近期收到不少企业客户反馈采购的信创PC电脑用不起来，影响信创改造的进度。例如，某金融企业积极响应国产化信创替代战略，购置了一批麒麟操作系统电脑。分发使用中发现了如下问题：

• 当前麒麟操作系统电脑无法做到统一身份认证，采用的是本地账号，这导致与现有AD域账号分离，麒麟终端、Windows终端密码不同步，员工使用不便利，且无法执行密码合规；

• 无法查看信创终端的上线情况，不知道实际使用率；

• 终端入网目前没有有效的准入办法，员工登录麒麟桌面就能上网了，终端入网不安全、不规范。

 

面对这些问题，宁盾给出了解决方案，目标是为该金融公司搭建一套国产身份管理系统，统一管控麒麟终端，与AD域身份实时同步，对麒麟终端做入网认证管控。

 

国产化身份域管同步AD域身份，接管信创终端资产

在本项目中，该企业借助宁盾国产化身份域管作为微软AD域的国产替代方案，用于迁移同步AD域内的组织架构和用户身份信息，同时将新购置的麒麟电脑（终端）对接到宁盾国产化身份域管上，用户使用与AD一致的账号密码登录电脑进行统一认证，实现信创终端的统一管控。具体方案如下：

1. 宁盾无缝迁移同步AD身份，并建立双向信任；

2. 麒麟终端接入宁盾国产身份域控，员工使用与AD一致的国产身份登录麒麟桌面；

3. 宁盾域管统一管理信创终端资产，终端上线可视化，终端使用情况一目了然；

4. 借助宁盾终端网络准入能力对信创终端做入网实名认证，提升安全。

在麒麟操作系统桌面输入宁盾目录服务账号及密码

在麒麟桌面系统内通过命令行查找，显示该用户名存在

 在宁盾AM后台查看登录会话，显示该用户认证成功

 

搭建国产数字身份底座，推动信创终端“真替真用”

企业推进国产化信创建设的一大举措就是采购国产操作系统终端，但在实际使用时依旧以Windows系统为主。究其根源，国产信创的生态还不够成熟。以Windows系统为中心的微软生态早已贯穿到企业生产、办公的方方面面，尤其是微软AD，是支撑微软各个应用、设备互联互通的重要身份基础设施。当国产操作系统终端、国产应用引入时，需要考虑到微软AD是否能纳管，提供统一身份认证和授权。当微软AD无法纳管且面临被替换的趋势时，企业更应当提前寻找微软AD国产化替代方案。

宁盾国产化身份域管能力模块

宁盾国产化身份域管是目前国内最深的AD技术栈积累之一，高度兼容微软AD、IBM、Apache等传统身份活动目录的schema，具备微软AD的核心功能，如目录服务、应用接入、网络接入、终端管控等。此外，针对现代化的IT组织对身份安全、身份同步、混合终端的安全管控需求，宁盾国产化身份域管拓展了多个场景能力，使用国产身份域管的企业可以选择叠加MFA多因素认证、身份同步（云、社交应用账号同步）、泛终端准入（Windows、macOS、Linux、麒麟、统信UOS、BYOD等）等多个功能模块，以满足信息安全建设需求，提升整个IT架构的安全性。

 

宁盾作为第三方中立的身份基础设施供应商，在面对不同品牌、不同类型设备时有更强的兼容性优势，不将企业捆绑限定在任一厂商生态里，这种开放性与兼容性受到互联网高科技、央国企制造业、金融等行业客户的欢迎。