在国资委79号文的明确指引下，某国资保险企业率先开启国产化替代的试点项目。然而，一个棘手问题摆在面前：如何平滑替换深植于企业架构多年的微软AD（Active Directory）域控系统，并实现对各类信创终端的统一纳管？

身份认证是企业安全基石。这道防线断层，不仅会引发账户泄露风险，更会直接影响员工日常办公效率。近日，联软科技为该保险企业打造的XIAM（全网身份统一管理）解决方案正式落地，为金融行业的信创改造提供了一份标杆示范。

一、需求背景

该国资保险企业启动国产化替换试点项目的核心目标为替换微软AD域服务，并实现对信创终端的全维度统一纳管，具体需满足以下三大核心需求，筑牢终端安全与身份认证防线：

平滑继承微软AD的身份和权限：Windows终端无需脱域加域，沿用原有账号登录，权限无感继承，同时支持统信麒麟等信创终端登录，员工无需记忆多个域账号，降低多账号带来的泄露风险；

终端行为刚性管控：禁止终端私自安装非法软件，严控USB等外接设备使用；

跨系统无缝对接：支持与第三方零信任系统深度融合，实现身份认证与终端管理的一体化协同，保障业务访问的安全性与流畅性。

二、解决方案

针对企业国产化替代核心诉求与安全管理需求，联软科技推出XIAM（XCAD+IAM）全网身份统一管理解决方案，打造无需安装客户端、可灵活切换的AD域平滑替代方案，在国产化IT架构中建立统一身份认证标准，大幅降低信创产品切入成本与运维团队管理压力，实现“替换无感知、管控全方位、对接无壁垒”。

首先，在办公网络部署层面，采用3台XCAD服务器与2台IAM管理服务器构建高可用集群架构，为信创终端提供稳定、高效的身份认证与统一管控服务。通过联软桌管系统统一下发加域脚本与管控策略，全程自动化执行，无需终端用户手动操作。针对企业现有应用系统，联软IAM可提供LDAP、Radius等标准化认证服务，实现全应用统一认证，用户使用习惯无需任何调整，彻底消除替换带来的业务适配成本。

在跨系统集成层面，第三方零信任系统对接IAM后，已加域信创终端可直接通过信创域账号访问内网业务，实现身份认证与零信任访问的深度协同，筑牢内网业务访问安全边界。同时，配套部署终端安全管理系统，与XIAM方案形成联动，一站式实现信创终端的软件全生命周期管理、外设精准管控、终端病毒实时防护等核心能力，构建“终端-身份-服务端”的三层安全架构。

方案的落地得益于联软科技在身份安全领域的核心技术优势。

其中，联软XCAD支持与微软AD双向实时同步，用户信息、组织单元、组策略等核心数据同步延迟低于1秒，确保新旧系统数据一致性；同时内置断网续传与冲突自动修复机制，保障业务访问连续性。通过可视化管理界面，管理员可一键完成AD域迁移、策略配置、风险审计与追溯，大幅降低运维门槛，实现国产化替代的“平滑过渡、高效落地”。

而联软IAM搭载的身份安全网关，采用代理模式部署，核心价值在于最大化降低应用系统集成改造成本与安全风险。网关支持LDAP、Radius、OIDC、OAuth2、SAML、CAS等全场景标准化统一认证与单点登录协议，业务应用无需深度改造即可快速对接，大幅降低系统耦合性，减少代码分支维护复杂度，避免因认证协议变更引发的业务连续性故障。

安全层面，身份安全网关更为核心认证服务提供“隐身保护”与协议转换适配能力，有效隔离外部攻击，同时为前端业务应用提供网络访问控制、虚拟账号鉴权、最小化授权等精细化安全管控服务，既筑牢核心认证体系防线，又实现业务访问的精准权限管控，全方位抵御来自周边生态的安全威胁，兼顾集成效率与安全防护。

三、方案价值

高可用架构，保障业务稳定运行

采用多节点集群部署模式，兼具高可靠性与高效响应能力，既能保障系统7x24小时安全稳定运行，抵御单点故障风险，又能实现信创终端身份认证的快速响应，适配保险企业高频办公访问需求。

运维效能升级，降低管理成本

配备自助服务平台，用户可自主完成密码重置、修改等操作，大幅减少运维团队日常支撑工作量；可视化管理界面实现AD域迁移、策略配置、审计追溯一键化操作，结合与微软AD的秒级同步能力，显著降低国产化替代后的运维难度与人力成本。

权限管控精细化，规避管理风险

构建“三权分立”管理机制，明确域控管理权限与责任归属，彻底解决传统域控管理混乱、权限交叉、责任不清等痛点；同时实现账号全生命周期闭环管理，配套僵尸账号清理、异常账号监测、密码到期邮件提醒等功能，结合全流程审计追溯，满足保险行业合规管控要求。

跨系统兼容适配，打破国产化壁垒

突破信创终端与Windows系统的兼容瓶颈，实现信创终端对Windows共享目录的顺畅访问，保障跨系统办公协同效率。

一体化安全管控，筑牢终端防线

方案与联软终端安全管理系统深度联动，实现实软件、外设等统一管控。