信创背景下,IAM统一身份管理联合国产身份域管,助力央国企构建数字身份新底座

数字身份底座是企业数字化的基石。数字时代,IAM 统一身份管理系统结合微软 AD 是央国企、金融机构数字身份建设的通用架构。国产化改造浪潮中,国外身份管理系统(如微软 AD)无法适配国产化异构 IT 环境。从业务和安全角度考虑,用国产身份域管承接这一位置更切合实际。国产身份域管除了在能力与运维上与国外身份管理系统保持一致,还对国外产品在复杂场景下的能力进行了增强,以更适应中国企业的信息化建设。未来,央国企、金融机构信创改造建设中,IAM 联合国产身份域管将推动构建数字身份新底座。

IAM+微软AD,央国企数字身份建设的通用架构

在《国资信创改造难在哪里?国产身份域管建设先行可少走弯路》一文中我们提到,全球有超过91%的具规模企业将 Microsoft Active Directory (微软AD)作为数字化身份的基础底座。AD 在大型央国企尤其偏制造业、金融机构中也同样是身份管理的最佳实践,为 Windows 终端、Exchange、云桌面(如Citrix、VMware)、ERP、OA 等 IT 资源提供统一认证与管理。

大型央国企、金融机构的信息化建设具有周期长、人员及分公司众多、业务范围广等特点,为响应国家战略及提升企业经营能力,央国企及金融等在数字化建设方面不断加大投入,自研、采购的信息系统越来越多,且分散在各个业务部门。系统多、维护难、没有统一门户、登录不方便等问题日渐凸显,而以微软 AD 为代表的国外身份管理系统在应对定制化应用、SaaS、SSO、现代认证方式及身份治理流程方面存在不足。在数字化大背景下,作为弥补 AD 在复杂应用场景下能力不足的 IAM 统一身份管理系统系统应运而生。

IAM 统一身份管理系统具备身份管理、单点登录(SSO)、多因素认证(MFA)、账号生命周期自动化管理、统一身份认证、授权审计等多个能力,为企业全场景的数字身份提供了整合与治理,在企业内部构建起用户身份集中管理平台,将定制化应用、SaaS、非 LDAP 应用等之间的身份数据打通,且提供统一登录门户,为 IT 运维管理和用户提供了极大便利,赋能了业务运营流程与用户体验。所以,IAM 被央国企、金融等大型企业广泛采用,与微软 AD 相辅相成,成为数字化转型的最佳实践。
 

信创背景下,原有国外身份系统无法适配国产化环境

2020年,党政信创进入规模化推广阶段。国产化改造成为金融、央国企等企业数字化转型的重要抓手。国产化背景下,办公生产基础设施朝着国产化异构 IT 架构迁移,担当数字身份底座的国外身份管理系统(如微软 AD)也将面临国产化改造。

26db35a34422e21ced9e41a860c0ebde.jpeg

(图源:宁盾)

为了支撑国产信创 IT 环境身份,我们必须先弄清微软 AD 有哪些核心能力,再去分析 AD 替代方案应具备的能力素质。通过解构 AD,我们认为企业需要关注的核心能力有以下 6 个:

776b51538a9fb47661b4e061d429e7c5.jpeg

(图源:宁盾)

既有服务数字化转型的 IAM 统一身份管理系统能力无法很好满足国产信创 IT 环境支撑问题,因此采用能力上与 AD 类似的国产身份域管是比较可行的方案。

支撑信创 IT,国产身份域管应具备的核心能力

对标 AD 的 6 个核心功能,除去资源管理和 DNS 解析已有成熟的替代方案,国产化 AD 产品至少应支持终端管理、应用管理、网络接入、CA证书 4 项服务。

国产身份域管不仅要考虑到 AD 的兼容性,支持与 AD 并行或者平滑迁移;还要兼顾国产终端、应用、网络等基础设施的认证与管理能力。两者兼顾,才能保障央国企、金融机构的业务连续性,帮助推进国产化改造建设。

另外一方面 IAM 统一身份管理系统为服务央国企数字化,存在比较多定制化场景,本质上 IAM 是一个复杂项目及服务管理集合,而国产化信创 IT 偏标准化场景,如标准 LDAP 应用、虚拟化桌面,混合终端、网络、NAS 等资源,从业务和成本角度考虑,采用标准化国产身份域管思路更切合实际,而如果对接到 IAM 上,也会让 IAM 变得更重,改造代价巨大,不符合其业务特性。

宁盾国产化身份域管正是基于以上建设思路,积累了 10 年以上围绕 AD 架构下的基础身份研发经验,对于 AD 的核心能力,国产身份域管已有相对完备的解决方案,并提供国产化用户最必要的能力支撑。

406fc83a3d309d06641a1d4afafc7422.jpeg

(图:宁盾国产化身份域管对比微软AD核心能力)

在业务连续性及迁移管理便捷性方面,宁盾国产化身份域管兼容 AD、IBM、OpenLDAP 等 Schema,便于新老业务系统无缝迁移及对接,在身份管理能力及习惯上尽量与 AD 保持一致,以确保管理人员既有习惯及技能匹配,确保好对接、好管理。

在方案扩展上,考虑到央国企、金融除了对国产化的需求,安全及数字化业务的连续性也是刚需,宁盾还提供 MFA 多因素认证、与主流 IAM 身份源对接、与 ITDR 身份安全威胁联动、标准型单点登录(SSO)支持非 LDAP 协议集成等能力,满足业务多样化需求。

未来展望:IAM+国产身份域管,构建数字身份新底座

从 IBM、AD 到 IAM+AD,央国企、金融机构从信息化到数字化转型之路已走过数十年。在国产化大背景下,国产化身份域管正在开始承接国产信创 IT 架构的身份管理职能,并在大型央国企、金融机构中与 IAM 统一身份管理系统一道,共同承接数字化+国产化转型的使命,支撑其安全、国产化战略。

国产化改造非一日之功,规划好方案后循序渐进,才能稳步快速实现自主可控的目标。结合近两年宁盾参与金融、央国企头部企业的信创改造工作来看,提前规划、搭建国产身份域管,能够帮助企业在国产化 IT 架构中建立统一的身份标准,降低后续信创产品对接、改造和运维成本,从而加速国产化改造的步伐,让央国企、金融信创的路线更明朗清晰,未来 IT 建设也将少走很多弯路。综上,宁盾认为在国产化背景下IAM 统一身份管理系统和国产身份域管结合将成为大型央国企数字化身份底座建设的最佳实践。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/163576.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

系列十一、拦截器(二)#案例演示

一、案例演示 说明&#xff1a;如下案例通过springboot的方式演示拦截器是如何使用的&#xff0c;以获取Controller中的请求参数为切入点进行演示 1.1、前置准备工作 1.1.1、pom <dependencies><!-- spring-boot --><dependency><groupId>org.spring…

DockerFile常用保留字指令及知识点合集

目录 DockerFile加深理解&#xff1a; DockerFile常用保留字指令 保留字&#xff1a; RUN&#xff1a;容器构建时需要运行的命令 COPY&#xff1a;类似ADD&#xff0c;拷贝文件和目录到镜像中。 将从构建上下文目录中 <源路径> 的文件/目录复制到新的一层的镜像内的 …

初识面向对象(类和对象)

目录 1. 面向对象的初步认知 2.面向对象与面向过程 3.类定义和使用 4.类的定义格式 练习 5.类的实例化 什么是实例化 6.this引用 为什么要有this引用 什么是this引用 this引用的特性 7.对象的初始化 默认初始化 就地初始化 使用构造方法初始化 1. 面向对象的初步…

JavaSE 再续篇-面试题:this 与 super 关键字的区别

&#x1f525;博客主页&#xff1a; 小扳_-CSDN博客 ❤感谢大家点赞&#x1f44d;收藏⭐评论✍ 文章目录 1.0 this 与 super 关键字的区别 1.1 在Java中&#xff0c;this 关键字有以下作用 1.2 在Java中&#xff0c;super 关键字有以下作用 2.0 经典习题 1.0 this 与 su…

Mac版eclipse如何安装,运行bpmn文件

一、下载程序包 网址&#xff1a;https://www.eclipse.org/downloads M2芯片安装包名称&#xff1a;eclipse-jee-2022-12-R-macosx-cocoa-aarch64.dmg 具体安装包版本根据自己电脑型号选择 二、eclipse安装步骤 1&#xff09;双击下载的文件 2&#xff09;将eclipse拖入到…

spring报错 @EnableAsync annotation metadata was not injected

报错 报错 internalAsyncAnnotationProcessor 这个spring内部的后处理器 创建失败&#xff0c;进而导致 EnableAsync 注解元数据没有注入容器 分析问题 查了 博客 是配置类放到原始项目路径下导致的问题。 博主的路径虽然正确&#xff0c;但发现是相似的问题&#xff0c;最…

项目流程管理工具 OmniPlan Pro 4 mac中文版软件介绍

OmniPlan Pro mac是 The Omni Group 为 macOS 和 iOS 操作系统开发的项目管理软件。它允许用户创建和管理复杂的项目、定义任务、分配资源、跟踪进度和生成报告。 OmniPlan Pro mac包括甘特图、网络图、关键路径分析、资源均衡和成本跟踪等功能。 借助 OmniPlan Pro&#xff0…

maven 上传本地jar包到nexus

maven上传命令 mvn deploy:deploy-file -DgroupIdcom.microsoft.sqlserver -DartifactIdsqljdbc4 -Dversion4.0 -Dpackagingjar -DfileC:\java\top-sdk-java-1.0.1-lib\lib\bcprov-jdk16-1.46.jar -Durlhttp://ip:port/repository/maven-releases/ -DrepositoryIdsnapshot…

微信小程序自动化采集方案

本文仅供学习交流&#xff0c;只提供关键思路不会给出完整代码&#xff0c;严禁用于非法用途&#xff0c;拒绝转载&#xff0c;若有侵权请联系我删除&#xff01; 一、引言 1、对于一些破解难度大&#xff0c;花费时间长的目标&#xff0c;我们可以先采用自动化点击触发请求&…

高匿IP有什么作用

在互联网的蓬勃发展中&#xff0c;IP地址作为网络通信的基础&#xff0c;一直扮演着举足轻重的角色。而在诸多IP地址中&#xff0c;高匿IP地址则是一种特殊类型&#xff0c;其作用和价值在某些特定场合下尤为突出。那么&#xff0c;高匿IP地址究竟有哪些用处呢&#xff1f; 首先…

没网络也能安装.Net 3.5!如何脱机安装.NET Framework 3.5

.NET框架是由微软制定的一个软件框架。它有助于在Windows上运行控制台、Web或移动应用程序。此有用的工具适用于Windows设备。 如何脱机安装.NET Framework 3.5 如果你拥有Windows 10、8、8.1或7,有时第三方软件可能会导致问题。你可能会在图片中看到这样的问题。 看这张照片…

【云原生】使用nginx反向代理后台多服务器

背景 随着业务发展&#xff0c; 用户访问量激增&#xff0c;单台服务器已经无法满足现有的访问压力&#xff0c;研究后需要将后台服务从原来的单台升级为多台服务器&#xff0c;那么原来的访问方式无法满足&#xff0c;所以引入nginx来代理多台服务器&#xff0c;统一请求入口…