宁盾助力某基金公司重构信创AD身份域管

Windows 环境下，企业采用 AD 域控提供统一身份认证。域控管理是企业内部信息建设和网络安全管理的关键环节，涉及到人员身份、权限控制、数据保护、设备管理、系统安全等多方面。域控服务是保障网络信息安全、稳定运行的 IT 基础设施之一。

当金融企业在大力推进信息系统、关键基础设施信创替换时，内部并存的旧有资产、新购信创应用、终端等如何统一管理？在某基金单位里，宁盾以一套支撑信创建设的「国产域控」让金融办公场景的改造之路更加清晰、明确、可控。

缺失国产域控统一认证，导致业务信创升级受阻

某基金管理公司在办公场景拟建设信创 OA 系统、信创邮件系统以及信创服务器、桌面终端。但原有的 AD 域既无法接管新购的信创资产，亦不符合全栈信创建设要求。因此，该基金单位必须选择一套稳定可靠、兼容性好、具有长期适配能力的信创 AD 身份域管系统，承接以上场景为其提供统一身份认证源。同时，为确保信创改造符合等保合规要求，该单位明确需要通过 MFA 多因素认证技术来加固人员身份认证，增强各场景下的身份鉴别能力。

上图展示了在信创建设中 IT 架构的演变过程，原先以 AD 域控为统一身份认证底座的格局将被国产身份域控打破。

迁移AD域并增强场景能力，筑造可信办公环境

在经过多方接触后，该基金单位最终决定采用宁盾提供的国产身份域管解决方案。作为国产域控方案之一，宁盾身份域管的特点是「安全、可靠、易扩展」，在金融（保险、基金、金融科技等）、能源、央国企、党政等行业中多家企业里落地实施，得到生态伙伴、客户、集成商的一致认可。

明确了客户需求后，宁盾国产身份域管在该项目中的主要建设内容为：

增加一套国产域控统一认证平台，对接原有 AD 域控身份实现同步迁移，以层级结构的形式进行管理和维护；

基于标准 LDAP 身份目录服务及开放 API 接口，实现对各信创应用、系统及信创服务器、终端以及未来新增场景的统一身份认证管理；

实现用户自服务及 AD 实时写回，以减少管理员对用户身份信息维护的运维压力，并确保国产域控和现有 AD 域控身份的一致性，避免人员身份信息的混乱；

采用 MFA 多因素认证能力，对包括 OA、邮箱在内的关键业务及应用入口提供登录安全加固，增强身份鉴别。

引入国产域控对于该基金公司而言优势主要体现在以下三点：

建设国产身份目录并承接业务，确保业务持续性

员工无感知切换，平滑过渡

提升业务访问安全性

金融信创是一个系统工程，也是一个长期工程。今天，该基金单位为信创升级架设了一套强壮的「国产身份域管」，完成开放架构下统一身份认证技术的突破，也将为其他基金单位提供一个可复制、可推广的金融信创鲜活典范。