在该方案中企业最终采用了第一种方式，将AD、麒麟天域和统信域管作为宁盾目录的下游应用，由宁盾目录统一推送或域管主动调用宁盾目录身份。这种方式尽管依赖AD，但可靠性更高，不需要引入客户端，适合有已加域终端和信创终端的场景。

AD：宁盾目录调用AD的LDAP接口，进行身份同步；
麒麟天域：将宁盾目录作为身份源，使用LDAP协议调用宁盾目录；
统信域管：将宁盾目录作为身份源，使用LDAP协议调用宁盾目录。

对于终端的认证和密码管理方面，信创域管支持向AD发起认证，宁盾目录数据结构和AD高度兼容，信创域管可将宁盾目录作为AD替代品。Windows仅支持向AD发起认证，AD无法将认证请求代理到第三方，可通过组策略禁用Windows修改密码，强制用户在身份自服务平台修改密码，宁盾目录接收到密码变更后同步给AD。

AD有被替代的预期，信创域管平台产品化程度尚不完善，由宁盾安全连接器客户端实现终端集中管理和认证，可靠性较高，终端依赖度较高，完全不依赖AD。如您对模拟加域方案或其他方式感兴趣，可通过扫描文末二维码获取更详细的方案，这里就不再赘述。

作为金融行业头部企业，客户对信息安全的重视也在本次方案中体现。通过对用户连接网络或访问办公资源时的登录入口添加动态密码进行二次身份认证，以降低因账密泄露引起的安全风险。宁盾多因素认证支持的认证形式十分丰富，有动态令牌（APP、H5、小程序、硬件Key）、短信令牌、推送认证、扫码认证、生物认证等多种。该客户选用了宁盾手机APP令牌形式，用以加强账号安全。

远程接入，支持VPN、堡垒机、虚拟桌面等；
运维，支持Linux、AIX等服务器，各种网络设备认证授权和审计，替代ACS/ISE；
应用登录，支持API调用或SSO门户增加多因素认证；
操作系统登录，支持Windows、Linux、Mac OS，需安装宁盾安全连接器；
网络接入，仅Portal或证书认证。

身份系统是关键基础设施，尤其对于金融这类关系国计民生的行业，基础设施更需要支持高可用、负载均衡、备份和恢复。

宁盾目录服务支持集中式部署和分布式部署，集中部署模式下，关键目录服务互为主备，应用接入节点可多台集群部署，实现负载均衡。它的好处在于结构简单，在提供较好的高可用性能下，维护成本低。

分布式部署模式下，每个物理分支都可以有多个宁盾目录实例。实例之间互相同步，物理分支之间互相同步。

宁盾目录服务同样支持故障回退、数据恢复。由于宁盾目录服务和AD具有高度兼容性，大部分业务场景下可以互换，因此也建议该金融机构保留AD较长时间，有突发情况时可以将应用对接恢复为 AD，将业务可持续作为首要目标。

目前，宁盾目录服务方案已在该金融机构OA部门试用中。通过宁盾目录服务替代微软AD，接管企业内的身份、应用、网络、终端，进而打造基于信创体系的身份管理解决方案，加快国产化数字化建设。

目前信创操作系统推进重点在金融行业，2021年各单位着重解决终端用户在信创系统上处理业务的问题。从2022年开始，微软 AD 面临较大的替换预期，一些银行和金融机构开始探索 AD的替代解决方案。而从宁盾接触到的信创用户来看，普遍关注的技术点为：

信创操作系统的统一管理和认证。截至2022年4月，信创域管平台主要采用定制方法适配客户需求，产品化程度尚未成熟。用户在寻求其他解决方案；
应用迁移。过去二十多年微软 AD 是主要身份标准，大量应用构建在 AD 上，应用的迁移成本不能太大；
Windows 统一管理的过渡方案。
网络认证，是企业比较容易忽略的点，比应用迁移更为复杂，涉及到原有认证平台的替换和对接。

大多数单位在寻找和测试解决方案时都暴露出不少问题，比如域管平台能力、业务系统历史遗留问题、Windows脱域问题等，因此替换微软AD对于企业自身而言也是一个查漏补缺的契机。

其实，国内外在非信创领域 AD 替换或部分替换同样很常见，主要驱动因素有：

性能问题，当企业员工人数很多或分支较多情况下，如果没有持续规划和更新，AD比较容易面临LDAP服务超载、数据同步不及时等问题；
安全性问题，近年来AD漏洞被利用的次数在增多，AD作为关键服务不能经常重启，导致有许多0day漏洞被利用；AD的默认配置有一定安全隐患，需要经验丰富的管理员持续关注；
无法适用云和移动化，AD在本世纪初推出以来，架构上没有特别更新，对业务上云和SaaS支持薄弱；AD也不能管理Mac、Linux等终端，许多企业虽然架设了AD，并未有效使用起来。