自国资委下发79号文并明确规定了2027年底前信息系统全面替换的目标后,金融机构、大型央国企均规划起信创改造方案,其中金融机构更是走在8大行业信创前列,成为央国企、医疗、能源等行业国产化改造的参考样板。
在参与并负责某大型金融机构与某央企数字身份底座改造项目后,宁盾认为,提前规划、搭建微软 AD (Windows 域控)替代方案,能够帮助国资企业在国产化 IT 办公系统架构中建立统一的身份标准,降低后续信创产品选型、接入成本及运维压力,从而加速国产化改造的步伐,让国资信创的路线更明朗清晰,未来 IT 建设也将少走很多弯路。
搭建Windows AD域控替代方案的三个契机
信创国产化改造的本质是国产异构架构迁移。从Windows+Intel架构逐步向国产异构IT架构转变。
从当前国资央企和头部领军企业信创改造的动作可以看出,以下三个触发点是企业提前规划AD替代方案的最佳契机。
1、未雨绸缪,提早规划
AD在企业内的应用还不够深入,基于信创要求,企业开始思考如何建设类似于 AD 能力的国产化方案。
2、信创采购,事件驱动
采购信创 PC 终端(麒麟、统信操作系统)、国产软件(OA、邮箱、Office等)、VDI(虚拟桌面,如华为、深信服、新华三等),企业寻求国产替代方案以提供统一认证和管理。
3、安全运维叠加信创要求
攻防演练中 AD 可能出现安全风险,出于安全运维和信创双重考虑,企业开始调研新的国产化方案。
Windows AD域控替代方案应该具备哪些功能
Windows AD域作为央国企、金融机构身份管理的最佳实践,在国产化背景下,需要先弄清AD的核心能力,才能为AD替代方案选型提供参照。
通过解构微软AD(Windows 域控),宁盾认为AD替代产品至少应具备终端管理、应用管理、网络接入、CA证书4项核心功能,而资源管理、DNS解析目前国内已有成熟的解决方案,AD替代产品只需要兼容适配即可。
微软 AD (Windows 域控)替代产品不仅要考虑到 AD 的兼容性,支持与 AD 并行或者平滑迁移;还要兼顾国产终端、应用、网络等基础设施的认证与管理能力。两者兼顾,才能保障央国企、金融机构的业务连续性,帮助推进国产化改造建设。
宁盾国产化身份域管正是基于以上建设思路,积累了 10 年以上围绕 AD 架构下的基础身份研发经验,对于 AD 的核心能力,国产身份域管已有相对完备的解决方案,并提供国产化企业最必要的能力支撑。
在业务连续性及迁移管理便捷性方面,宁盾国产化身份域管兼容 AD、IBM、OpenLDAP 等 Schema,便于新老业务系统无缝迁移及对接,在身份管理能力及习惯上尽量与 AD 保持一致,以确保管理人员既有习惯及技能匹配,确保好对接、好管理。
国产化改造并非一日之功,微软 AD 替代也不是一蹴而就,在规划好方案后循序渐进,更能稳步实现全面替换的目标。结合近两年宁盾参与金融、央国企头部企业的信创改造工作来看,提前规划、搭建国产身份域管,能够帮助企业在国产化 IT 办公系统架构中建立统一的身份标准,降低后续信创产品对接、改造和运维成本,从而加速国产化改造的步伐,让央国企、金融信创的路线更明朗清晰,未来 IT 建设也将少走很多弯路。