在國資委79號文的明確指引下，某國資保險企業率先開啟國產化替代的試點項目。然而，一個棘手問題擺在面前：如何平滑替換深植于企業架構多年的微軟AD（Active Directory）域控系統，并實現對各類信創終端的統一納管？

身份認證是企業安全基石。這道防線斷層，不僅會引發賬戶泄露風險，更會直接影響員工日常辦公效率。近日，聯軟科技為該保險企業打造的XIAM（全網身份統一管理）解決方案正式落地，為金融行業的信創改造提供了一份標桿示范。

一、需求背景

該國資保險企業啟動國產化替換試點項目的核心目標為替換微軟AD域服務，并實現對信創終端的全維度統一納管，具體需滿足以下三大核心需求，筑牢終端安全與身份認證防線：

平滑繼承微軟AD的身份和權限：Windows終端無需脫域加域，沿用原有賬號登錄，權限無感繼承，同時支持統信麒麟等信創終端登錄，員工無需記憶多個域賬號，降低多賬號帶來的泄露風險；

終端行為剛性管控：禁止終端私自安裝非法軟件，嚴控USB等外接設備使用；

跨系統無縫對接：支持與第三方零信任系統深度融合，實現身份認證與終端管理的一體化協同，保障業務訪問的安全性與流暢性。

二、解決方案

針對企業國產化替代核心訴求與安全管理需求，聯軟科技推出XIAM（XCAD+IAM）全網身份統一管理解決方案，打造無需安裝客戶端、可靈活切換的AD域平滑替代方案，在國產化IT架構中建立統一身份認證標準，大幅降低信創產品切入成本與運維團隊管理壓力，實現“替換無感知、管控全方位、對接無壁壘”。

首先，在辦公網絡部署層面，采用3臺XCAD服務器與2臺IAM管理服務器構建高可用集群架構，為信創終端提供穩定、高效的身份認證與統一管控服務。通過聯軟桌管系統統一下發加域腳本與管控策略，全程自動化執行，無需終端用戶手動操作。針對企業現有應用系統，聯軟IAM可提供LDAP、Radius等標準化認證服務，實現全應用統一認證，用戶使用習慣無需任何調整，徹底消除替換帶來的業務適配成本。

在跨系統集成層面，第三方零信任系統對接IAM后，已加域信創終端可直接通過信創域賬號訪問內網業務，實現身份認證與零信任訪問的深度協同，筑牢內網業務訪問安全邊界。同時，配套部署終端安全管理系統，與XIAM方案形成聯動，一站式實現信創終端的軟件全生命周期管理、外設精準管控、終端病毒實時防護等核心能力，構建“終端-身份-服務端”的三層安全架構。

方案的落地得益于聯軟科技在身份安全領域的核心技術優勢。

其中，聯軟XCAD支持與微軟AD雙向實時同步，用戶信息、組織單元、組策略等核心數據同步延遲低于1秒，確保新舊系統數據一致性；同時內置斷網續傳與沖突自動修復機制，保障業務訪問連續性。通過可視化管理界面，管理員可一鍵完成AD域遷移、策略配置、風險審計與追溯，大幅降低運維門檻，實現國產化替代的“平滑過渡、高效落地”。

而聯軟IAM搭載的身份安全網關，采用代理模式部署，核心價值在于最大化降低應用系統集成改造成本與安全風險。網關支持LDAP、Radius、OIDC、OAuth2、SAML、CAS等全場景標準化統一認證與單點登錄協議，業務應用無需深度改造即可快速對接，大幅降低系統耦合性，減少代碼分支維護復雜度，避免因認證協議變更引發的業務連續性故障。

安全層面，身份安全網關更為核心認證服務提供“隱身保護”與協議轉換適配能力，有效隔離外部攻擊，同時為前端業務應用提供網絡訪問控制、虛擬賬號鑒權、最小化授權等精細化安全管控服務，既筑牢核心認證體系防線，又實現業務訪問的精準權限管控，全方位抵御來自周邊生態的安全威脅，兼顧集成效率與安全防護。

三、方案價值

高可用架構，保障業務穩定運行

采用多節點集群部署模式，兼具高可靠性與高效響應能力，既能保障系統7x24小時安全穩定運行，抵御單點故障風險，又能實現信創終端身份認證的快速響應，適配保險企業高頻辦公訪問需求。

運維效能升級，降低管理成本

配備自助服務平臺，用戶可自主完成密碼重置、修改等操作，大幅減少運維團隊日常支撐工作量；可視化管理界面實現AD域遷移、策略配置、審計追溯一鍵化操作，結合與微軟AD的秒級同步能力，顯著降低國產化替代后的運維難度與人力成本。

權限管控精細化，規避管理風險

構建“三權分立”管理機制，明確域控管理權限與責任歸屬，徹底解決傳統域控管理混亂、權限交叉、責任不清等痛點；同時實現賬號全生命周期閉環管理，配套僵尸賬號清理、異常賬號監測、密碼到期郵件提醒等功能，結合全流程審計追溯，滿足保險行業合規管控要求。

跨系統兼容適配，打破國產化壁壘

突破信創終端與Windows系統的兼容瓶頸，實現信創終端對Windows共享目錄的順暢訪問，保障跨系統辦公協同效率。

一體化安全管控，筑牢終端防線

方案與聯軟終端安全管理系統深度聯動，實現實軟件、外設等統一管控。