数字身份底座是企业数字化的基石。数字时代,IAM 结合微软 AD 是央国企、金融机构数字身份建设的通用架构。国产化改造浪潮中,国外身份管理系统(如微软 AD)无法适配国产化异构 IT 环境。从业务和安全角度考虑,用国产身份域管承接这一位置更切合实际。国产身份域管除了在能力与运维上与国外身份管理系统保持一致,还对国外产品在复杂场景下的能力进行了增强,以更适应中国企业的信息化建设。未来,央国企、金融机构信创改造建设中,IAM 联合国产身份域管将推动构建数字身份新底座。


IAM+微软AD

央国企数字身份建设的通用架构


《国资信创改造难在哪里?国产身份域管建设先行可少走弯路》一文中我们提到,全球有超过 91% 的具规模企业将 Microsoft Active Directory (微软AD)作为数字化身份的基础底座。AD 在大型央国企尤其偏制造业、金融机构中也同样是身份管理的最佳实践,为 Windows 终端、Exchange、云桌面(如Citrix、VMware)、ERP、OA 等 IT 资源提供统一认证与管理。


大型央国企、金融机构的信息化建设具有周期长、人员及分公司众多、业务范围广等特点,为响应国家战略及提升企业经营能力,央国企及金融等在数字化建设方面不断加大投入,自研、采购的信息系统越来越多,且分散在各个业务部门。系统多、维护难、没有统一门户、登录不方便等问题日渐凸显,而以微软 AD 为代表的国外身份管理系统在应对定制化应用、SaaS、SSO、现代认证方式及身份治理流程方面存在不足。在数字化大背景下,作为弥补 AD 在复杂应用场景下能力不足的 IAM 统一身份管理系统应运而生。


IAM 统一身份管理系统具备身份管理、单点登录(SSO)、多因素认证(MFA)、账号生命周期自动化管理、统一身份认证、授权审计等多个能力,为企业全场景的数字身份提供了整合与治理,在企业内部构建起用户身份集中管理平台,将定制化应用、SaaS、非 LDAP 应用等之间的身份数据打通,且提供统一登录门户,为 IT 运维管理和用户提供了极大便利,赋能了业务运营流程与用户体验。所以,IAM 被央国企、金融等大型企业广泛采用,与微软 AD 相辅相成,成为数字化转型的最佳实践。


信创背景下

原有国外身份系统无法适配国产化环境


2020年,党政信创进入规模化推广阶段。国产化改造成为金融、央国企等企业数字化转型的重要抓手。国产化背景下,办公生产基础设施朝着国产化异构 IT 架构迁移,担当数字身份底座的国外身份管理系统(如微软 AD)也将面临国产化改造。


央国企信创改造,如何通过IAM统一身份管理集成宁盾国产身份域管,构建数字身份新底座_统一身份管理

(图源:宁盾)


为了支撑国产信创 IT 环境身份,我们必须先弄清微软 AD 有哪些核心能力,再去分析 AD 替代方案应具备的能力素质。通过解构 AD,我们认为企业需要关注的核心能力有以下 6 个:


央国企信创改造,如何通过IAM统一身份管理集成宁盾国产身份域管,构建数字身份新底座_信创改造_02

(图源:宁盾)


既有服务数字化转型的 IAM 能力无法很好满足国产信创 IT 环境支撑问题,因此采用能力上与 AD 类似的国产身份域管是比较可行的方案。


支撑信创 IT

国产身份域管应具备的核心能力


对标 AD 的 6 个核心功能,除去资源管理和 DNS 解析已有成熟的替代方案,国产化 AD 产品至少应支持终端管理、应用管理、网络接入、CA证书 4 项服务。


国产身份域管不仅要考虑到 AD 的兼容性,支持与 AD 并行或者平滑迁移;还要兼顾国产终端、应用、网络等基础设施的认证与管理能力。两者兼顾,才能保障央国企、金融机构的业务连续性,帮助推进国产化改造建设。


另外一方面 IAM 统一身份管理系统为服务央国企数字化,存在比较多定制化场景,本质上 IAM 是一个复杂项目及服务管理集合,而国产化信创 IT 偏标准化场景,如标准 LDAP 应用、虚拟化桌面,混合终端、网络、NAS 等资源,从业务和成本角度考虑,采用标准化国产身份域管思路更切合实际,而如果对接到 IAM 上,也会让 IAM 变得更重,改造代价巨大,不符合其业务特性。


宁盾国产化身份域管正是基于以上建设思路,积累了 10 年以上围绕 AD 架构下的基础身份研发经验,对于 AD 的核心能力,国产身份域管已有相对完备的解决方案,并提供国产化用户最必要的能力支撑。


央国企信创改造,如何通过IAM统一身份管理集成宁盾国产身份域管,构建数字身份新底座_统一身份认证_03

(图源:宁盾) 


在业务连续性及迁移管理便捷性方面,宁盾国产化身份域管兼容 AD、IBM、OpenLDAP 等 Schema,便于新老业务系统无缝迁移及对接,在身份管理能力及习惯上尽量与 AD 保持一致,以确保管理人员既有习惯及技能匹配,确保好对接、好管理。


在方案扩展上,考虑到央国企、金融除了对国产化的需求,安全及数字化业务的连续性也是刚需,宁盾还提供 MFA 多因素认证、与主流 IAM 身份源对接、与 ITDR 身份安全威胁联动、标准型单点登录(SSO)支持非 LDAP 协议集成等能力,满足业务多样化需求。


未来展望:

IAM+国产身份域管,构建数字身份新底座


从 IBM、AD 到 IAM+AD,央国企、金融机构从信息化到数字化转型之路已走过数十年。在国产化大背景下,国产化身份域管正在开始承接国产信创 IT 架构的身份管理职能,并在大型央国企、金融机构中与 IAM 统一身份管理系统一道,共同承接数字化+国产化转型的使命,支撑其安全、国产化战略。


国产化改造非一日之功,规划好方案后循序渐进,才能稳步快速实现自主可控的目标。结合近两年宁盾参与金融、央国企头部企业的信创改造工作来看,提前规划、搭建国产身份域管,能够帮助企业在国产化 IT 架构中建立统一的身份标准,降低后续信创产品对接、改造和运维成本,从而加速国产化改造的步伐,让央国企、金融信创的路线更明朗清晰,未来 IT 建设也将少走很多弯路。综上,宁盾认为在国产化背景下IAM 统一身份管理系统和国产身份域管结合将成为大型央国企数字化身份底座建设的最佳实践。