在國資委79號文的明確指引下,某國資保險企業率先開啟國產化替代的試點項目。然而,一個棘手問題擺在面前:如何平滑替換深植于企業架構多年的微軟AD(Active Directory)域控系統,并實現對各類信創終端的統一納管?
身份認證是企業安全基石。這道防線斷層,不僅會引發賬戶泄露風險,更會直接影響員工日常辦公效率。近日,聯軟科技為該保險企業打造的XIAM(全網身份統一管理)解決方案正式落地,為金融行業的信創改造提供了一份標桿示范。

一、需求背景
該國資保險企業啟動國產化替換試點項目的核心目標為替換微軟AD域服務,并實現對信創終端的全維度統一納管,具體需滿足以下三大核心需求,筑牢終端安全與身份認證防線:
平滑繼承微軟AD的身份和權限:Windows終端無需脫域加域,沿用原有賬號登錄,權限無感繼承,同時支持統信麒麟等信創終端登錄,員工無需記憶多個域賬號,降低多賬號帶來的泄露風險;
終端行為剛性管控:禁止終端私自安裝非法軟件,嚴控USB等外接設備使用;
跨系統無縫對接:支持與第三方零信任系統深度融合,實現身份認證與終端管理的一體化協同,保障業務訪問的安全性與流暢性。
二、解決方案
針對企業國產化替代核心訴求與安全管理需求,聯軟科技推出XIAM(XCAD+IAM)全網身份統一管理解決方案,打造無需安裝客戶端、可靈活切換的AD域平滑替代方案,在國產化IT架構中建立統一身份認證標準,大幅降低信創產品切入成本與運維團隊管理壓力,實現“替換無感知、管控全方位、對接無壁壘”。
首先,在辦公網絡部署層面,采用3臺XCAD服務器與2臺IAM管理服務器構建高可用集群架構,為信創終端提供穩定、高效的身份認證與統一管控服務。通過聯軟桌管系統統一下發加域腳本與管控策略,全程自動化執行,無需終端用戶手動操作。針對企業現有應用系統,聯軟IAM可提供LDAP、Radius等標準化認證服務,實現全應用統一認證,用戶使用習慣無需任何調整,徹底消除替換帶來的業務適配成本。

在跨系統集成層面,第三方零信任系統對接IAM后,已加域信創終端可直接通過信創域賬號訪問內網業務,實現身份認證與零信任訪問的深度協同,筑牢內網業務訪問安全邊界。同時,配套部署終端安全管理系統,與XIAM方案形成聯動,一站式實現信創終端的軟件全生命周期管理、外設精準管控、終端病毒實時防護等核心能力,構建“終端-身份-服務端”的三層安全架構。
方案的落地得益于聯軟科技在身份安全領域的核心技術優勢。
其中,聯軟XCAD支持與微軟AD雙向實時同步,用戶信息、組織單元、組策略等核心數據同步延遲低于1秒,確保新舊系統數據一致性;同時內置斷網續傳與沖突自動修復機制,保障業務訪問連續性。通過可視化管理界面,管理員可一鍵完成AD域遷移、策略配置、風險審計與追溯,大幅降低運維門檻,實現國產化替代的“平滑過渡、高效落地”。
而聯軟IAM搭載的身份安全網關,采用代理模式部署,核心價值在于最大化降低應用系統集成改造成本與安全風險。網關支持LDAP、Radius、OIDC、OAuth2、SAML、CAS等全場景標準化統一認證與單點登錄協議,業務應用無需深度改造即可快速對接,大幅降低系統耦合性,減少代碼分支維護復雜度,避免因認證協議變更引發的業務連續性故障。
安全層面,身份安全網關更為核心認證服務提供“隱身保護”與協議轉換適配能力,有效隔離外部攻擊,同時為前端業務應用提供網絡訪問控制、虛擬賬號鑒權、最小化授權等精細化安全管控服務,既筑牢核心認證體系防線,又實現業務訪問的精準權限管控,全方位抵御來自周邊生態的安全威脅,兼顧集成效率與安全防護。
三、方案價值
高可用架構,保障業務穩定運行
采用多節點集群部署模式,兼具高可靠性與高效響應能力,既能保障系統7x24小時安全穩定運行,抵御單點故障風險,又能實現信創終端身份認證的快速響應,適配保險企業高頻辦公訪問需求。
運維效能升級,降低管理成本
配備自助服務平臺,用戶可自主完成密碼重置、修改等操作,大幅減少運維團隊日常支撐工作量;可視化管理界面實現AD域遷移、策略配置、審計追溯一鍵化操作,結合與微軟AD的秒級同步能力,顯著降低國產化替代后的運維難度與人力成本。
權限管控精細化,規避管理風險
構建“三權分立”管理機制,明確域控管理權限與責任歸屬,徹底解決傳統域控管理混亂、權限交叉、責任不清等痛點;同時實現賬號全生命周期閉環管理,配套僵尸賬號清理、異常賬號監測、密碼到期郵件提醒等功能,結合全流程審計追溯,滿足保險行業合規管控要求。
跨系統兼容適配,打破國產化壁壘
突破信創終端與Windows系統的兼容瓶頸,實現信創終端對Windows共享目錄的順暢訪問,保障跨系統辦公協同效率。
一體化安全管控,筑牢終端防線
方案與聯軟終端安全管理系統深度聯動,實現實軟件、外設等統一管控。