金融业在政策支持及自主驱动下，金融信创取得快速发展。从2020年开始，三期试点已扩容至5000余家，进入全面推广阶段。而基金行业信创建设与银行、证券、保险这些试点行业相比，进展较为缓慢。

基金行业信创当前面临的问题

与多家基金客户沟通后，宁盾发现基金行业的信创建设处于刚起步阶段。一方面，受政策驱动，刚开始进行OA系统、邮件系统等办公应用的国产化改造，并且仅有少量（甚至没有）信创服务器/操作系统计算机。另一方面，因安全驱动，新采购的设备/计算机终端需满足三级等保中主机安全测评要求。

由此可以概括出当前基金行业信创存在的一些共性需求：

• 存量、新增应用/终端需统一管控并满足安全合规要求；
  
• 出于安全考虑，新增应用、操作系统终端不能对接已有的微软AD；
• 既有的Windows终端不想做改动，微软AD继续用于管控存量终端；
• 为后续完整替代微软AD做场景性方案验证及技术储备。

因此，基金行业客户信息安全部门在调研统一身份认证系统时，要求既能够与微软AD并行，又能满足三级等保合规要求，来对接新增的信创应用、设备和计算机。

统一身份认证系统应有哪些特质？

那么哪种统一身份认证系统能满足基金行业客户要求？经过与多位基金客户信息安全负责人沟通，宁盾认为统一身份认证系统应具备以下特质：

• 标准化：应基于标准LDAP协议、API接口快速对接信创应用、设备、终端；
• 兼容性：既能为新增信创应用/设备/终端提供统一认证与管理，还应兼容既有的身份认证系统与IT基础设施；
• 高可用：身份认证系统属于基础设施，必须具备高可用性，支持HA、异地多活等高可靠部署；
• 场景全：除了对接应用，还需支持对接网络设备、操作系统等IT基础设施；
• 扩展功能：具备自助改密服务、MFA 多因素认证、SSO 单点登录等能力。

此外，与微软AD并行，统一身份认证系统就必须通过三个核心场景测试：

• 终端接入管理：Windows和信创终端的统一认证；
• 应用接入管理：几个应用无缝对接；
• VDI接入认证：主流云桌面厂商对接。

宁盾身份域管解决方案

宁盾身份域管以LDAP目录服务为核心，具备身份目录存储管理、网络/应用/终端接入的统一认证管理、MFA 多因素认证及运维管理、安全接口等能力，帮助企业解决因国产化改造而产生的混合IT基础设施的统一认证与管理问题。目前，宁盾身份域管主要应用在替换国外身份管理系统（如微软AD、IBM、Apache等）及企业新建身份目录场景。

在基金行业信创改造中，宁盾身份域管解决方案体现为：

与微软AD并存，接管新增信创应用/设备

不改变原有架构，宁盾身份域管从AD同步组织架构和用户信息，为新增的国产应用（OA、邮箱、VDI等）、终端及网络设备提供LDAP身份认证与管理。使用户习惯保持一致，不增加新账号密码。同样支持以宁盾身份域管为主身份源管理平台，向AD同步用户。

扩展功能模块，满足等保安全要求

针对三级等保中关于主机安全测评的9项要求，宁盾身份域管有着独特的增强能力。

客户方案

某基金管理有限公司当前有国产的OA系统、邮件系统、VPN、少部分国产操作系统终端及数百台网络设备需要统一管理，AD继续管理Windows终端及其他业务系统，不打算接管新增的应用和终端。

宁盾身份域管在此项目中充当“国产微软AD”，从微软AD同步组织架构和用户身份，接管OA、邮箱、VPN、麒麟操作系统及网络设备的统一身份认证与权限管理。由于宁盾身份域管与泛微、Coremail、深信服、麒麟、统信等均已通过兼容性测试验证，因此对接起来十分顺畅，测试效果也得到信息安全部门领导的认可，目前正在进行下一步合作。