能替代微软AD的国产化方案,搭建自主可控的身份管理体系

news2024/11/15 15:47:07

随着国产化替代步伐加速,以及企业出于信息安全建设的需要,越来越多的企业和组织开始考虑将现有的微软 Active Directory(AD)替换为国产化的LDAP身份目录服务(也称统一身份认证和管理)系统。本文将介绍一种国产化AD替换解决方案,并通过真实案例说明,为企业、组织搭建信创场景下或纯企业场景下的LDAP身份目录服务提供参考和经验借鉴。

微软AD核心能力解读


据统计,全球有超过 91% 的具规模企业将 Microsoft Active Directory (微软AD)作为数字化身份的基础底座。AD 在大型央国企尤其偏制造业、金融机构中也同样是身份管理的最佳实践,为 Windows 计算机、Exchange、云桌面(如Citrix、VMware)、ERP、OA 等 IT 资源提供统一认证与管理。

在实际落地应用中,部分企业仅仅使用AD来存储、管理组织架构和用户身份信息(账号密码),为LDAP应用提供身份认证和授权;还有一部分企业使用AD的组策略、文件访问权限等来管理Windows计算机。AD作为身份管理的最佳实践,功能十分强大,其中有6大核心功能是企业在寻找AD国产化替代方案时应该预先了解的信息。它决定着后续产品选型及建设方向是否准确、清晰,以及投入成本的高低。

图片来源:宁盾

如上图所示,微软AD的核心能力主要可以分为6类。因此,在选择国产化AD替换解决方案时,可以此为参考调研选型。

在介绍国产化AD方案时,我们将场景分为信创场景和企业场景两种,以便企业根据自身情况自主选择对应方案。

信创场景:国产化AD替换方案,须兼容既有身份管理系统


兼容性


AD替换不是一蹴而就的事,必须将业务可持续、AD管理可持续、供应商服务可持续置于前提。在选择国产化AD替换方案时,兼容既有的身份管理系统,如AD、IBM、Apache等是十分必要的。如此才能保证AD数据迁移足够平滑、顺利。

同时,国产化AD还需要兼容国产异构化的IT基础设施。信创/国产化改造的本质就是从国外办公IT架构迁移到国产异构化的IT架构下,因此对底层国产芯片、操作系统、中间件、数据库、应用、网络、云桌面等都需要进行适配兼容。

图片来源:宁盾

在上图中标明的国产办公架构中,宁盾国产身份域管目前已成功适配麒麟、统信、中科方德、神州网信等操作系统,Coremail邮箱、企业微信、飞书、钉钉、华为WeLink、虚拟桌面(华为、深信服等)、网络设备等。

标准化

微软AD覆盖了IT的整个基础架构场景的身份认证和权限管理,从应用、网络到终端、服务器等,均通过标准协议、接口对接微软AD。因此,在国产AD方案选型上,企业信息安全负责人需要考虑的是标准化的替代方案,而非定制化的身份管理平台(类似于IAM),这两者适用于不同的业务场景,可搭配结合使用,但IAM系统无法充当并替代AD的角色。

企业场景:AD国产化方案,构建企业统一身份管理中台


在成长型企业里,大部分还未使用过微软AD域或其他LDAP身份管理系统。当企业规模逐渐扩大,人员、应用系统、终端数量、网络等均有极大增长时,在企业内构建标准化的统一身份管理体系对于办公效率的提升、运维管理的提升都有很大帮助。

尽管微软AD十分强大,但依然会面临HW被打穿、漏洞等问题。因此,在考虑寻找类似于AD的国产化方案时,可参考宁盾统一身份中台方案。与微软AD功能和使用体验上均十分相似,可以帮助企业建立统一的身份标准,方便后期快速对接应用(LDAP应用及非LDAP应用)、网络、VPN、VDI、终端等,除此之外,统一身份中台还增加了MFA多因子认证、SSO单点登录、自服务改密等模块,既能满足基础需求,也能满足企业的扩展需求。

统一身份中台更适合成长型企业的原因之一在于:它可以快速将企业现有的身份源同步过来,并同步供应给下游应用系统。如企业内部使用了HR系统、或者飞书,统一身份中台可以将HR系统/飞书内部的组织架构和人员身份信息同步到中台里进行统一管理,此过程既可以实时进行,也可以手动进行。对于企业有多个分散管理的身份源而言,身份同步将极大减轻HR、IT管理工作。

图片来源:宁盾

以上是国产化AD替换方案的两种场景。下面我们将列举一些案例来帮助您理解的更透彻。


企业统一身份中台案例:某研究院,规模1000人

客户背景:

客户已经部署了某厂商的IAM身份管理系统,身份源来自于OA,但网络产品、安防产品缺少身份源,急需一个可以统一身份的一体化产品。

面临问题:

  • 用户反馈,用户的安全、网络产品、安防产品没有身份源,和IAM对接非常麻烦,不想折腾
  • 某厂商单点登录,据用户反馈不支持LDAP协议,无法对接LDAP协议应用,不利于业务拓展
  • 多套账号运维,虽然一定范围实现了SSO单点登录,但治标不治本,实际并没有完成身份整合和统一


解决方案:

宁盾统一身份中台提供标准LDAP服务,并高度兼容微软AD。负责从OA同步账户,并实现下游应用主要包括行为管理、桌面云、零信任、网络、IAM系统以及门禁的对接认证。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1421120.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Excel中将16进制数转化成10进制(有/无符号)

Excel中将16进制数转化成10进制(有/无符号) Excel或者matlab中常用XXX2XXX进行不同进制的转换 16进制转10进制(无符号数):HEX2DEC 16进制转10进制(有符号数): FA46为例&#xff0c…

系统架构19 - 面向对象

面向对象设计 相关概念面向对象分析基本步骤基本原则分析模型 面向对象设计设计模型类的类型 面向对象编程基本特点需求建模设计原则面向对象软件测试 相关概念 接口:描述对操作规范的说明,其只说明操作应该做什么,并没有定义操作如何做。消…

基于链表实现贪吃蛇游戏

本文中,我们将使用链表和一些Win32 API的知识来实现贪吃蛇小游戏 一、功能 (1)游戏载入界面 (2)地图的绘制 (3)蛇身的移动和变长 (4)食物的生成 (5&…

Utreexo:优化Bitcoin UTXO集合的基于哈希的动态累加器

1. 引言 前序博客: Utreexo:比特币UTXO merkle tree proof以节约节点存储空间 MIT Digital Currency Initiative 的 Thaddeus Dryja 2019年论文 Utreexo: A dynamic hash-based accumulator optimized for the Bitcoin UTXO set。 开源代码实现见&…

如何在DBeaver中重命名数据库

前言 DBeaver是一款强大的开源通用数据库管理和开发工具,支持多种数据库类型。在某些数据库系统中,你可以直接通过DBeaver的图形界面来重命名数据库名称。本文将详细介绍如何在DBeaver中进行数据库重命名操作。 重要提示: 对于不同的数据库…

SSD寻址单元IU对寿命的影响有多大?

随着存储技术的不断进步,固态硬盘SSD的容量正以惊人的速度增长,尤其是采用高密度QLC NAND闪存技术的大容量SSD,如30TB及以上级别的产品。QLC NAND由于每个单元能够存储4比特数据,从而显著提高了存储密度,但同时也带来了…

Web服务器之Tomcat

文章目录 Web 服务器软件简介资源分类访问流程常见的Web服务器软件 Tomcat简介使用步骤使用Tomcat注意事项部署项目的方式方式一方式二方式三 问题中文乱码黑窗口一闪而过启动报错 Web 服务器软件 简介 服务器:安装了服务器软件的计算机服务器软件:接收…

ssm跨域方案?

1、过滤器 2、xml配置 <mvc:cors><mvc:mapping path"/**" /> </mvc:cors>3、注解 CrossOrigin(origins “*”) 说明&#xff1a;三种方案&#xff0c;本质都是一样的、只是方式不一样罢了。

实现SERVLET生命周期事件

实现SERVLET生命周期事件 问题陈述 David Wong是Smart Software Developers的管理员,他希望创建一个应用程序在日志中记录请求和上下文对象初始化及向上下文对象添加属性的时间。同时,该应用程序应该还能在日志中记录删除上下文对象的属性及销毁请求和上下文时的时间。 解决方…

二进制部署promethues

1、定义&#xff1a;promethues是一个开源的系统监控以及报警系统&#xff0c;整合zabbix的功能&#xff08;监控系统、网络、设备&#xff09;&#xff0c;promethues可以兼容网络、设备、容器监控、告警系统。因为其与k8s是一个项目基金开发出来的产品&#xff0c;天生匹配k8…

设计模式第2篇|策略模式

&#x1f680; 作者简介&#xff1a;程序员小豪&#xff0c;全栈工程师&#xff0c;热爱编程&#xff0c;曾就职于蔚来、腾讯&#xff0c;现就职于某互联网大厂&#xff0c;技术栈&#xff1a;Vue、React、Python、Java &#x1f388; 本文收录于小豪的前端系列专栏&#xff0c…

Web3技术革新:重新定义在线体验

互联网的不断演进塑造了我们的数字生活&#xff0c;而Web3技术的涌现正带来一场前所未有的变革。本文将深入探讨Web3技术的创新&#xff0c;以及它如何重新定义和提升我们的在线体验。 Web3技术的基本概念 Web3是互联网的第三个时代&#xff0c;它将去中心化、区块链、智能合约…

Mac苹果电脑玩幻兽帕鲁 Crossover玩Windows游戏

​​ 《幻兽帕鲁》&#xff08;英文&#xff1a;Palworld&#xff09;是一款近期在 Steam 爆红的动作冒险生存游戏&#xff0c;游戏设置在一个居住着「帕鲁」的开放世界中&#xff0c;玩家可以战斗并捕捉帕鲁&#xff0c;也能用它们来建造基地、骑乘和战斗。 不过目前《幻兽帕…

MATLAB绘制电磁场

MATLAB绘制电磁场举例: clc;close all;clear all;warning off;%清除变量 rand(seed, 100); randn(seed, 100); format long g; m12 for k1:m for j1:m if k1 V(j,k)1; elseif((j1)|(jm)|(km)) V(j,k)0; else …

强敌环伺:金融业信息安全威胁分析——整体态势

从早期的Zeus和其他以银行为目标的特洛伊木马程序&#xff0c;到现在的大规模分布式拒绝服务&#xff08;DDoS&#xff09;攻击&#xff0c;再到新颖的钓鱼攻击和勒索软件&#xff0c;金融服务业已成为遭遇网络犯罪威胁最严重的行业之一。金融服务业的重要性不言而喻&#xff0…

暴雨受邀出席太原市人工智能行业协会年度大会

2024年1月26日&#xff0c;太原市人工智能行业协会第二届二次会员大会暨2024年年会成功召开。太原市委、市工商联、市大数据应用中心、市政协经济委员会以及太原市科技局的专家领导&#xff0c;与三百多名来自各行业的人工智能企业家和协会会员一同参加了本次盛会&#xff0c;共…

ARCGIS PRO SDK 数据库属性域设置与获取

一、数据库创建属性域。 sdk3.1 以下的开发版本不支持&#xff0c;不能使用 Pro SDK 向域添加新的编码值&#xff0c;可以使用地理处理工具&#xff1a; 创建属性域 Dim va As IReadOnlyList(Of String) Dim gpResult As ArcGIS.Desktop.Core.Geoprocessing.IGPResult Dim env…

gitee建库并git

箴言&#xff1a;书山有路勤为径 文章目录 前言一、gitee导入ssh二、gitee建库三、克隆到本地四、关联本地工程到远程仓库五、push流程总结 前言 nodejs每天的学习都有代码产出&#xff0c;转念一想不如在码云上面搞个仓库&#xff0c;也经历了些许波折&#xff0c;往常也建了…

论文阅读-MapReduce

论文名称&#xff1a;MapReduce: Simplified Data Processing on Large Clusters 翻译的效果不是很好&#xff0c;有空再看一遍&#xff0c;参照一下别人翻译的。 MapReduce:Simplified Data Processing on Large Clusters 中文翻译版(转) - 阿洒 - 博客园 (cnblogs.com) 概…

Powershell Install telegraf 实现Grafana Windows 图形展示

influxd2前言 influxd2 是 InfluxDB 2.x 版本的后台进程,是一个开源的时序数据库平台,用于存储、查询和可视化时间序列数据。它提供了一个强大的查询语言和 API,可以快速而轻松地处理大量的高性能时序数据。 telegraf 是一个开源的代理程序,它可以收集、处理和传输各种不…