在國(guó)資委79號(hào)文的明確指引下，某國(guó)資保險(xiǎn)企業(yè)率先開(kāi)啟國(guó)產(chǎn)化替代的試點(diǎn)項(xiàng)目。然而，一個(gè)棘手問(wèn)題擺在面前：如何平滑替換深植于企業(yè)架構(gòu)多年的微軟AD（Active Directory）域控系統(tǒng)，并實(shí)現(xiàn)對(duì)各類信創(chuàng)終端的統(tǒng)一納管？

身份認(rèn)證是企業(yè)安全基石。這道防線斷層，不僅會(huì)引發(fā)賬戶泄露風(fēng)險(xiǎn)，更會(huì)直接影響員工日常辦公效率。近日，聯(lián)軟科技為該保險(xiǎn)企業(yè)打造的XIAM（全網(wǎng)身份統(tǒng)一管理）解決方案正式落地，為金融行業(yè)的信創(chuàng)改造提供了一份標(biāo)桿示范。

一、需求背景

該國(guó)資保險(xiǎn)企業(yè)啟動(dòng)國(guó)產(chǎn)化替換試點(diǎn)項(xiàng)目的核心目標(biāo)為替換微軟AD域服務(wù)，并實(shí)現(xiàn)對(duì)信創(chuàng)終端的全維度統(tǒng)一納管，具體需滿足以下三大核心需求，筑牢終端安全與身份認(rèn)證防線：

平滑繼承微軟AD的身份和權(quán)限：Windows終端無(wú)需脫域加域，沿用原有賬號(hào)登錄，權(quán)限無(wú)感繼承，同時(shí)支持統(tǒng)信麒麟等信創(chuàng)終端登錄，員工無(wú)需記憶多個(gè)域賬號(hào)，降低多賬號(hào)帶來(lái)的泄露風(fēng)險(xiǎn)；

終端行為剛性管控：禁止終端私自安裝非法軟件，嚴(yán)控USB等外接設(shè)備使用；

跨系統(tǒng)無(wú)縫對(duì)接：支持與第三方零信任系統(tǒng)深度融合，實(shí)現(xiàn)身份認(rèn)證與終端管理的一體化協(xié)同，保障業(yè)務(wù)訪問(wèn)的安全性與流暢性。

二、解決方案

針對(duì)企業(yè)國(guó)產(chǎn)化替代核心訴求與安全管理需求，聯(lián)軟科技推出XIAM（XCAD+IAM）全網(wǎng)身份統(tǒng)一管理解決方案，打造無(wú)需安裝客戶端、可靈活切換的AD域平滑替代方案，在國(guó)產(chǎn)化IT架構(gòu)中建立統(tǒng)一身份認(rèn)證標(biāo)準(zhǔn)，大幅降低信創(chuàng)產(chǎn)品切入成本與運(yùn)維團(tuán)隊(duì)管理壓力，實(shí)現(xiàn)“替換無(wú)感知、管控全方位、對(duì)接無(wú)壁壘”。

首先，在辦公網(wǎng)絡(luò)部署層面，采用3臺(tái)XCAD服務(wù)器與2臺(tái)IAM管理服務(wù)器構(gòu)建高可用集群架構(gòu)，為信創(chuàng)終端提供穩(wěn)定、高效的身份認(rèn)證與統(tǒng)一管控服務(wù)。通過(guò)聯(lián)軟桌管系統(tǒng)統(tǒng)一下發(fā)加域腳本與管控策略，全程自動(dòng)化執(zhí)行，無(wú)需終端用戶手動(dòng)操作。針對(duì)企業(yè)現(xiàn)有應(yīng)用系統(tǒng)，聯(lián)軟IAM可提供LDAP、Radius等標(biāo)準(zhǔn)化認(rèn)證服務(wù)，實(shí)現(xiàn)全應(yīng)用統(tǒng)一認(rèn)證，用戶使用習(xí)慣無(wú)需任何調(diào)整，徹底消除替換帶來(lái)的業(yè)務(wù)適配成本。

在跨系統(tǒng)集成層面，第三方零信任系統(tǒng)對(duì)接IAM后，已加域信創(chuàng)終端可直接通過(guò)信創(chuàng)域賬號(hào)訪問(wèn)內(nèi)網(wǎng)業(yè)務(wù)，實(shí)現(xiàn)身份認(rèn)證與零信任訪問(wèn)的深度協(xié)同，筑牢內(nèi)網(wǎng)業(yè)務(wù)訪問(wèn)安全邊界。同時(shí)，配套部署終端安全管理系統(tǒng)，與XIAM方案形成聯(lián)動(dòng)，一站式實(shí)現(xiàn)信創(chuàng)終端的軟件全生命周期管理、外設(shè)精準(zhǔn)管控、終端病毒實(shí)時(shí)防護(hù)等核心能力，構(gòu)建“終端-身份-服務(wù)端”的三層安全架構(gòu)。

方案的落地得益于聯(lián)軟科技在身份安全領(lǐng)域的核心技術(shù)優(yōu)勢(shì)。

其中，聯(lián)軟XCAD支持與微軟AD雙向?qū)崟r(shí)同步，用戶信息、組織單元、組策略等核心數(shù)據(jù)同步延遲低于1秒，確保新舊系統(tǒng)數(shù)據(jù)一致性；同時(shí)內(nèi)置斷網(wǎng)續(xù)傳與沖突自動(dòng)修復(fù)機(jī)制，保障業(yè)務(wù)訪問(wèn)連續(xù)性。通過(guò)可視化管理界面，管理員可一鍵完成AD域遷移、策略配置、風(fēng)險(xiǎn)審計(jì)與追溯，大幅降低運(yùn)維門(mén)檻，實(shí)現(xiàn)國(guó)產(chǎn)化替代的“平滑過(guò)渡、高效落地”。

而聯(lián)軟IAM搭載的身份安全網(wǎng)關(guān)，采用代理模式部署，核心價(jià)值在于最大化降低應(yīng)用系統(tǒng)集成改造成本與安全風(fēng)險(xiǎn)。網(wǎng)關(guān)支持LDAP、Radius、OIDC、OAuth2、SAML、CAS等全場(chǎng)景標(biāo)準(zhǔn)化統(tǒng)一認(rèn)證與單點(diǎn)登錄協(xié)議，業(yè)務(wù)應(yīng)用無(wú)需深度改造即可快速對(duì)接，大幅降低系統(tǒng)耦合性，減少代碼分支維護(hù)復(fù)雜度，避免因認(rèn)證協(xié)議變更引發(fā)的業(yè)務(wù)連續(xù)性故障。

安全層面，身份安全網(wǎng)關(guān)更為核心認(rèn)證服務(wù)提供“隱身保護(hù)”與協(xié)議轉(zhuǎn)換適配能力，有效隔離外部攻擊，同時(shí)為前端業(yè)務(wù)應(yīng)用提供網(wǎng)絡(luò)訪問(wèn)控制、虛擬賬號(hào)鑒權(quán)、最小化授權(quán)等精細(xì)化安全管控服務(wù)，既筑牢核心認(rèn)證體系防線，又實(shí)現(xiàn)業(yè)務(wù)訪問(wèn)的精準(zhǔn)權(quán)限管控，全方位抵御來(lái)自周邊生態(tài)的安全威脅，兼顧集成效率與安全防護(hù)。

三、方案價(jià)值

高可用架構(gòu)，保障業(yè)務(wù)穩(wěn)定運(yùn)行

采用多節(jié)點(diǎn)集群部署模式，兼具高可靠性與高效響應(yīng)能力，既能保障系統(tǒng)7x24小時(shí)安全穩(wěn)定運(yùn)行，抵御單點(diǎn)故障風(fēng)險(xiǎn)，又能實(shí)現(xiàn)信創(chuàng)終端身份認(rèn)證的快速響應(yīng)，適配保險(xiǎn)企業(yè)高頻辦公訪問(wèn)需求。

運(yùn)維效能升級(jí)，降低管理成本

配備自助服務(wù)平臺(tái)，用戶可自主完成密碼重置、修改等操作，大幅減少運(yùn)維團(tuán)隊(duì)日常支撐工作量；可視化管理界面實(shí)現(xiàn)AD域遷移、策略配置、審計(jì)追溯一鍵化操作，結(jié)合與微軟AD的秒級(jí)同步能力，顯著降低國(guó)產(chǎn)化替代后的運(yùn)維難度與人力成本。

權(quán)限管控精細(xì)化，規(guī)避管理風(fēng)險(xiǎn)

構(gòu)建“三權(quán)分立”管理機(jī)制，明確域控管理權(quán)限與責(zé)任歸屬，徹底解決傳統(tǒng)域控管理混亂、權(quán)限交叉、責(zé)任不清等痛點(diǎn)；同時(shí)實(shí)現(xiàn)賬號(hào)全生命周期閉環(huán)管理，配套僵尸賬號(hào)清理、異常賬號(hào)監(jiān)測(cè)、密碼到期郵件提醒等功能，結(jié)合全流程審計(jì)追溯，滿足保險(xiǎn)行業(yè)合規(guī)管控要求。

跨系統(tǒng)兼容適配，打破國(guó)產(chǎn)化壁壘

突破信創(chuàng)終端與Windows系統(tǒng)的兼容瓶頸，實(shí)現(xiàn)信創(chuàng)終端對(duì)Windows共享目錄的順暢訪問(wèn)，保障跨系統(tǒng)辦公協(xié)同效率。

一體化安全管控，筑牢終端防線

方案與聯(lián)軟終端安全管理系統(tǒng)深度聯(lián)動(dòng)，實(shí)現(xiàn)實(shí)軟件、外設(shè)等統(tǒng)一管控。