摘要：在《基金行业信创国产化特点及统一身份认证解决方案》中我们总结了基金行业信创建设的一些进展与当前面临的问题，基金行业所在的中小金融机构目前信创改造尚处于起步阶段，如刚采购了OA、邮箱、云桌面等。在规划信创改造之余，基金公司还需要兼顾等保合规要求。如何确保信创改造

在《基金行业信创国产化特点及统一身份认证解决方案》中我们总结了基金行业信创建设的一些进展与当前面临的问题，基金行业所在的中小金融机构目前信创改造尚处于起步阶段，如刚采购了OA、邮箱、云桌面等。在规划信创改造之余，基金公司还需要兼顾等保合规要求。如何确保信创改造期间的安全性与合规性？本期某基金管理公司国产身份域管建设案例，希望能为其他中小金融机构信创改造及等保合规建设提供参考。

基金公司面临信创与等保合规双重挑战

某基金管理公司在办公场景里对 OA、邮箱、云桌面、电脑进行了国产化改造，基于信创要求，需要寻找一套能够替换 AD，对接各类应用/终端的国产化统一身份认证管理系统。此外，应监管部门要求，该基金公司在信创改造的过程中还需要满足等保合规要求，诸如定期改密、认证审计、统一账号、双因素认证等。

经过梳理，该基金公司当前需求及建设目标主要如下：

从办公网 AD 域同步身份数据，建立统一身份；

为应用系统提供 LDAP 认证，可附加双因素认证；

根据 AD 域密码策略及等保要求，设置统一身份管理系统的密码安全策略；

为用户开启自助修改密码、修改基本信息的服务；

数据中心网络设备 AAA 集中管理及网络接入认证；

系统高可靠部署。

一体化方案满足信创改造与安全需求

明确建设目标后，宁盾提供了一体化身份安全认证与管理解决方案，方案主要以宁盾身份域管为主、扩展能力为辅。宁盾身份域管由自主研发的身份目录服务和终端管理能力组成，可用于企业新建目录服务/统一身份认证管理系统，或替代 AD 域作为国产身份域管为信创用户提供服务。

此处宁盾身份域管主要用于替换 AD，将 AD 内的组织架构和身份数据同步过来统一管理，作为 LDAP 服务器为下游业务、应用系统、邮箱、云桌面、VPN、网络设备、网络、计算机等提供统一身份认证。由于身份域管与 AD 有着相同的数据结构，在用户管理、密码策略等方面与 AD 均保持一致。所以，采用宁盾身份域管时沿用 AD 域时期的密码安全策略即可满足等保合规要求中关于密码复杂度、定期修改密码等内容。

扩展能力主要用到MFA 多因素认证、用户自服务、网络设备AAA、网络准入认证等。将管理范围从应用层扩展到网络层、数据中心网络设备，一体化解决办公、运维等场景的身份管理与安全认证等问题。