2023年,12月3日,Citrix(思杰)全面退出中国市场。Citrix进入中国市场时,定位是大客户、高价值企业,客户群集中在国企、大型制造业、外资、金融等中大型企业,例如华为、中国移动、平安银行、建设银行、宁德时代等均是Citrix的客户。因此,此次Citrix退出中国受影响最大的还是国内的大企业客户,他们不仅面临后续的技术支持、服务中断、软件升级、安全补丁、数据迁移等问题,还需要重新寻找新的国产云桌面产品进行过渡、替换。但是,问题远不止这些范畴。
云桌面国产化中,AD是绕不开的一关
某金融企业,使用Citrix VDI多年,环境十分稳定。Citrix宣布退出中国的消息,打乱了他们所有的部署。目前,该企业面临的问题主要有:
-
现有环境后续的维护和支持
-
未来的国产云桌面替换计划
最终,该企业决定用三年时间来实现全面的国产化。
无独有偶,另一家金融企业也在面临同样的问题,结论是全面国产化是唯一的出路。他们已经调研了四家国内云桌面厂商并陆续进行测试。但在测试中发现还缺少关键的一环——活动目录(active directory)。Citrix 云桌面与微软AD是强绑定关系,如果现在的云桌面产品和AD进行对接,当未来AD被替换时,所有的对接工作还需要重新再来一次。
此外,很多金融客户已经构建了统一身份认证平台(即IAM身份和访问管理系统),用户通过统一认证平台可以访问企业内所有的应用。云桌面作为常规应用也需要集成到IAM平台之中。但云桌面和IAM对接多数是通过SSO单点登录协议实现,关键的身份源问题并未得到解决。
因此,Citrix的国内客户除了考虑云桌面国产替换方案,还需要考虑到信创建设目标中传统身份管理系统(如微软AD)面临替换的可能性。
国产云桌面,还须国产AD身份域管来承接
在《国资信创改造难在哪里?国产身份域管建设先行可少走弯路》一文中,我们给出了国产身份域管的建设路径。其中,在立项前国产身份域管必须在第一阶段通过终端、应用、云桌面(VDI)三个核心场景的测试验证。云桌面(VDI)作为身份认证的核心场景之一,在当前阶段及未来,由国产身份域管承接传统身份管理系统(如微软AD)的位置,接管VDI、终端、应用、网络的认证更能满足企业需求。
目前,宁盾国产身份域管已实现成功对接华为云桌面、深信服桌面云、升腾威讯云桌面,为其提供LDAP身份认证和鉴权,还可以利用MFA多因素认证开启云桌面的二次身份验证,增强账号安全性。中兴云桌面对接正在快马加鞭中。
国产AD身份域管对接升腾威讯云桌面/虚拟桌面,提供LDAP身份认证
宁盾身份目录对接华为云桌面,提供LDAP统一身份认证
宁盾身份目录服务对接深信服桌面云,提供LDAP统一身份认证
国产身份域管成功接管云桌面的身份认证,不仅为Citrix国内客户解决了云桌面国产化替换计划中的关键环节,更为后续信创改造工作铺平道路。
替换传统身份管理系统,支撑国产IT架构
云桌面(VDI)的身份认证是身份域管的核心场景之一,同时也是驱动央国企、金融、制造业等大企业寻求国产身份域管解决方案的重要因素之一。下图展示了企业IT办公架构的演变趋势,国产化改造的本质是国产异构架构迁移。无论是应用系统,还是操作系统终端、网络设备等面临国产化替换,其本质都需要先解决身份底座的国产化迁移问题。
在国产IT基础设施的生态建设方面,宁盾国产身份域管已形成下至国产芯片、中间件、数据库,上至零信任/云桌面/VPN/网络等基础架构、Windows/麒麟/统信等终端、OA/邮箱/研发/协作等应用的完整生态,且还在持续拓宽生态圈,以期为客户提供开箱即用的交付能力。
无论是在核心能力、使用体验还是运维管理上,国产身份域管均与传统身份管理系统(AD、IBM等)保持一致。并根据现代信息化建设的需求,对传统身份管理系统不足之处进行了能力补充、增强。例如,可扩展的MFA多因素认证、纳管物联网设备的泛终端准入、快速实现的SSO单点登录模块等,令身份底座更适合现代化组织。
Citrix退出中国也许只是一个开始,其他国外产品的服务断供都有可能令国内企业面临前所未有的挑战。在全面国产化的路上,唯有建好国产身份基础设施,才能支撑起国产IT架构的联通、运行,为业务正常开展保驾护航。