某金融机构身份国产化创新实践——信创LDAP目录服务建设经验分享

项目背景

自2019年以来，金融行业信创发展进程加快。从2020年一期试点的47家到2021年二期试点198家，2022年三期试点启动的同时也进入全面推广阶段，试点范围由大型银行、证券、保险等机构向中小型金融机构渗透，涉及全行业5000余家单位。

信创建设成为金融机构数字化转型的重要抓手，在帮助金融机构的业务提质增效的同时，也能为金融机构数字化转型和以数字化为支撑的管理变革奠定基础。

某金融机构身份建设现状

在此背景下，某大型金融机构的信创建设也进入快车道，信创相关预算占比逐年升高。

该大型金融机构2002年成立至今，拥有国内、国外近百家分支机构，业务遍布全球180个国家和地区，雇员近4000人。随着国产服务器、统信、麒麟等终端操作系统、国产OA、邮件如Coremail等应用软件投入使用，以 Windows 操作系统为主的 IT 底层架构逐渐被替代，而纳管这些 IT 资源（身份、应用、终端）的微软活动目录 Active Directory（AD）也将面临替换。

Microsoft Active Directory （微软AD）作为一种目录服务或身份提供商（IdP），主要是帮助管理员将用户连接到基于Windows的IT资源，同时管理和保护基于Windows的业务系统和应用。管理员可以使用AD创建用户并授权用户访问Windows终端、服务器和应用等。另外，AD还能用于控制系统组、强制执行安全设置和软件更新，而AD的访问和控制都是基于域来实现的。

AD提供了终端统一认证、管理能力，应用接入能力，基于NPS的RADIUS服务，Windows文件共享以及基于AD的NDS服务。AD是微软整个生态环境的基础，也是企业IT基础设施。对于长期使用AD的企业，AD已经深入到其生产、业务、管理方方面面。如果无法使用微软AD了，那么企业的身份、应用、终端的管理怎么办？寻求可替代AD域的国产目录服务产品成为金融行业当前及未来的重点。

该金融机构存在与微软AD高度绑定的应用，如虚拟桌面、IAM系统、单点登录SSO系统、Exchange 邮箱、Office365等。除此之外，还有部分国产应用，如Synology NAS、Coremail、OA系统等。

依赖微软AD的应用使用域账号即可进行身份认证和访问授权，但对于国产应用软件，IT管理员只能在各个应用系统中单独手动维护组织架构和用户身份信息，不仅拖累运维效率，也增加了人为操作失误带来的风险。企业急需建立统一身份认证和管理体系，才能确保业务不中断。

对于一些关键设备，例如堡垒机、服务器、防火墙、交换机、虚拟桌面等设备的身份认证同样依赖于微软AD，Windows Server被替换或停用，也会导致AD服务无法继续。

当替换成统信、麒麟这类信创终端后，如何保护用户在Windows上的使用习惯？不同品牌信创终端账号能否统一集中管理？用户登录认证是否支持集中认证和本地认证，以及常用的802.1x认证？这些问题对IT部门而言都是不小的挑战。

如何落地？

终端和AD替换不是一蹴而就的，既有Windows终端、新购Windows终端、信创终端、微软AD和AD替代方案会有阶段性共存，而在过渡阶段主要面临的是迁移问题：

针对上述痛点，考虑到方案可用性、覆盖范围和TCO（Total Cost of Ownership ，总拥有成本，产品采购到后期使用、维护的成本），宁盾为该金融机构提出了一个有效的解决思路，基于宁盾身份目录服务来进行，按照与AD关联紧密度排序，关联度小的优先迁移，以此逐步弱化AD在企业中的作用：

宁盾目录服务主要包含身份目录和各业务场景对接能力。身份目录具有和AD高度兼容的数据结构，降低了应用的变更代价，为应用迁移提供了便利。

（宁盾身份目录服务兼容微软AD）

为了能够统一信创、Windows终端和其他业务场景的身份，宁盾目录需要替代AD原有的生态位，建立身份源。因此，在该方案中首先构建以宁盾目录服务为核心身份源的统一身份管理中心。通过宁盾目录的身份同步功能，将上游身份源如AD、HR、IAM系统或OA系统内的身份数据同步到宁盾目录服务中进行统一管理维护。

此时，宁盾目录服务可以作为LDAP服务器或者SCIM服务器，由下游应用系统直接调用身份数据，也可以调用下游应用的身份API主动推送身份数据，从而保持企业内用户全网身份一致性。

应用对接场景中，宁盾目录服务需要接管下列能力：

网络接入在信创替代中是比较容易被忽视的问题。由于微软在AD域、Windows终端登录和网络接入上有深度耦合，不容易做到完美替代，其中的风险源自：

对于主流内网认证方式802.1x认证或Portal认证，在Windows加域模式下可以实现登录Windows自动认证、计算机名认证或证书认证，前提是RADIUS服务器加域。宁盾目录服务的网络接入组件有较高的内部耦合性，同样能够实现三种认证。当原有RADIUS服务器脱域之后，宁盾网络接入组件可代替原有RADIUS服务器，提供RADIUS认证服务。

应对策略如下两种：

图 绕开原有RADIUS

图 原RADIUS与宁盾互信

远程接入主要为VPN、堡垒机、虚拟桌面等接入认证场景。

VPN、堡垒机等设备主流的认证协议是RADIUS或LDAP，该金融机构内部署了RADIUS，直接由宁盾目录服务替代。宁盾支持更多品牌的网络设备和厂商私有协议，可实现比以往更优的效果，如权限控制、IP下放、多因素认证等。

在身份认证方面，宁盾对主流产品有良好支持，如深信服、华为、Citrix、VMWare。但各虚拟桌面厂商的运行机制对AD依赖性比较高，需要推动厂商去AD化。

终端的统一管理在方案的选择上需要遵循几个原则：

简而言之，方案最好不要引入新的客户端，如需引入客户端，需具备完备的客户端方案，且对AD的依赖越轻越好。

有以下四种方式可供客户选择：

在该方案中企业最终采用了第一种方式，将AD、麒麟天域和统信域管作为宁盾目录的下游应用，由宁盾目录统一推送或域管主动调用宁盾目录身份。这种方式尽管依赖AD，但可靠性更高，不需要引入客户端，适合有已加域终端和信创终端的场景。

对于终端的认证和密码管理方面，信创域管支持向AD发起认证，宁盾目录数据结构和AD高度兼容，信创域管可将宁盾目录作为AD替代品。Windows仅支持向AD发起认证，AD无法将认证请求代理到第三方，可通过组策略禁用Windows修改密码，强制用户在身份自服务平台修改密码，宁盾目录接收到密码变更后同步给AD。

AD有被替代的预期，信创域管平台产品化程度尚不完善，由宁盾安全连接器客户端实现终端集中管理和认证，可靠性较高，终端依赖度较高，完全不依赖AD。如您对模拟加域方案或其他方式感兴趣，可通过扫描文末二维码获取更详细的方案，这里就不再赘述。

作为金融行业头部企业，客户对信息安全的重视也在本次方案中体现。通过对用户连接网络或访问办公资源时的登录入口添加动态密码进行二次身份认证，以降低因账密泄露引起的安全风险。宁盾多因素认证支持的认证形式十分丰富，有动态令牌（APP、H5、小程序、硬件Key）、短信令牌、推送认证、扫码认证、生物认证等多种。该客户选用了宁盾手机APP令牌形式，用以加强账号安全。

多因素认证常用的使用场景有：

身份系统是关键基础设施，尤其对于金融这类关系国计民生的行业，基础设施更需要支持高可用、负载均衡、备份和恢复。

宁盾目录服务支持集中式部署和分布式部署，集中部署模式下，关键目录服务互为主备，应用接入节点可多台集群部署，实现负载均衡。它的好处在于结构简单，在提供较好的高可用性能下，维护成本低。

集中部署

分布式部署模式下，每个物理分支都可以有多个宁盾目录实例。实例之间互相同步，物理分支之间互相同步。

分布式部署

宁盾目录服务同样支持故障回退、数据恢复。由于宁盾目录服务和AD具有高度兼容性，大部分业务场景下可以互换，因此也建议该金融机构保留AD较长时间，有突发情况时可以将应用对接恢复为 AD，将业务可持续作为首要目标。

目前，宁盾目录服务方案已在该金融机构OA部门试用中。通过宁盾目录服务替代微软AD，接管企业内的身份、应用、网络、终端，进而打造基于信创体系的身份管理解决方案，加快国产化数字化建设。

启示与思考

目前信创操作系统推进重点在金融行业，2021年各单位着重解决终端用户在信创系统上处理业务的问题。从2022年开始，微软 AD 面临较大的替换预期，一些银行和金融机构开始探索 AD的替代解决方案。而从宁盾接触到的信创用户来看，普遍关注的技术点为：

大多数单位在寻找和测试解决方案时都暴露出不少问题，比如域管平台能力、业务系统历史遗留问题、Windows脱域问题等，因此替换微软AD对于企业自身而言也是一个查漏补缺的契机。

其实，国内外在非信创领域 AD 替换或部分替换同样很常见，主要驱动因素有：

篇幅所限，对于金融行业微软 AD 替换方案有较多省略之处，若您有金融、教育、医疗等相关行业的信创项目，可扫描下方二维码或点击“阅读原文”获取详尽的解决方案，更欢迎上下游厂商合作交流。