2025年，信創(chuàng)戰(zhàn)略在政策引導(dǎo)與市場(chǎng)需求的雙重驅(qū)動(dòng)下加速推進(jìn)。

在國(guó)資委79號(hào)文設(shè)定的“全面替換”、“應(yīng)替就替”、“能替就替”三類改造范疇中，OA、門戶、郵箱等辦公基礎(chǔ)系統(tǒng)被列為“全面替換”的最高優(yōu)先級(jí)。而支撐這些系統(tǒng)運(yùn)行的“神經(jīng)中樞”——身份信息管理系統(tǒng)，尤其是長(zhǎng)期被微軟Active Directory（AD）域所主導(dǎo)的身份認(rèn)證基座，自然成為了“應(yīng)換盡換”的核心范疇。

長(zhǎng)期以來，全球有超過90%的具規(guī)模企業(yè)將微軟AD作為其管理數(shù)字化身份的基礎(chǔ)底座。它不僅管理著Windows系統(tǒng)和Exchange等微軟生態(tài)應(yīng)用，還廣泛兼容了OA、ERP、云桌面等關(guān)鍵業(yè)務(wù)系統(tǒng)，是企業(yè)網(wǎng)絡(luò)的“守門人”。

然而，時(shí)至今日，這個(gè)昔日“霸主”不僅在信創(chuàng)替換浪潮下面臨“身份”尷尬，其自身的技術(shù)局限性也日益凸顯，已難以滿足現(xiàn)代企業(yè)的身份管理需求。替換微軟AD，既是信創(chuàng)建設(shè)的必由之路，也是企業(yè)升級(jí)身份管理體系、重塑安全基座的必然選擇。

微軟AD為何“非換不可”？

隨著網(wǎng)絡(luò)安全和業(yè)務(wù)環(huán)境的持續(xù)變化，越來越多的國(guó)內(nèi)企業(yè)開始主動(dòng)推動(dòng)微軟AD的替換，以滿足安全和業(yè)務(wù)上的雙重剛需。微軟AD的局限性，主要體現(xiàn)在以下幾個(gè)方面：

1.安全短板凸顯，已成核心攻擊靶點(diǎn)

在數(shù)字化時(shí)代，身份即邊界。微軟AD作為企業(yè)身份認(rèn)證的核心，自然也成為了黑客攻擊的主要目標(biāo)。一旦AD域被攻破，攻擊者就等于拿到了企業(yè)內(nèi)網(wǎng)的“萬能鑰匙”。

從全球范圍看，因微軟AD被攻擊而導(dǎo)致的網(wǎng)絡(luò)安全事件屢見不鮮，給企業(yè)帶來了巨大威脅。在實(shí)戰(zhàn)化的紅藍(lán)攻防演練中，微軟AD往往是攻擊方的首選突破口，一旦被“打穿”，防守方將被直接扣分。

此外，AD域本身的認(rèn)證方式相對(duì)單一，面對(duì)日益復(fù)雜的攻擊手段，其安全性已顯不足。同時(shí)，AD域在數(shù)據(jù)傳輸中存在使用非加密通道的安全隱患，這些都使其成為企業(yè)IT架構(gòu)中的薄弱點(diǎn)。

2.生態(tài)封閉僵化，難以兼容多元化IT環(huán)境

微軟AD的強(qiáng)大，是建立在對(duì)微軟自身生態(tài)的深度依賴之上的。然而，現(xiàn)代企業(yè)的IT環(huán)境早已不是Windows“一家獨(dú)大”的局面。

隨著數(shù)字化轉(zhuǎn)型的深入，企業(yè)IT系統(tǒng)中的操作系統(tǒng)、業(yè)務(wù)應(yīng)用類型正爆炸式增長(zhǎng)。一方面，以Linux、CentOS為代表的非Windows操作系統(tǒng)在服務(wù)器端占據(jù)主流；另一方面，以企業(yè)微信、釘釘、飛書為代表的SaaS應(yīng)用成為辦公新常態(tài)。

更重要的是，在信創(chuàng)背景下，統(tǒng)信UOS、麒麟KylinOS等國(guó)產(chǎn)操作系統(tǒng)，以及各類國(guó)產(chǎn)應(yīng)用正在加速普及。面對(duì)這些異構(gòu)的、多元化的IT生態(tài)，微軟AD“水土不服”，兼容性不足的問題日益突出，無法滿足企業(yè)對(duì)新型應(yīng)用和國(guó)產(chǎn)化系統(tǒng)的統(tǒng)一身份管理需求。

芯盾時(shí)代OIAM，平滑替換微軟AD

面對(duì)替換微軟AD的“合規(guī)剛需”與“業(yè)務(wù)剛需”，企業(yè)普遍心存疑慮：替換過程是否復(fù)雜？是否會(huì)影響現(xiàn)有業(yè)務(wù)？能否管好新增的國(guó)產(chǎn)化系統(tǒng)？

芯盾時(shí)代作為領(lǐng)先的零信任業(yè)務(wù)安全產(chǎn)品方案提供商，推出了具有完全自主知識(shí)產(chǎn)權(quán)、滿足信創(chuàng)要求的操作系統(tǒng)用戶身份與訪問管理平臺(tái)（OIAM），不但能幫助企業(yè)“無感”替換AD域，還全面支持各種標(biāo)準(zhǔn)身份協(xié)議和組件，能夠兼容各種操作系統(tǒng)、應(yīng)用、設(shè)備。

芯盾時(shí)代憑借完備的身份安全產(chǎn)品線、豐富的身份安全項(xiàng)目經(jīng)驗(yàn)，能夠幫助企業(yè)將操作系統(tǒng)用戶管理與認(rèn)證納入IAM統(tǒng)一管理范疇，實(shí)現(xiàn)業(yè)務(wù)域與辦公域統(tǒng)一身份管理，全面提升身份管理能力。

借助芯盾時(shí)代OIAM，企業(yè)能夠一站式實(shí)現(xiàn)以下功能：

1.無感替換微軟AD，保障業(yè)務(wù)連續(xù)性

芯盾時(shí)代OIAM具備微軟AD的所有核心能力。它內(nèi)置了域名解析服務(wù)（DNS）、密鑰分發(fā)中心服務(wù)（KDC）、活動(dòng)目錄服務(wù)（AD）等核心組件，完全兼容Windows Server 2008 R2 AD DC規(guī)格。

在兼容性上，芯盾時(shí)代OIAM不但支持AD協(xié)議，還全面支持LDAP、RSAT、Samba等標(biāo)準(zhǔn)協(xié)議和組件，能夠無縫接入各種操作系統(tǒng)（Windows、Ubuntu、CentOS、RedHat、各種國(guó)產(chǎn)OS等），以及郵箱、VPN、云桌面、SaaS應(yīng)用、有線網(wǎng)絡(luò)設(shè)備等各類支持LDAP協(xié)議的異構(gòu)應(yīng)用和設(shè)備。

對(duì)于企業(yè)現(xiàn)有的Windows系統(tǒng)用戶，芯盾時(shí)代OIAM可以無縫實(shí)現(xiàn)加域、賬號(hào)認(rèn)證、組策略管理等功能。企業(yè)無需對(duì)現(xiàn)有Windows終端做大量改造，即可平滑完成AD替換。對(duì)于使用微軟AD管理身份信息的業(yè)務(wù)應(yīng)用，芯盾時(shí)代OIAM能夠無縫對(duì)接，并保持原身份信息、組織信息不變，不影響員工正常登錄，保障業(yè)務(wù)的連續(xù)性。

2.兼容國(guó)產(chǎn)軟硬件，滿足信創(chuàng)合規(guī)要求

作為一款為信創(chuàng)而生的產(chǎn)品，芯盾時(shí)代OIAM擁有完全自主知識(shí)產(chǎn)權(quán)，全面支持國(guó)產(chǎn)密碼算法，并能適配全體系的國(guó)產(chǎn)化軟硬件及系統(tǒng)。

芯盾時(shí)代OIAM支持國(guó)產(chǎn)統(tǒng)信UOS、麒麟KylinOS等操作系統(tǒng)的賬號(hào)管理與認(rèn)證功能，滿足了國(guó)家信創(chuàng)合規(guī)的核心要求。這使得企業(yè)在推進(jìn)信創(chuàng)建設(shè)時(shí)，不必再為國(guó)產(chǎn)操作系統(tǒng)與原有身份體系的“兩張皮”問題而煩惱。

3.打通業(yè)務(wù)域與辦公域，身份信息一體化管理

在替換微軟AD的基礎(chǔ)上，芯盾時(shí)代更進(jìn)一步，將OIAM接入企業(yè)IAM（用戶身份與訪問管理）平臺(tái)。

在信息管理上，企業(yè)可以統(tǒng)一管理辦公域和業(yè)務(wù)域的身份信息，打破信息壁壘，全面提升身份管理和身份認(rèn)證的效率。在IT運(yùn)維上，企業(yè)無需維護(hù)多套員工身份、組織架構(gòu)信息，還可以借助IAM強(qiáng)大的身份管理能力，提升對(duì)OIAM的管理效果。在員工體驗(yàn)上，員工在登錄辦公設(shè)備時(shí)只需完成一次身份認(rèn)證，即可借助單點(diǎn)登錄功能，在統(tǒng)一應(yīng)用門戶內(nèi)直接登錄權(quán)限內(nèi)的應(yīng)用，真正做到“一次認(rèn)證，全網(wǎng)通行”。

4.自研底層技術(shù)支撐，身份認(rèn)證更加安全

針對(duì)微軟AD認(rèn)證方式單一、安全性不足的問題，芯盾時(shí)代憑借在身份安全領(lǐng)域深厚的技術(shù)積累，賦予了OIAM強(qiáng)大的安全性能。

基于芯盾時(shí)代自研的移動(dòng)認(rèn)證技術(shù)、統(tǒng)一終端安全技術(shù)，OIAM支持密碼、App掃碼、短信驗(yàn)證碼、動(dòng)態(tài)口令、指紋識(shí)別、人臉識(shí)別等多種認(rèn)證方式，解決微軟AD認(rèn)證方式單一、安全性不足的問題。借助智能終端密碼模塊，OIAM能夠?qū)崿F(xiàn)敏感數(shù)據(jù)的加密存儲(chǔ)，消除微軟AD使用非加密通道帶來的安全隱患。

芯盾時(shí)代操作系統(tǒng)用戶身份與訪問管理平臺(tái)（OIAM），憑借AD核心能力全兼容、信創(chuàng)生態(tài)全適配、辦公業(yè)務(wù)全打通、安全認(rèn)證全升級(jí)四大核心優(yōu)勢(shì)，能夠幫助企業(yè)平滑替換微軟AD，更能夠?yàn)槠髽I(yè)的信創(chuàng)體系構(gòu)筑堅(jiān)實(shí)的身份安全基座，讓信創(chuàng)建設(shè)行穩(wěn)致遠(yuǎn)，讓數(shù)字化業(yè)務(wù)更加安全可控。