在國資委79號文的明確指引下，某國資保險企業(yè)率先開啟國產化替代的試點項目。然而，一個棘手問題擺在面前：如何平滑替換深植于企業(yè)架構多年的微軟AD（Active Directory）域控系統(tǒng)，并實現(xiàn)對各類信創(chuàng)終端的統(tǒng)一納管？

身份認證是企業(yè)安全基石。這道防線斷層，不僅會引發(fā)賬戶泄露風險，更會直接影響員工日常辦公效率。近日，聯(lián)軟科技為該保險企業(yè)打造的XIAM（全網身份統(tǒng)一管理）解決方案正式落地，為金融行業(yè)的信創(chuàng)改造提供了一份標桿示范。

一、需求背景

該國資保險企業(yè)啟動國產化替換試點項目的核心目標為替換微軟AD域服務，并實現(xiàn)對信創(chuàng)終端的全維度統(tǒng)一納管，具體需滿足以下三大核心需求，筑牢終端安全與身份認證防線：

平滑繼承微軟AD的身份和權限：Windows終端無需脫域加域，沿用原有賬號登錄，權限無感繼承，同時支持統(tǒng)信麒麟等信創(chuàng)終端登錄，員工無需記憶多個域賬號，降低多賬號帶來的泄露風險；

終端行為剛性管控：禁止終端私自安裝非法軟件，嚴控USB等外接設備使用；

跨系統(tǒng)無縫對接：支持與第三方零信任系統(tǒng)深度融合，實現(xiàn)身份認證與終端管理的一體化協(xié)同，保障業(yè)務訪問的安全性與流暢性。

二、解決方案

針對企業(yè)國產化替代核心訴求與安全管理需求，聯(lián)軟科技推出XIAM（XCAD+IAM）全網身份統(tǒng)一管理解決方案，打造無需安裝客戶端、可靈活切換的AD域平滑替代方案，在國產化IT架構中建立統(tǒng)一身份認證標準，大幅降低信創(chuàng)產品切入成本與運維團隊管理壓力，實現(xiàn)“替換無感知、管控全方位、對接無壁壘”。

首先，在辦公網絡部署層面，采用3臺XCAD服務器與2臺IAM管理服務器構建高可用集群架構，為信創(chuàng)終端提供穩(wěn)定、高效的身份認證與統(tǒng)一管控服務。通過聯(lián)軟桌管系統(tǒng)統(tǒng)一下發(fā)加域腳本與管控策略，全程自動化執(zhí)行，無需終端用戶手動操作。針對企業(yè)現(xiàn)有應用系統(tǒng)，聯(lián)軟IAM可提供LDAP、Radius等標準化認證服務，實現(xiàn)全應用統(tǒng)一認證，用戶使用習慣無需任何調整，徹底消除替換帶來的業(yè)務適配成本。

在跨系統(tǒng)集成層面，第三方零信任系統(tǒng)對接IAM后，已加域信創(chuàng)終端可直接通過信創(chuàng)域賬號訪問內網業(yè)務，實現(xiàn)身份認證與零信任訪問的深度協(xié)同，筑牢內網業(yè)務訪問安全邊界。同時，配套部署終端安全管理系統(tǒng)，與XIAM方案形成聯(lián)動，一站式實現(xiàn)信創(chuàng)終端的軟件全生命周期管理、外設精準管控、終端病毒實時防護等核心能力，構建“終端-身份-服務端”的三層安全架構。

方案的落地得益于聯(lián)軟科技在身份安全領域的核心技術優(yōu)勢。

其中，聯(lián)軟XCAD支持與微軟AD雙向實時同步，用戶信息、組織單元、組策略等核心數(shù)據同步延遲低于1秒，確保新舊系統(tǒng)數(shù)據一致性；同時內置斷網續(xù)傳與沖突自動修復機制，保障業(yè)務訪問連續(xù)性。通過可視化管理界面，管理員可一鍵完成AD域遷移、策略配置、風險審計與追溯，大幅降低運維門檻，實現(xiàn)國產化替代的“平滑過渡、高效落地”。

而聯(lián)軟IAM搭載的身份安全網關，采用代理模式部署，核心價值在于最大化降低應用系統(tǒng)集成改造成本與安全風險。網關支持LDAP、Radius、OIDC、OAuth2、SAML、CAS等全場景標準化統(tǒng)一認證與單點登錄協(xié)議，業(yè)務應用無需深度改造即可快速對接，大幅降低系統(tǒng)耦合性，減少代碼分支維護復雜度，避免因認證協(xié)議變更引發(fā)的業(yè)務連續(xù)性故障。

安全層面，身份安全網關更為核心認證服務提供“隱身保護”與協(xié)議轉換適配能力，有效隔離外部攻擊，同時為前端業(yè)務應用提供網絡訪問控制、虛擬賬號鑒權、最小化授權等精細化安全管控服務，既筑牢核心認證體系防線，又實現(xiàn)業(yè)務訪問的精準權限管控，全方位抵御來自周邊生態(tài)的安全威脅，兼顧集成效率與安全防護。

三、方案價值

高可用架構，保障業(yè)務穩(wěn)定運行

采用多節(jié)點集群部署模式，兼具高可靠性與高效響應能力，既能保障系統(tǒng)7x24小時安全穩(wěn)定運行，抵御單點故障風險，又能實現(xiàn)信創(chuàng)終端身份認證的快速響應，適配保險企業(yè)高頻辦公訪問需求。

運維效能升級，降低管理成本

配備自助服務平臺，用戶可自主完成密碼重置、修改等操作，大幅減少運維團隊日常支撐工作量；可視化管理界面實現(xiàn)AD域遷移、策略配置、審計追溯一鍵化操作，結合與微軟AD的秒級同步能力，顯著降低國產化替代后的運維難度與人力成本。

權限管控精細化，規(guī)避管理風險

構建“三權分立”管理機制，明確域控管理權限與責任歸屬，徹底解決傳統(tǒng)域控管理混亂、權限交叉、責任不清等痛點；同時實現(xiàn)賬號全生命周期閉環(huán)管理，配套僵尸賬號清理、異常賬號監(jiān)測、密碼到期郵件提醒等功能，結合全流程審計追溯，滿足保險行業(yè)合規(guī)管控要求。

跨系統(tǒng)兼容適配，打破國產化壁壘

突破信創(chuàng)終端與Windows系統(tǒng)的兼容瓶頸，實現(xiàn)信創(chuàng)終端對Windows共享目錄的順暢訪問，保障跨系統(tǒng)辦公協(xié)同效率。

一體化安全管控，筑牢終端防線

方案與聯(lián)軟終端安全管理系統(tǒng)深度聯(lián)動，實現(xiàn)實軟件、外設等統(tǒng)一管控。