信创背景下,IAM统一身份管理联合国产身份域管,助力央国企构建数字身份新底座

news2024/12/25 13:08:49

数字身份底座是企业数字化的基石。数字时代,IAM 统一身份管理系统结合微软 AD 是央国企、金融机构数字身份建设的通用架构。国产化改造浪潮中,国外身份管理系统(如微软 AD)无法适配国产化异构 IT 环境。从业务和安全角度考虑,用国产身份域管承接这一位置更切合实际。国产身份域管除了在能力与运维上与国外身份管理系统保持一致,还对国外产品在复杂场景下的能力进行了增强,以更适应中国企业的信息化建设。未来,央国企、金融机构信创改造建设中,IAM 联合国产身份域管将推动构建数字身份新底座。

IAM+微软AD,央国企数字身份建设的通用架构

在《国资信创改造难在哪里?国产身份域管建设先行可少走弯路》一文中我们提到,全球有超过91%的具规模企业将 Microsoft Active Directory (微软AD)作为数字化身份的基础底座。AD 在大型央国企尤其偏制造业、金融机构中也同样是身份管理的最佳实践,为 Windows 终端、Exchange、云桌面(如Citrix、VMware)、ERP、OA 等 IT 资源提供统一认证与管理。

大型央国企、金融机构的信息化建设具有周期长、人员及分公司众多、业务范围广等特点,为响应国家战略及提升企业经营能力,央国企及金融等在数字化建设方面不断加大投入,自研、采购的信息系统越来越多,且分散在各个业务部门。系统多、维护难、没有统一门户、登录不方便等问题日渐凸显,而以微软 AD 为代表的国外身份管理系统在应对定制化应用、SaaS、SSO、现代认证方式及身份治理流程方面存在不足。在数字化大背景下,作为弥补 AD 在复杂应用场景下能力不足的 IAM 统一身份管理系统系统应运而生。

IAM 统一身份管理系统具备身份管理、单点登录(SSO)、多因素认证(MFA)、账号生命周期自动化管理、统一身份认证、授权审计等多个能力,为企业全场景的数字身份提供了整合与治理,在企业内部构建起用户身份集中管理平台,将定制化应用、SaaS、非 LDAP 应用等之间的身份数据打通,且提供统一登录门户,为 IT 运维管理和用户提供了极大便利,赋能了业务运营流程与用户体验。所以,IAM 被央国企、金融等大型企业广泛采用,与微软 AD 相辅相成,成为数字化转型的最佳实践。
 

信创背景下,原有国外身份系统无法适配国产化环境

2020年,党政信创进入规模化推广阶段。国产化改造成为金融、央国企等企业数字化转型的重要抓手。国产化背景下,办公生产基础设施朝着国产化异构 IT 架构迁移,担当数字身份底座的国外身份管理系统(如微软 AD)也将面临国产化改造。

26db35a34422e21ced9e41a860c0ebde.jpeg

(图源:宁盾)

为了支撑国产信创 IT 环境身份,我们必须先弄清微软 AD 有哪些核心能力,再去分析 AD 替代方案应具备的能力素质。通过解构 AD,我们认为企业需要关注的核心能力有以下 6 个:

776b51538a9fb47661b4e061d429e7c5.jpeg

(图源:宁盾)

既有服务数字化转型的 IAM 统一身份管理系统能力无法很好满足国产信创 IT 环境支撑问题,因此采用能力上与 AD 类似的国产身份域管是比较可行的方案。

支撑信创 IT,国产身份域管应具备的核心能力

对标 AD 的 6 个核心功能,除去资源管理和 DNS 解析已有成熟的替代方案,国产化 AD 产品至少应支持终端管理、应用管理、网络接入、CA证书 4 项服务。

国产身份域管不仅要考虑到 AD 的兼容性,支持与 AD 并行或者平滑迁移;还要兼顾国产终端、应用、网络等基础设施的认证与管理能力。两者兼顾,才能保障央国企、金融机构的业务连续性,帮助推进国产化改造建设。

另外一方面 IAM 统一身份管理系统为服务央国企数字化,存在比较多定制化场景,本质上 IAM 是一个复杂项目及服务管理集合,而国产化信创 IT 偏标准化场景,如标准 LDAP 应用、虚拟化桌面,混合终端、网络、NAS 等资源,从业务和成本角度考虑,采用标准化国产身份域管思路更切合实际,而如果对接到 IAM 上,也会让 IAM 变得更重,改造代价巨大,不符合其业务特性。

宁盾国产化身份域管正是基于以上建设思路,积累了 10 年以上围绕 AD 架构下的基础身份研发经验,对于 AD 的核心能力,国产身份域管已有相对完备的解决方案,并提供国产化用户最必要的能力支撑。

406fc83a3d309d06641a1d4afafc7422.jpeg

(图:宁盾国产化身份域管对比微软AD核心能力)

在业务连续性及迁移管理便捷性方面,宁盾国产化身份域管兼容 AD、IBM、OpenLDAP 等 Schema,便于新老业务系统无缝迁移及对接,在身份管理能力及习惯上尽量与 AD 保持一致,以确保管理人员既有习惯及技能匹配,确保好对接、好管理。

在方案扩展上,考虑到央国企、金融除了对国产化的需求,安全及数字化业务的连续性也是刚需,宁盾还提供 MFA 多因素认证、与主流 IAM 身份源对接、与 ITDR 身份安全威胁联动、标准型单点登录(SSO)支持非 LDAP 协议集成等能力,满足业务多样化需求。

未来展望:IAM+国产身份域管,构建数字身份新底座

从 IBM、AD 到 IAM+AD,央国企、金融机构从信息化到数字化转型之路已走过数十年。在国产化大背景下,国产化身份域管正在开始承接国产信创 IT 架构的身份管理职能,并在大型央国企、金融机构中与 IAM 统一身份管理系统一道,共同承接数字化+国产化转型的使命,支撑其安全、国产化战略。

国产化改造非一日之功,规划好方案后循序渐进,才能稳步快速实现自主可控的目标。结合近两年宁盾参与金融、央国企头部企业的信创改造工作来看,提前规划、搭建国产身份域管,能够帮助企业在国产化 IT 架构中建立统一的身份标准,降低后续信创产品对接、改造和运维成本,从而加速国产化改造的步伐,让央国企、金融信创的路线更明朗清晰,未来 IT 建设也将少走很多弯路。综上,宁盾认为在国产化背景下IAM 统一身份管理系统和国产身份域管结合将成为大型央国企数字化身份底座建设的最佳实践。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1181431.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【微服务 Spring Cloud 6】服务如何拆分?使用微服务的注意事项?

目录 一、前言二、单体服务的弊端三、微服务化四、服务如何拆分?1、拆分原则2、拆分时机和拆分方法3、拆分实践 五、使用微服务的注意事项1、确保相关业务和利益相关者的支持2、确定微服务的拆分粒度3、遵循微服务架构的原则4、确保接口的稳定性5、关注数据一致性6、…

ros1 自定义订阅者Subscriber的编程实现

话题模型 图中,我们使用ROS Master管理节点。 有两个主要节点: Publisher,名为Turtle Velocity(即海龟的速度)Subscriber,即海龟仿真器节点 /turtlesim Publisher(Turtle Velocity),发布Messa…

【JAVA】:万字长篇带你了解JAVA并发编程-并发设计模式【五】

目录 【JAVA】:万字长篇带你了解JAVA并发编程-并发设计模式【五】模式分类Immutability模式【不可变模式】Copy-on-Write 模式Thread Local Storage 模式线程池中使用 Guarded Suspension模式扩展 Guarded Suspension 模式 Balking模式Thread-Per-MessageWorker Thr…

Chatgpt人工智能对话源码系统分享 带完整搭建教程

ChatGPT的开发基于大规模预训练模型技术。预训练模型是一种在大量文本数据上进行训练的模型,可以学习到各种语言模式和知识。在ChatGPT中,预训练模型被用于学习如何生成文本,并且可以用于各种不同的任务,如对话生成、问答、摘要等…

开发直播带货系统源码的技术要点

直播带货系统是一个复杂的技术项目,通常包括前端应用、后端服务器、数据库、支付集成、实时通信以及直播流处理等多个关键组件。以下是开发直播带货系统源码的技术要点: 实时视频流处理 一个成功的直播带货系统需要支持实时视频流的传输和处理。可以使…

uniapp原生插件之安卓虹软人脸识别原生插件

插件介绍 虹软人脸识别支持图片人脸识别(可识别网络图片),活体检测,离线识别,相机预览旋转,相机人脸识别,批量注册(支持网络图片)等,支持保存用户的id和名称…

双通道 H 桥电机驱动芯片AT8833,软硬件兼容替代DRV8833,应用玩具、打印机等应用

上期小编给大家分享了单通道 H 桥电机驱动芯片,现在来讲一讲双通道的驱动芯片。 双通道 H 桥电机驱动芯片能通过控制电机的正反转、速度和停止等功能,实现对电机的精确控制。下面介绍双通道H桥电机驱动芯片的工作原理和特点。 一、工作原理 双通道 H 桥电…

RuoYi-Vue 在Swagger和Postman中 上传文件测试方案

RequestPart是Spring框架中用于处理multipart/form-data请求中单个部分的注解。在Spring MVC中,当处理文件上传或其他类型的多部分请求时,可以使用RequestPart注解将请求的特定部分绑定到方法参数上。 使用RequestPart注解时,需要指定要绑定…

动捕设备VDSuit Full便携式动作捕捉设备,帮你轻松打破次元壁

动捕设备可以将真人的动作转化为计算机可识别的数据,并将这些数据用于电影、游戏、体育科学等多个专业领域,将真人的动作真实呈现于虚拟世界中。 目前,市面上主要分为光学动捕设备和惯性动作捕捉两种技术,光学动捕设备具有识别精度…

黄金走势分析:美元反弹,金价已失守1980关口

昨晚美元和美债收益率反弹回升,现货黄金震荡下行,美市尾盘金价失守1980美元关口,最低至1977.22美元/盎司,最终收跌0.72%,报收1977.69美元/盎司。在汉声集团分析师张新才发稿前,今日(周二&#x…

摄影师的必备神器:这三款炙手可热的人像修图工具了解一下!

不会吧,现在还有人不修图就直接上传照片吧?作为新时代的精致男孩女孩,修复工具是一定必不可少的,随着手机拍照的流行,许多后期的图片修复工具也是很强大的,有的甚至可以帮助我们一键搞定修图,无…

Web逆向-某网络学院学习的”偷懒“思路分析

接到求助,帮朋友完成20课时的网络学习。 我想都没想就接下了,寻思找个接口直接把学习时间提交上去,易如反掌。 最不济最不济,咱还能16x播放,也简单的很 然鹅,当我登陆的时候,发现自己还是太天真…

浅谈指针函数、函数指针、指针数组、数组指针 简单明了!!!!

指针函数 形如:int* fun(int a, int b) 类比于:int fun(int x, int y)、char fun(int x, int y) 本质上是函数,只是返回值为int类型的指针,以此类推可以有void*、char*、unsigned char*类型等指针,类比于返回值是int …

HCIA_数据链路层

如果数据进行封装时,基于E2或者802.3标准,此时我们称之为是一个以太网帧 1、EthernetII 采用EthernetII协议会在数据基础之上多出18Byte,EthernetII的数据长度是46-1500B FCS(Frame check Sequence)帧校验序列&#…

杂记 | 使用阿里云函数计算服务代理OpenAI的API接口

文章目录 01 准备工作1.1 需求1.2 准备工作 02 操作步骤2.1 Linux端2.2 阿里云控制台 03 参考链接 01 准备工作 1.1 需求 OpenAI的官方接口的URL是https://api.openai.com,然而国内无法直接访问,可以通过反向代理该链接的方式来实现,可如果…

关于卷积神经网络的填充(padding)

认识填充 (padding) 随着卷积层数的加深,输出进一步缩小,那么最终会导致输出很快就只剩下1∗1的数组,这也就没办法继续计算了,所以提出了填充的方法来方便网络的进一步加深。 其实填充的原因有两点&#xf…

Maven-构建工具

一、背景 开发者编写完成源码,还需要进行编译、测试、打包、部署等一系列操作。在一些小型项目中,还可能通过手动方式进行以上操作。但是在大型项目中,难以确定以上操作的顺序,而且会耗费更高的时间成本。 1.构建工具 构建工具…

AR眼镜硬件解决方案_AR/VR智能眼镜安卓主板芯片方案介绍

随着近两年来增强现实(AR)技术的逐渐成熟,采用MT8788芯片解决方案的AR眼镜已经问世。众所周知,AR技术可以帮助开发者打造一个既强大而又实用的混合现实世界,将虚拟与真实世界相结合。 据了解,MT8788芯片采用了多芯片分布式处理系统…

【GEE】7、利用GEE进行遥感影像分类【随机森林分类】

1简介 在本模块中,我们将讨论以下概念: 监督和非监督图像分类之间的区别。Google Earth Engine 提供的各种分类算法的定义和应用。如何使用 randomForest 设置和运行分类,以 aspen 存在和不存在作为示例数据集。 2背景 图像分类 人类自然倾向…

AlGaN/GaN HEMT 中缓冲区相关电流崩溃的缓冲区电位模拟表征

标题:Characterization of Buffer-Related Current Collapse by Buffer Potential Simulation in AlGaN/GaN HEMTs 来源:IEEE TRANSACTIONS ON ELECTRON DEVICES (18年) 摘要 - 在本文中,通过使用脉冲 I-V 测量和二维漂移扩散模拟研究了 Al…