某金融运营服务公司，主要负责业务处理、客户服务、业务监控、报表统计等金融运营服务，为集团下设二级单位，坐落于一线城市，对政策风向有很高的敏锐度。

该公司已为公司业务人员、客户服务、监督员等配备了数百台国产桌面操作系统，但目前尚未实现统一管理，均使用本地账号进行登录。

考虑到安全合规，公司的 IT 管理员需要定期登录到这一台台桌面上修改密码。这令 IT 部门的人员很苦恼，迫切需要可对国产桌面终端实现统一身份认证的方案，并能够根据公司合规要求灵活定义密码策略，让公司员工能自助改密。

宁盾收到此需求时，只能感叹客户应该更早些来，白费了不少功夫。这里跟各位金融 IT 经理、安全负责人、IT 管理员们分享下宁盾在信创终端管理上的理解。

首先，统一身份认证这个基础要先打。这一步最简单、效果最明显，且如果不做、做不好，后面再弥补麻烦很大。微软时代，企业在规划内网和 IT 架构时，会先把微软 AD 搭建了。为什么？AD 能很好地把终端、用户、应用/服务统一管理起来。国产化时代，组织单位在规划国产化步骤时，也应该把国产目录服务/国产域管先准备上。员工希望的是，能用着跟 AD 一样的账号密码来登录国产终端；IT 部门想看到的是，能像 AD 一样给国产终端下发组策略，定期改密、遵从密码合规。如果信创终端先发下去了，但统一身份认证没做，当然会出现上文中的金融运营服务公司面临的困扰。

用户进到桌面后，下一步要干嘛？得有网嘛！所以，第二步，信创终端的入网认证必不可少。信创终端 802.1X 网络认证支持的协议跟 Windows 终端不同，所以必须考虑国产目录服务/国产域管的协议兼容性。此外，Portal 认证、终端的入网合规性检测、信创终端的兼容性/适配性都是 IT 部门需要考虑的问题。

最后，对涉及敏感业务数据、高权限用户使用的国产终端，可以额外增加 2FA 双因素认证动态口令，来加固桌面登录安全。补充点 mfa的介绍。除了用在桌面登录安全加固场景，在其他如邮箱登录、应用系统登录、网络设备、网络接入认证等场景均可通过 2FA 动态口令来增强用户的账号安全性。

以上三点，宁盾国产化身份域管皆打通并集成了相关能力。作为国产目录服务，宁盾身份域管以 LDAP 服务为核心，内置了RADIUS、SSO、NAC等能力，可以实现 2FA 双因素认证、网络接入认证、单点登录、终端网络准入等效果。当然，作为国产化目录服务，在国产生态的适配对接上，宁盾身份域管已经有了丰厚的生态积累，并且还在不断加速拓宽生态圈，立志为客户提供“开箱即用”的使用体验。

如果您有信创要求，并且在计划采购国产终端、桌面、应用等，欢迎了解宁盾国产身份域管的解决方案。