腾讯里约可信应用支撑平台：域内用户管理与应用安全访问解决方案

一、 产品定位与核心亮点

腾讯里约可信应用支撑平台是腾讯云与腾讯安全联合推出的企业级安全产品，包含业务安全网关（RIO）与域控管理平台（UD）。该产品核心定位为“域内用户管理和应用安全访问的完整解决方案”，其差异化商业与技术卖点在于：

• 国产替代能力：自研通用目录产品，旨在平滑替代微软AD域控，兼容信创操作系统。
• 全链路身份治理：通过集成身份治理、单点登录、多因素认证及终端认证，实现对企业用户全生命周期管理及账号风险监控。
• 零信任架构：基于身份的访问控制，收敛业务对外暴露面，保障数字化信息资产访问的安全与稳定。

二、 产品应用场景

针对企业在数字化转型中面临的业务协同、生态集成、安全合规及信创改造需求，主要解决以下四类痛点：

1. 组织内部协同：解决组织内应用管理、服务调度效率低下的问题。
2. 生态上下游协作：梳理复杂的对接关系，实现高效的应用集成。
3. 访问安全与合规：解决用户访问过程中的身份安全、数据安全及等保合规问题。
4. 信创终端适配：在信创背景下，解决Windows AD替换和信创终端认证的难题。

三、 应用框架和功能介绍

1. 功能框架

产品由业务安全网关（RIO）与域控管理平台（UD）相互联动，架构逻辑如下：

• 业务请求 → 里约域控管理平台 (UD)：负责域控管理与身份目录构建。
• UD → 里约业务安全网关 (RIO)：基于身份的访问控制下发。
• RIO → 应用层：通过 Web API、Rest API、RPC 等协议访问应用A、应用B、应用C。

2. 核心模块能力

• 业务安全网关 (RIO)：
  • 安全门禁：提供正反向代理、服务鉴权、信任传递。
  • 互联互通：对接4/7层协议，支持协议转换，作为业务服务的“高速公路”。
• 域控管理平台 (UD)：
  • 目录管理：支持标准LDAP协议访问，兼容AD和OpenLDAP数据格式。
  • 认证支持：支持API、RADIUS、NTLM和Kerberos等多种认证协议。
  • 场景覆盖：满足企业身份认证、终端认证、应用认证、设备认证及账号融合需求。

3. 硬核指标与技术优势

• 性能架构：采用先进底层通讯架构，支持横向扩展与低延时，应对超大并发需求。
• 可靠性：支持集群部署和异地容灾，完全规避单点故障。
• 生态适配：开箱适配腾讯生态应用，支持对接企微、IOA、AD等身份源及主流数据同步协议。
• 安全策略：支持灵活的安全准入控制机制，规则高度可配置，适应各安全场景。
• 一体化治理：遵循零信任原则，提供一体化业务及身份治理能力，提升权限治理水平。

4. 荣誉背书与资质

• 等保合规：满足网络安全等级保护三级测评要求，并获得第三方测评单位出具的等级咨询报告。
• 信创适配：取得相关国产硬件、操作系统兼容性适配证书，入选工信部信创图谱。
• 知识产权：获取网络安全专用产品安全检测证书，并拥有相关专利证书50+。

四、 典型案例

案例一：某政企移动办公方案

• 背景：企业面临移动办公场景下的业务系统安全防护需求，需管理内网应用暴露面及内外部组织协同。
• 解决方案：部署业务安全网关（RIO），利用网关通用能力进行服务路由，为财经助手、2000助手等移动工作台应用提供安全加固。
• 成效：实现内网应用暴露面管理、准入限制、限流限频，并有效管理内外部组织协同。

案例二：某金融机构自主可控终端身份认证

• 背景：金融机构需实现身份统一管理与自主可控，解决传统AD域的替代问题及多系统重复登录的痛点。
• 解决方案：建设基于UD和RIO的认证系统，打通系统、设备与应用。支持人脸识别、密码登录、Windows/Linux认证插件及SSO一键登录。
• 成效：
  • 平滑替换AD域在身份管理和认证方面的能力。
  • 实现“一人一账号”模式，确立员工身份唯一标识。
  • 实现SSO单点登录，避免重复登录，降低运维成本并提升用户体验。