Language-
宁盾信创身份域管助力某基金公司搭建与AD域并行的国产域控,重构更安全的身份管理设施
客户介绍:
某基金公司至今已发展 20 余年,资产管理规模一度超过千亿元。随着金融信创进程加快,该基金公司正逐步对办公应用进行国产化改造。
项目背景及需求:
在信创背景下,新采购的应用系统和PC不适合接到AD域上。另外,数据中心的网络设备、服务器目前是在本地创建账号密码,独立管理。不满足等保三级主机安全测评要求。客户希望建设一套国产化目录服务统一管理账号,对公司终端资产进行数字化管理,包含终端认证的统一管理和Coremail邮箱的准入认证管理,方便IT运维管理人员管理和维护。
项目需求:
1. 统一账号管理平台
(1) 创建用户目录,统一维护服务器账号;
(2) 设置账号的密码策略,如密码复杂度、密码有效期等;
(3) 为员工提供便捷改密方式,方便在不同场景下进行改密。
2. Windows终端统一身份认证
(1) 接管不同操作系统终端的登录认证
(2) 管理分配可登录终端的用户账号;
(3) 登录服务器时增加MFA,通过手机令牌实现。
3. 邮箱统一身份认证
(1) 接管并统一应用系统的账号密码认证;
(2) Coremail账号密码登录;
(3) 登录Coremail时增加MFA,通过手机令牌实现。
宁盾解决方案:
1. 同步AD域组织架构和用户数据,创建统一账号管理平台。在此基础上开展密码管理策略。
2. Coremail邮箱通过标准LDAP协议接入到宁盾域管,提供统一认证。
3. 网络设备、服务器等由宁盾接管,实现统一认证、AAA管理、定期更换密码及自助改密,满足三级等保合规要求。
4. 在应用、设备访问入口增加多因素认证(MFA),提升访问安全。
方案价值:
-- 效率飙升:运维场景的账号管理从分散走向集中,定期改密从依赖协助变为自主操作,效率大幅提升;
-- 成本优化:国产身份域控成本较 AD 域降低超过 50%,且功能更丰富,应用场景更广泛;
-- 安全可靠:基于标准协议自主研发,避开了 AD 的安全漏洞,支持高可靠部署,提升了系统安全性;
-- 树立标准:信创统一身份管理体系在混合 IT 架构下确立了标准化的身份管理规则,为后续应用、网络、设备的选型与对接提供了明确方向,避免走弯路。
