随着国产化替代步伐加速,以及企业出于信息安全建设的需要,越来越多的企业和组织开始考虑将现有的微软 Active Directory(AD)替换为国产化的LDAP身份目录服务(也称统一身份认证和管理)系统。本文将介绍一种国产化AD替换解决方案,并通过真实案例说明,为企业、组织搭建信创场景下或纯企业场景下的LDAP身份目录服务提供参考和经验借鉴。
微软AD核心能力解读
据统计,全球有超过 91% 的具规模企业将 Microsoft Active Directory (微软AD)作为数字化身份的基础底座。AD 在大型央国企尤其偏制造业、金融机构中也同样是身份管理的最佳实践,为 Windows 计算机、Exchange、云桌面(如Citrix、VMware)、ERP、OA 等 IT 资源提供统一认证与管理。
在实际落地应用中,部分企业仅仅使用AD来存储、管理组织架构和用户身份信息(账号密码),为LDAP应用提供身份认证和授权;还有一部分企业使用AD的组策略、文件访问权限等来管理Windows计算机。AD作为身份管理的最佳实践,功能十分强大,其中有6大核心功能是企业在寻找AD国产化替代方案时应该预先了解的信息。它决定着后续产品选型及建设方向是否准确、清晰,以及投入成本的高低。
图片来源:宁盾
如上图所示,微软AD的核心能力主要可以分为6类。因此,在选择国产化AD替换解决方案时,可以此为参考调研选型。
在介绍国产化AD方案时,我们将场景分为信创场景和企业场景两种,以便企业根据自身情况自主选择对应方案。
信创场景:国产化AD替换方案,须兼容既有身份管理系统
兼容性
AD替换不是一蹴而就的事,必须将业务可持续、AD管理可持续、供应商服务可持续置于前提。在选择国产化AD替换方案时,兼容既有的身份管理系统,如AD、IBM、Apache等是十分必要的。如此才能保证AD数据迁移足够平滑、顺利。
同时,国产化AD还需要兼容国产异构化的IT基础设施。信创/国产化改造的本质就是从国外办公IT架构迁移到国产异构化的IT架构下,因此对底层国产芯片、操作系统、中间件、数据库、应用、网络、云桌面等都需要进行适配兼容。
图片来源:宁盾
在上图中标明的国产办公架构中,宁盾国产身份域管目前已成功适配麒麟、统信、中科方德、神州网信等操作系统,Coremail邮箱、企业微信、飞书、钉钉、华为WeLink、虚拟桌面(华为、深信服等)、网络设备等。
标准化
微软AD覆盖了IT的整个基础架构场景的身份认证和权限管理,从应用、网络到终端、服务器等,均通过标准协议、接口对接微软AD。因此,在国产AD方案选型上,企业信息安全负责人需要考虑的是标准化的替代方案,而非定制化的身份管理平台(类似于IAM),这两者适用于不同的业务场景,可搭配结合使用,但IAM系统无法充当并替代AD的角色。
企业场景:AD国产化方案,构建企业统一身份管理中台
在成长型企业里,大部分还未使用过微软AD域或其他LDAP身份管理系统。当企业规模逐渐扩大,人员、应用系统、终端数量、网络等均有极大增长时,在企业内构建标准化的统一身份管理体系对于办公效率的提升、运维管理的提升都有很大帮助。
尽管微软AD十分强大,但依然会面临HW被打穿、漏洞等问题。因此,在考虑寻找类似于AD的国产化方案时,可参考宁盾统一身份中台方案。与微软AD功能和使用体验上均十分相似,可以帮助企业建立统一的身份标准,方便后期快速对接应用(LDAP应用及非LDAP应用)、网络、VPN、VDI、终端等,除此之外,统一身份中台还增加了MFA多因子认证、SSO单点登录、自服务改密等模块,既能满足基础需求,也能满足企业的扩展需求。
统一身份中台更适合成长型企业的原因之一在于:它可以快速将企业现有的身份源同步过来,并同步供应给下游应用系统。如企业内部使用了HR系统、或者飞书,统一身份中台可以将HR系统/飞书内部的组织架构和人员身份信息同步到中台里进行统一管理,此过程既可以实时进行,也可以手动进行。对于企业有多个分散管理的身份源而言,身份同步将极大减轻HR、IT管理工作。
图片来源:宁盾
以上是国产化AD替换方案的两种场景。下面我们将列举一些案例来帮助您理解的更透彻。
企业统一身份中台案例:某研究院,规模1000人
客户背景:
客户已经部署了某厂商的IAM身份管理系统,身份源来自于OA,但网络产品、安防产品缺少身份源,急需一个可以统一身份的一体化产品。
面临问题:
- 用户反馈,用户的安全、网络产品、安防产品没有身份源,和IAM对接非常麻烦,不想折腾
- 某厂商单点登录,据用户反馈不支持LDAP协议,无法对接LDAP协议应用,不利于业务拓展
- 多套账号运维,虽然一定范围实现了SSO单点登录,但治标不治本,实际并没有完成身份整合和统一
解决方案:
宁盾统一身份中台提供标准LDAP服务,并高度兼容微软AD。负责从OA同步账户,并实现下游应用主要包括行为管理、桌面云、零信任、网络、IAM系统以及门禁的对接认证。