轻量级目录访问协议,即 LDAP 协议,是微软 Active Directory(AD)和 OpenLDAP 等传统身份管理解决方案中的核心身份认证协议。然而,IT 环境的不断发展暴露了传统方案的问题——基于本地部署的设计逻辑无法适应新兴的云计算环境。随着越来越多的 IT 资源上云,本地部署的 LDAP 认证服务器就显得鞭长莫及。另一方面,基于 Web 的 LDAP 认证大大简化了 LDAP 认证服务器的部署和实施,因此在现代企业中备受追捧。
如果企业想要能轻松使用的 LDAP 认证服务,不妨考虑 LDAP 即服务平台——NingDS 身份目录云,全面兼容各类 IT 资源实现用户认证。不过,在介绍这种新的 LDAP 认证方案之前,还是应该先来了解传统 LDAP 认证的特征,才更能体会到基于 Web 的 LDAP 认证方案(LDAP 即服务方案)的优势。
一、传统 LDAP 认证的特征:本地目录
LDAP 方案在1993年创建,主要目的是保护分散的 IT 环境安全。六年后,微软结合了 LDAP 和 Kerberos 两种协议创建了经典的本地目录方案 Active Directory(AD),这也是首次引入用户认证的概念,即对 IT 资源的访问进行身份验证。
在 AD 发布的时期,IT 网络主要基于 Windows 系统和本地部署,这也是微软能够将 AD 开发为本地身份管理平台的主要条件。AD 在帮助企业管理各种资源的访问上的确发挥了巨大作用,包括应用、Windows 系统、文件服务器甚至是企业网络。
二、IT 环境的变化如何影响 AD
多年来, AD 都尽职尽责,为企业提供了良好的本地目录服务。然而,2010年开始,IT 领域的发展改变了企业的身份管理方式。无线网络的出现颠覆了原有的网络架构,阿里云、AWS 等云基础设施也开始取代本地数据中心,而 Web 应用的开发也几乎能满足所有业务需求。
紧接着是远程办公、异构系统(Windows、Mac、Linux)和自带设备(BYOD),这些新事物、新趋势不断挑战支持同构系统和本地基础架构的旧身份管理工具,最终导致IT 管理开始崩溃。
究其原因,AD 和 OpenLDAP 是基于当时的 IT 环境开发的,本地资源的管理相对简单。而在今天,企业需要的是能够同时连接到本地和云上 IT 资源的身份管理解决方案,LDAP 也必须跟上变革的步伐。于是就有了下一代基于 Web 的 LDAP 认证方案——身份目录即服务(Directory-as-a-Service, DaaS)。
三、有了 DaaS,就有了基于 Web 的 LDAP 认证
过去,LDAP 一直作为基础协议,用户必须通过身份验证才能访问本地 IT 资源。企业要转向云计算时代的 LDAP 方案就必须采用基于 Web 的 LDAP 认证,也称为 LDAP 即服务,这也是 DaaS 的核心能力之一。企业可以利用 LDAP 即服务的优势,避免本地部署、实施,更无需维护本地 LDAP 认证服务器。
宁盾身份目录云 NingDS 基于DaaS 身份目录即服务技术路线设计研发,可将用户连接到 IT 资源,且不受平台、厂商、协议或位置的限制。NingDS 提供 SaaS 服务,无需本地部署,开箱即用,按需订阅。除核心的 LDAP 服务外,还可提供多因素认证(MFA)、单点登录(SSO)、RADIUS 认证等功能,不仅能保护 IT 资源安全,更能把控企业网络准入安全,实现人、端、网、应用等一体化管理。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制)
