员工、供应商、经销商、合作伙伴等身份信息和权限。