Language-
某基金:用宁盾同步及替换AD域,让信创应用、网络、设备尽在掌握
客户介绍:
某基金管理公司为国有企业,成立于2000年初,总部位于上海。
项目背景及需求:
面临信创改造与等保合规双重挑战
某基金管理公司在办公场景里对 OA、邮箱、云桌面、电脑进行了国产化改造,基于信创要求,需要寻找一套能够替换 AD,对接各类应用/终端的国产化统一身份认证管理系统。此外,应监管部门要求,该基金公司在信创改造的过程中还需要满足等保合规要求,诸如定期改密、认证审计、统一账号、双因素认证等。
经过梳理,该基金公司当前需求及建设目标主要如下:
1. 从办公网 AD 域同步身份数据,建立统一身份;
2. 为应用系统提供 LDAP 认证,可附加双因素认证;
3. 根据 AD 域密码策略及等保要求,设置统一身份管理系统的密码安全策略;
4. 为用户开启自助修改密码、修改基本信息的服务;
5. 数据中心网络设备 AAA 集中管理及网络接入认证;
6. 系统高可靠部署。
宁盾解决方案:
一体化方案满足信创改造与安全需求
明确建设目标后,宁盾提供了一体化身份安全认证与管理解决方案,方案主要以宁盾身份域管为主、扩展能力为辅。宁盾身份域管由自主研发的身份目录服务和终端管理能力组成,可用于企业新建目录服务/统一身份认证管理系统,或替代 AD 域作为国产身份域管为信创用户提供服务。
此处宁盾身份域管主要用于替换 AD,将 AD 内的组织架构和身份数据同步过来统一管理,作为 LDAP 服务器为下游业务、应用系统、邮箱、云桌面、VPN、网络设备、网络、计算机等提供统一身份认证。由于身份域管与 AD 有着相同的数据结构,在用户管理、密码策略等方面与 AD 均保持一致。所以,采用宁盾身份域管时沿用 AD 域时期的密码安全策略即可满足等保合规要求中关于密码复杂度、定期修改密码等内容。
扩展能力主要用到 MFA 多因素认证、用户自服务、网络设备AAA、网络准入认证等。将管理范围从应用层扩展到网络层、数据中心网络设备,一体化解决办公、运维等场景的身份管理与安全认证等问题。
方案价值:
为金融信创提供坚实的数字身份底座
宁盾一体化身份安全认证与管理方案为基金公司带来的收益如下:
• 解决了该基金公司 AD 域国产化问题,作为统一身份认证管理系统,为信创邮箱、OA、VPN、网络、网络设备/终端等提供统一认证、授权和审计;
• 密码策略与 AD 保持一致,按照安全要求贯彻定期改密及密码复杂度机制;
• 为登录网络设备的用户开启了 MFA 多因素认证,确保重要资源访问的安全性;
• 用户自服务功能满足了用户自助修改、找回密码的要求,解放了运维人员协助改密的双手,让用户体验和运维体验均得到明显提升;
• 通过双机热备部署来确保系统可靠性,为基金公司业务正常运营提供坚实的数字身份底座支撑。
