实施国产化统一身份认证，筑牢企业应用自主可控的第一道墙

 

用户账户和身份信息是企业级应用和服务的核心数据资产，向来需要严格的安全管理和系统保障。国产化IT设备替换后，基于国产化平台的身份认证、权限管理等业务，事关用户身份信息管理的核心安全，是企业信息安全保障的第一道墙。可以说，没有统一身份认证的国产化，就不可能实现企业级应用软件的自主可控。

统一身份认证的国产化替代同样是一项大工程，尤其面对国产化终端分阶段替换过程中多架构终端并存、新旧应用需要兼容等现状，需要兼顾现在和未来，能实现逐步平滑过渡的国产化替代解决方案。

「统信集中域管平台」基于统信UOS操作系统生态，面向国产化终端的真替真用需求，通过提供统信UOS域身份认证服务，以实现国产化统一身份认证，同时也为国产化终端运维和用户管理提供丰富能力组件，以及可扩展的基础平台支撑。

统信UOS域身份认证服务

「统信集中域管平台」集成统信UOS域身份认证服务（UOS-IAM），这是一套身份和访问管理服务，提供包括账户认证、授权、单点登录、访问控制、审计等功能，可以成为国产化终端环境下的身份认证中心。

同时支持与包括Windows AD、LDAP等第三方认证中心进行对接，以实现与企业当前的身份认证服务的并行管理和数据同步，满足国产化统一身份认证逐步替换的需求，进一步通过AD域信任、多因子认证能力，增强国产化终端身份认证的安全性和使用便利性。

场景一：没有使用目录服务

对于没有使用AD或OpenLDAP的企业，可以基于「统信集中域管平台」整合各业务系统的账号体系，以统信UOS域身份认证为认证源，实现统一身份认证管理，以一套账号密码登录国产化终端和业务系统，并可进一步实现单点登录、多因认证、用户信息管理、组织架构管理等丰富的管理能力，从而大幅提升国产化IT环境下的身份管理效率和安全性。

以统信UOS域身份认证为认证源，基于全量用户和组织数据，对终端进行集中运维管理更是水到渠成。统信集中域管平台集成的桌面配置组件、系统管理组件、应用管理组件、安全管理组件等，都可以得到更充分的应用。

场景二：已经使用AD、LDAP目录服务

对于已经使用AD或LDAP的企业，统信UOS域身份认证服务通过内置的标准接口与企业的数据源进行打通，保持现有认证中心及业务系统均不受影响，实现以现有账号体系统一在国产化终端上进行操作系统和业务系统的身份认证管理。

同时，还可以通过集中域管平台实现离线登录、多因认证、用户自助修改密码等功能，增强对AD、LDAP认证源的管理能力，满足企业对安全和效率的更高要求。

这种情形下通过统信UOS域身份认证的数据同步功能，依然可以将现有AD、LDAP认证源的数据同步自动定时备份到集中域管平台，结合集中域管平台的其他组件，进行桌面配置和终端运维管理。

总结这一场景即：终端及业务的身份认证依然使用现有AD、LDAP认证源，终端配置和运维管理则通过集中域管平台进行，可以满足国产化分批替换，Windows终端与国产化终端双轨并存的过渡期多样性需求。

场景三：替换为国产化统一身份认证

针对这一场景的解决方案通常情况下需要将以上两种场景下的方案进行结合，尤其对于业务系统较多的企业，替换过程可以分两步走：

第一步，使用场景二的方式进行过渡，尤其针对AD密码不能直接获取的限制，需要在使用过程中逐步将AD认证成功的账户密码自动同步到统信UOS域身份认证服务，配合密码批量初始化等手段，直到完全同步完成。同时对业务系统的身份认证进行对接和切换改造，以保证这一过程中的业务体验不受影响。

第二步，参照场景一的方案进行统一身份认证源的切换，同时进一步检查账号、密码的配置规则和管控策略是否完全同步，以保证切换后业务配置和使用习惯的延续，最终成功替换成国产化统一身份认证。

统信UOS域身份认证优势

植根于统信UOS的域身份认证服务具备以下优势：

◎ 当前所有的身份认证产品几乎都使用C/S架构，通常需要在终端部署安装客户端。统信UOS域身份认证服务作为系统的组件直接出厂内置，具有天然的兼容性和稳定性，更可以省去分发客户端进行安装以及版本校验等繁琐的环节。

图片

◎ 统信UOS域身份认证支持标准的LDAP协议，与企业现有AD、LDAP进行对接时，无需额外改造，仅通过配置认证源地址等简单操作即可实现以现有账号登录国产化终端以及实现数据同步备份，数据连接也支持SSL和安全加密方式。

图片

◎ 「统信集中域管平台」不仅具备实现国产化统一身份认证的功能，更能够一站式地完成国产化终端桌面配置和运维管理。彻底摒弃了需要部署多套系统的繁琐步骤，使得运维管理人员无需频繁登录不同的平台，大大简化了工作流程。不仅显著降低了企业的采购和管理成本，更能够大幅提升日常运维的效率和准确性，为企业实现数字化转型提供强有力的支撑。

新闻来源：企业级应用产线

编辑审校：市场部

 

​