摘要:在信创身份域控管理领域,常常会涉及到两种类型的需求,一种是新建信创域控管理平台,另一种是替代性的(如微软 AD 域控替代)。这两者之间,从用户关注的重点到具体方案的规划,都有着显著区别。
在信创身份域控管理领域,常常会涉及到两种类型的需求,一种是新建信创域控管理平台,另一种是替代性的(如微软 AD 域控替代)。这两者之间,从用户关注的重点到具体方案的规划,都有着显著区别。
新建身份域管与微软AD域控替代需求的区别
从大量身份域控管理(简称:身份域管)项目经验来看,新建身份域管项目通常发生在公司发展到特定阶段。随着业务的拓展,企业身份管理方面暴露出诸多问题,以前未得到有效解决,现在公司开始重视并着手搭建身份域管系统(或统一身份管理系统)。而替代性的身份域管项目,则主要源于信创/国产化政策的推行。由于微软 AD 域未来可能存在无法继续使用的情况,新的国产应用及信创终端陆续上线,这就迫切需要一个符合信创要求的身份域管系统来承接相关工作。
宁盾身份域管方案设计上的不同
对于新建身份域管项目,域管作为企业身份基础设施,用户的核心需求是搭建一套完整的身份体系,以满足基础的管理需求。在规划方案时,重点是统一身份目录的设计与落地。通俗点来说,是因为这一阶段企业没有现成的身份域控管理系统,身份目录数据池一片空白,而方案能否落地的关键就在于身份目录数据池。实际操作中,这个环节也最为费心。
要落地身份目录数据池,首先得准备数据,再定义规则,最后长期维护保障。
准备数据:也就是梳理现有的身份数据。新建身份域管的企业,其用户身份数据源头众多,像 HR 系统、本地 EXCEL、业务系统等都可能是身份数据的源头。而用户最头疼的就是数据孤岛(身份孤岛)问题,以及脏数据的清洗。定义规则:制定身份数据的标准规范,包括账号命名规范、如何身份标识确保唯一性、哪些是必填属性以及存储加密要求等。长期维护保障:设计身份数据同步架构,即相关方的对接方式、可行性、接口规范等,目标是实现人员入离调转的自动化管理以及上下游数据的同步更新。身份域管(微软 AD 域控)信创替代项目,客户的核心诉求是能够平滑迁移现有 AD 能力,同时满足信创合规要求。在规划方案时,关键在于如何实现平滑过渡,确保在替换过程中业务的连续性,避免对用户登录、权限访问等造成影响。因此,方案强调的是具体场景的兼容性,通过梳理现有 AD 的关联场景,逐一验证确保国产身份域管能够替代 AD 域管的能力。其中,用户最头疼的往往是那些与 AD 强关联的场景,尤其是 Windows 电脑,其使用范围广泛、替代周期长,每台电脑还有大量存量数据。所以在宁盾信创 AD 域控方案里,会着重对存量 Windows 的平滑迁移接管进行说明。
身份域管方案实施层面的不同
在实施方面,新建身份域管项目,需要先构建基础身份数据池,再逐步集成系统、应用、计算机等。毕竟缺少身份数据,后续的各种场景接入后都无法进行认证与管理。而 AD 域替代项目,实施过程一般是分阶段迁移,AD 和信创身份域管并行并确保双边数据一致性,然后逐步切换应用系统,最终使所有场景与 AD 解耦,AD 也就自然退出了。
然而,这两类项目的方案也有不少共同点。例如,技术路线要遵循标准,还要兼顾未来场景的扩展性;架构要灵活以便快速适应新场景;产品要合规;服务要有高可靠性等等。这也是宁盾能够用同一套身份域管产品来完成这两类项目落地的原因。
总结来说,新建身份域管与 AD 域控信创替换项目虽有不同,前者重点在构建全新身份体系,后者着重于平滑迁移 AD 能力并合规,但两者在方案规划与实施上都有各自特点,且都有共同的技术与产品等要求。这些差异和共同点,为正在寻找身份域管方案的企业提供了重要参考,企业可根据自身是新建需求还是替代需求,结合自身实际情境来选择合适的方案。
来源:宁盾
