联软信创AD解决方案.pptxVIP

联软信创AD解决方案

深圳市联软科技股份有限公司

信创背景下微软AD的替换势在必行

AD的使用覆盖率

据统计，目前全球约有90%的企业使用AD作为内部基于目录的身份服务平台，管理着身份、应用和终端三个方面的资源

信创行动逐步推进

当前信创的推进也从金融、电力领域逐步向教育、医疗等行业延伸。AD作为重要且应用广泛的IT基础技术，成为越来越多企业信创替换的当务之急

微软AD存在的问题

兼容性受限

微软AD受限于Windows平台，紧密绑定微软生态，无法兼容麒麟、统信等信创操作系统

接入终端不可视

在设备登录时，AD可以采集到的信息有限，无法满足企业细粒度审核及审计需求

账号管理混乱

共享账号、弱口令账号、僵尸账号、临时账号随处可见，无法统一管理

权限管理松散

对设备及用户的权限划分不清，无法统一分配、统一管理，导致越权操作等危险行为

存在安全隐患

密码策略单一、特权账号密码缺乏强认证、管理员需要直接登录域控操作，以及不支持国密算法等。这些隐患可能增加数据泄露和未授权访问的风险

操作繁琐

AD配置复杂，缺少直观友好的管理界面，需要一定的技术知识和经验，更新及运维成本极高

联软信创AD工作流程

域管平台

联软AD

认证管理服务中心

身份网关

Windows终端

信创终端

Linux终端

业务系统

统一认证

单点登录

OAuth2/SAML/OIDC/CAS等

AD/LDAP/RADIUS等

微软AD

双向同步

组织用户

账号认证

修改/忘记密码

组策略下发

方案对比

对比项

微软AD能力

传统信创AD解决方案

联软信创AD解决方案

账号管理

同步管理

无法与异构系统进行组织架构同步

支持与三方异构系统进行组织架构同步

支持与三方异构系统进行组织架构同步，支持多身份源同步

密码管理

不支持自助修改密码/找回密码

需安装Agent，通过Agent自助修改及找回密码

无需安装Agent，日常通过Web自助服务平台自助修改及找回密码

密码过期，保持操作系统原有修改界面

认证管理

仅支持统一认证

依赖LDAP、Kerberos协议，与第三方认证服务集成有限

提供windows终端的portal、802.1x准入能力

支持SSO单点登录

支持部分LDAP，RADIUS、SAML、OAuth2标准协议

需安装Agent，实现麒麟、统信、Windows终端的portal、802.1x准入能力

支持SSO单点登录、MFA多因素认证

支持LDAP，RADIUS、SAML、OAuth2等标准协议，后台简单配置，即可对接第三方认证服务

无需安装Agent，即可实现麒麟、统信、Windows终端的portal、802.1x准入能力，同时兼容主流准入产品

终端管理

仅支持Windows终端管理

需安装Agent，实现麒麟、统信、Windows终端的统一管理

无需安装Agent，即可实现麒麟、统信、Windows终端的统一管理

身份安全

通过账户过期策略/管理员手手动禁用，无法做到事前身份安全防护

提供身份安全引擎，避免暴破、中间人攻击等风险，提供禁止僵尸/闲置账号登录、禁止异常时间登录等安全策略，持续评估身份安全

权限管理

AD域内的权限控制

支持RBAC/ABAC标准权限模型，提供细粒度的访问控制策略，基于用户、部门、标签、时间等多维度访问权限控制

安全审计

AD可以采集到的信息有限，无法满足企业细粒度审核及审计需求

提供登录认证审计日志（通过Agent采集）

提供审计日志及低代码数字身份大屏，对登录认证的用户名称、时间、状态、IP地址等进行审计和展示（无需Agent即可采集）

联软信创AD替换效果

迁移方案

AD.

IAM.

生产环境AD

信创环境IAM

初期兼容旧应用，未来适配新架构；平滑过渡无感知，用户体验无差别

①首次身份信息全量同步

③身份信息增量同步

②身份信息管理

服务端迁移

PC端灰度迁移

①试点PC手动将域控服务器地址切换至信创环境IAM.，进行灰度测试

②灰度测试完成后，将生产AD环境域名AD.域名解析改为信创环境IP，完成全部迁移

THANKS

构建可控的互联世界