聯(lián)軟信創(chuàng)AD解決方案深圳市聯(lián)軟科技股份有限公司信創(chuàng)背景下微軟AD的替換勢在必行在國資委79號文的指引下，為達(dá)成2027年前信息系統(tǒng)全面替換的目標(biāo)，金融機(jī)構(gòu)與大型央國企積極展開信創(chuàng)改造計(jì)劃。AD的使用覆蓋率據(jù)統(tǒng)計(jì)，目前全球約有90%的企業(yè)使用AD作為內(nèi)部基于目錄的身份服務(wù)平臺，管理著身份、應(yīng)用和終端三個方面的資源信創(chuàng)行動逐步推進(jìn)當(dāng)前信創(chuàng)的推進(jìn)也從金融、電力領(lǐng)域逐步向教育、醫(yī)療等行業(yè)延伸。AD作為重要且應(yīng)用廣泛的IT基礎(chǔ)技術(shù)，成為越來越多企業(yè)信創(chuàng)替換的當(dāng)務(wù)之急微軟AD存在的問題兼容性受限微軟AD受限于Windows平臺，緊密綁定微軟生態(tài)，無法兼容麒麟、統(tǒng)信等信創(chuàng)操作系統(tǒng)接入終端不可視在設(shè)備登錄時(shí)，AD可以采集到的信息有限，無法滿足企業(yè)細(xì)粒度審核及審計(jì)需求賬號管理混亂共享賬號、弱口令賬號、僵尸賬號、臨時(shí)賬號隨處可見，無法統(tǒng)一管理權(quán)限管理松散對設(shè)備及用戶的權(quán)限劃分不清，無法統(tǒng)一分配、統(tǒng)一管理，導(dǎo)致越權(quán)操作等危險(xiǎn)行為存在安全隱患密碼策略單一、特權(quán)賬號密碼缺乏強(qiáng)認(rèn)證、管理員需要直接登錄域控操作，以及不支持國密算法等。這些隱患可能增加數(shù)據(jù)泄露和未授權(quán)訪問的風(fēng)險(xiǎn)操作繁瑣AD配置復(fù)雜，缺少直觀友好的管理界面，需要一定的技術(shù)知識和經(jīng)驗(yàn)，更新及運(yùn)維成本極高聯(lián)軟信創(chuàng)AD工作流程域管平臺聯(lián)軟AD認(rèn)證管理服務(wù)中心身份網(wǎng)關(guān)Windows終端信創(chuàng)終端Linux終端業(yè)務(wù)系統(tǒng)認(rèn)證組策略組策略認(rèn)證組策略認(rèn)證統(tǒng)一認(rèn)證單點(diǎn)登錄OAuth2/SAML/OIDC/CAS等AD/LDAP/RADIUS等微軟AD雙向同步組織用戶賬號認(rèn)證

修改/忘記密碼組策略下發(fā)方案對比對比項(xiàng)微軟AD能力傳統(tǒng)信創(chuàng)AD解決方案聯(lián)軟信創(chuàng)AD解決方案賬號管理同步管理無法與異構(gòu)系統(tǒng)進(jìn)行組織架構(gòu)同步支持與三方異構(gòu)系統(tǒng)進(jìn)行組織架構(gòu)同步支持與三方異構(gòu)系統(tǒng)進(jìn)行組織架構(gòu)同步，支持多身份源同步密碼管理不支持自助修改密碼/找回密碼需安裝Agent，通過Agent自助修改及找回密碼無需安裝Agent，日常通過Web自助服務(wù)平臺自助修改及找回密碼密碼過期，保持操作系統(tǒng)原有修改界面認(rèn)證管理僅支持統(tǒng)一認(rèn)證依賴LDAP、Kerberos協(xié)議，與第三方認(rèn)證服務(wù)集成有限提供windows終端的portal、802.1x準(zhǔn)入能力支持SSO單點(diǎn)登錄支持部分LDAP，RADIUS、SAML、OAuth2標(biāo)準(zhǔn)協(xié)議需安裝Agent，實(shí)現(xiàn)麒麟、統(tǒng)信、Windows終端的portal、802.1x準(zhǔn)入能力支持SSO單點(diǎn)登錄、MFA多因素認(rèn)證支持LDAP，RADIUS、SAML、OAuth2等標(biāo)準(zhǔn)協(xié)議，后臺簡單配置，即可對接第三方認(rèn)證服務(wù)無需安裝Agent，即可實(shí)現(xiàn)麒麟、統(tǒng)信、Windows終端的portal、802.1x準(zhǔn)入能力，同時(shí)兼容主流準(zhǔn)入產(chǎn)品終端管理僅支持Windows終端管理需安裝Agent，實(shí)現(xiàn)麒麟、統(tǒng)信、Windows終端的統(tǒng)一管理無需安裝Agent，即可實(shí)現(xiàn)麒麟、統(tǒng)信、Windows終端的統(tǒng)一管理身份安全通過賬戶過期策略/管理員手手動禁用，無法做到事前身份安全防護(hù)提供身份安全引擎，避免暴破、中間人攻擊等風(fēng)險(xiǎn)，提供禁止僵尸/閑置賬號登錄、禁止異常時(shí)間登錄等安全策略，持續(xù)評估身份安全權(quán)限管理AD域內(nèi)的權(quán)限控制支持RBAC/ABAC標(biāo)準(zhǔn)權(quán)限模型，提供細(xì)粒度的訪問控制策略，基于用戶、部門、標(biāo)簽、時(shí)間等多維度訪問權(quán)限控制安全審計(jì)AD可以采集到的信息有限，無法滿足企業(yè)細(xì)粒度審核及審計(jì)需求提供登錄認(rèn)證審計(jì)日志（通過Agent采集）提供審計(jì)日志及低代碼數(shù)字身份大屏，對登錄認(rèn)證的用戶名稱、時(shí)間、狀態(tài)、IP地址等進(jìn)行審計(jì)和展示（無需Agent即可采集）聯(lián)軟信創(chuàng)AD替換效果遷移方案AD.IAM.生產(chǎn)環(huán)境AD信創(chuàng)環(huán)境IAM初期兼容舊應(yīng)用，未來適配新架構(gòu)；平滑過渡無感知，用戶體驗(yàn)無差別①

首次身份信息全量同步③

身份信息增量同步②

身份信息管理服務(wù)端遷移PC端灰度遷移①

試點(diǎn)PC手動將域控服