能替代微软AD的国产化方案,搭建自主可控的身份管理体系

随着国产化替代步伐加速,以及企业出于信息安全建设的需要,越来越多的企业和组织开始考虑将现有的微软 Active Directory(AD)替换为国产化的LDAP身份目录服务(也称统一身份认证和管理)系统。本文将介绍一种国产化AD替换解决方案,并通过真实案例说明,为企业、组织搭建信创场景下或纯企业场景下的LDAP身份目录服务提供参考和经验借鉴。

微软AD核心能力解读

据统计,全球有超过 91% 的具规模企业将 Microsoft Active Directory (微软AD)作为数字化身份的基础底座。AD 在大型央国企尤其偏制造业、金融机构中也同样是身份管理的最佳实践,为 Windows 计算机、Exchange、云桌面(如Citrix、VMware)、ERP、OA 等 IT 资源提供统一认证与管理。

在实际落地应用中,部分企业仅仅使用AD来存储、管理组织架构和用户身份信息(账号密码),为LDAP应用提供身份认证和授权;还有一部分企业使用AD的组策略、文件访问权限等来管理Windows计算机。AD作为身份管理的最佳实践,功能十分强大,其中有6大核心功能是企业在寻找AD国产化替代方案时应该预先了解的信息。它决定着后续产品选型及建设方向是否准确、清晰,以及投入成本的高低。

图片来源:宁盾

如上图所示,微软AD的核心能力主要可以分为6类。因此,在选择国产化AD替换解决方案时,可以此为参考调研选型。

在介绍国产化AD方案时,我们将场景分为信创场景和企业场景两种,以便企业根据自身情况自主选择对应方案。

信创场景:国产化AD替换方案,须兼容既有身份管理系统

兼容性

AD替换不是一蹴而就的事,必须将业务可持续、AD管理可持续、供应商服务可持续置于前提。在选择国产化AD替换方案时,兼容既有的身份管理系统,如AD、IBM、Apache等是十分必要的。如此才能保证AD数据迁移足够平滑、顺利。

同时,国产化AD还需要兼容国产异构化的IT基础设施。信创/国产化改造的本质就是从国外办公IT架构迁移到国产异构化的IT架构下,因此对底层国产芯片、操作系统、中间件、数据库、应用、网络、云桌面等都需要进行适配兼容。

图片来源:宁盾

在上图中标明的国产办公架构中,宁盾国产身份域管目前已成功适配麒麟、统信、中科方德、神州网信等操作系统,Coremail邮箱、企业微信、飞书、钉钉、华为WeLink、虚拟桌面(华为、深信服等)、网络设备等。

标准化

微软AD覆盖了IT的整个基础架构场景的身份认证和权限管理,从应用、网络到终端、服务器等,均通过标准协议、接口对接微软AD。因此,在国产AD方案选型上,企业信息安全负责人需要考虑的是标准化的替代方案,而非定制化的身份管理平台(类似于IAM),这两者适用于不同的业务场景,可搭配结合使用,但IAM系统无法充当并替代AD的角色。

企业场景:AD国产化方案,构建企业统一身份管理中台

在成长型企业里,大部分还未使用过微软AD域或其他LDAP身份管理系统。当企业规模逐渐扩大,人员、应用系统、终端数量、网络等均有极大增长时,在企业内构建标准化的统一身份管理体系对于办公效率的提升、运维管理的提升都有很大帮助。

尽管微软AD十分强大,但依然会面临HW被打穿、漏洞等问题。因此,在考虑寻找类似于AD的国产化方案时,可参考宁盾统一身份中台方案。与微软AD功能和使用体验上均十分相似,可以帮助企业建立统一的身份标准,方便后期快速对接应用(LDAP应用及非LDAP应用)、网络、VPN、VDI、终端等,除此之外,统一身份中台还增加了MFA多因子认证、SSO单点登录、自服务改密等模块,既能满足基础需求,也能满足企业的扩展需求。

统一身份中台更适合成长型企业的原因之一在于:它可以快速将企业现有的身份源同步过来,并同步供应给下游应用系统。如企业内部使用了HR系统、或者飞书,统一身份中台可以将HR系统/飞书内部的组织架构和人员身份信息同步到中台里进行统一管理,此过程既可以实时进行,也可以手动进行。对于企业有多个分散管理的身份源而言,身份同步将极大减轻HR、IT管理工作。

图片来源:宁盾

以上是国产化AD替换方案的两种场景。下面我们将列举一些案例来帮助您理解的更透彻。

企业统一身份中台案例:某研究院,规模1000人

客户背景:

客户已经部署了某厂商的IAM身份管理系统,身份源来自于OA,但网络产品、安防产品缺少身份源,急需一个可以统一身份的一体化产品。

面临问题:

  • 用户反馈,用户的安全、网络产品、安防产品没有身份源,和IAM对接非常麻烦,不想折腾
  • 某厂商单点登录,据用户反馈不支持LDAP协议,无法对接LDAP协议应用,不利于业务拓展
  • 多套账号运维,虽然一定范围实现了SSO单点登录,但治标不治本,实际并没有完成身份整合和统一

解决方案:

宁盾统一身份中台提供标准LDAP服务,并高度兼容微软AD。负责从OA同步账户,并实现下游应用主要包括行为管理、桌面云、零信任、网络、IAM系统以及门禁的对接认证。

相关推荐
知孤云出岫1 小时前
web 渗透学习指南——初学者防入狱篇
前端·网络安全·渗透·web
mushangqiujin2 小时前
ctfshow web文件上传 web166-170
网络安全
Suckerbin4 小时前
Hms?: 1渗透测试
学习·安全·网络安全
newxtc6 小时前
【国内中间件厂商排名及四大中间件对比分析】
安全·web安全·网络安全·中间件·行为验证·国产中间件
follycat10 小时前
[极客大挑战 2019]HTTP 1
网络·网络协议·http·网络安全
小奥超人12 小时前
PPT文件设置了修改权限,如何取消权?
windows·经验分享·microsoft·ppt·办公技巧
flashman91115 小时前
python在word中插入图片
python·microsoft·自动化·word
徒步僧1 天前
ThingsBoard规则链节点:RPC Call Reply节点详解
qt·microsoft·rpc
Lionhacker1 天前
网络工程师这个行业可以一直干到退休吗?
网络·数据库·网络安全·黑客·黑客技术
centos081 天前
PWN(栈溢出漏洞)-原创小白超详细[Jarvis-level0]
网络安全·二进制·pwn·ctf