近期收到不少企业客户反馈采购的信创PC电脑用不起来,影响信创改造的进度。例如,某金融企业积极响应国产化信创替代战略,购置了一批麒麟操作系统电脑。分发使用中发现了如下问题:
• 当前麒麟操作系统电脑无法做到统一身份认证,采用的是本地账号,这导致与现有AD域账号分离,麒麟终端、Windows终端密码不同步,员工使用不便利,且无法执行密码合规;
• 无法查看信创终端的上线情况,不知道实际使用率;
• 终端入网目前没有有效的准入办法,员工登录麒麟桌面就能上网了,终端入网不安全、不规范。
面对这些问题,宁盾给出了解决方案,目标是为该金融公司搭建一套国产身份管理系统,统一管控麒麟终端,与AD域身份实时同步,对麒麟终端做入网认证管控。
国产化身份域管同步AD域身份,接管信创终端资产
在本项目中,该企业借助宁盾国产化身份域管作为微软AD域的国产替代方案,用于迁移同步AD域内的组织架构和用户身份信息,同时将新购置的麒麟电脑(终端)对接到宁盾国产化身份域管上,用户使用与AD一致的账号密码登录电脑进行统一认证,实现信创终端的统一管控。具体方案如下:
1. 宁盾无缝迁移同步AD身份,并建立双向信任;
2. 麒麟终端接入宁盾国产身份域控,员工使用与AD一致的国产身份登录麒麟桌面;
3. 宁盾域管统一管理信创终端资产,终端上线可视化,终端使用情况一目了然;
4. 借助宁盾终端网络准入能力对信创终端做入网实名认证,提升安全。
在麒麟操作系统桌面输入宁盾目录服务账号及密码
在麒麟桌面系统内通过命令行查找,显示该用户名存在
在宁盾AM后台查看登录会话,显示该用户认证成功
搭建国产数字身份底座,推动信创终端“真替真用”
企业推进国产化信创建设的一大举措就是采购国产操作系统终端,但在实际使用时依旧以Windows系统为主。究其根源,国产信创的生态还不够成熟。以Windows系统为中心的微软生态早已贯穿到企业生产、办公的方方面面,尤其是微软AD,是支撑微软各个应用、设备互联互通的重要身份基础设施。当国产操作系统终端、国产应用引入时,需要考虑到微软AD是否能纳管,提供统一身份认证和授权。当微软AD无法纳管且面临被替换的趋势时,企业更应当提前寻找微软AD国产化替代方案。
宁盾国产化身份域管能力模块
宁盾国产化身份域管是目前国内最深的AD技术栈积累之一,高度兼容微软AD、IBM、Apache等传统身份活动目录的schema,具备微软AD的核心功能,如目录服务、应用接入、网络接入、终端管控等。此外,针对现代化的IT组织对身份安全、身份同步、混合终端的安全管控需求,宁盾国产化身份域管拓展了多个场景能力,使用国产身份域管的企业可以选择叠加MFA多因素认证、身份同步(云、社交应用账号同步)、泛终端准入(Windows、macOS、Linux、麒麟、统信UOS、BYOD等)等多个功能模块,以满足信息安全建设需求,提升整个IT架构的安全性。
宁盾作为第三方中立的身份基础设施供应商,在面对不同品牌、不同类型设备时有更强的兼容性优势,不将企业捆绑限定在任一厂商生态里,这种开放性与兼容性受到互联网高科技、央国企制造业、金融等行业客户的欢迎。
)
)
