能替代微软AD的国产化方案，搭建自主可控的身份管理体系

news2024/9/23 13:17:05

随着国产化替代步伐加速，以及企业出于信息安全建设的需要，越来越多的企业和组织开始考虑将现有的微软 Active Directory（AD）替换为国产化的LDAP身份目录服务（也称统一身份认证和管理）系统。本文将介绍一种国产化AD替换解决方案，并通过真实案例说明，为企业、组织搭建信创场景下或纯企业场景下的LDAP身份目录服务提供参考和经验借鉴。

微软AD核心能力解读

据统计，全球有超过 91% 的具规模企业将 Microsoft Active Directory （微软AD）作为数字化身份的基础底座。AD 在大型央国企尤其偏制造业、金融机构中也同样是身份管理的最佳实践，为 Windows 计算机、Exchange、云桌面（如Citrix、VMware）、ERP、OA 等 IT 资源提供统一认证与管理。

在实际落地应用中，部分企业仅仅使用AD来存储、管理组织架构和用户身份信息（账号密码），为LDAP应用提供身份认证和授权；还有一部分企业使用AD的组策略、文件访问权限等来管理Windows计算机。AD作为身份管理的最佳实践，功能十分强大，其中有6大核心功能是企业在寻找AD国产化替代方案时应该预先了解的信息。它决定着后续产品选型及建设方向是否准确、清晰，以及投入成本的高低。

图片来源：宁盾

如上图所示，微软AD的核心能力主要可以分为6类。因此，在选择国产化AD替换解决方案时，可以此为参考调研选型。

在介绍国产化AD方案时，我们将场景分为信创场景和企业场景两种，以便企业根据自身情况自主选择对应方案。

信创场景：国产化AD替换方案，须兼容既有身份管理系统

兼容性

AD替换不是一蹴而就的事，必须将业务可持续、AD管理可持续、供应商服务可持续置于前提。在选择国产化AD替换方案时，兼容既有的身份管理系统，如AD、IBM、Apache等是十分必要的。如此才能保证AD数据迁移足够平滑、顺利。

同时，国产化AD还需要兼容国产异构化的IT基础设施。信创/国产化改造的本质就是从国外办公IT架构迁移到国产异构化的IT架构下，因此对底层国产芯片、操作系统、中间件、数据库、应用、网络、云桌面等都需要进行适配兼容。

图片来源：宁盾

在上图中标明的国产办公架构中，宁盾国产身份域管目前已成功适配麒麟、统信、中科方德、神州网信等操作系统，Coremail邮箱、企业微信、飞书、钉钉、华为WeLink、虚拟桌面（华为、深信服等）、网络设备等。

标准化

微软AD覆盖了IT的整个基础架构场景的身份认证和权限管理，从应用、网络到终端、服务器等，均通过标准协议、接口对接微软AD。因此，在国产AD方案选型上，企业信息安全负责人需要考虑的是标准化的替代方案，而非定制化的身份管理平台（类似于IAM），这两者适用于不同的业务场景，可搭配结合使用，但IAM系统无法充当并替代AD的角色。

企业场景：AD国产化方案，构建企业统一身份管理中台

在成长型企业里，大部分还未使用过微软AD域或其他LDAP身份管理系统。当企业规模逐渐扩大，人员、应用系统、终端数量、网络等均有极大增长时，在企业内构建标准化的统一身份管理体系对于办公效率的提升、运维管理的提升都有很大帮助。

尽管微软AD十分强大，但依然会面临HW被打穿、漏洞等问题。因此，在考虑寻找类似于AD的国产化方案时，可参考宁盾统一身份中台方案。与微软AD功能和使用体验上均十分相似，可以帮助企业建立统一的身份标准，方便后期快速对接应用（LDAP应用及非LDAP应用）、网络、VPN、VDI、终端等，除此之外，统一身份中台还增加了MFA多因子认证、SSO单点登录、自服务改密等模块，既能满足基础需求，也能满足企业的扩展需求。

统一身份中台更适合成长型企业的原因之一在于：它可以快速将企业现有的身份源同步过来，并同步供应给下游应用系统。如企业内部使用了HR系统、或者飞书，统一身份中台可以将HR系统/飞书内部的组织架构和人员身份信息同步到中台里进行统一管理，此过程既可以实时进行，也可以手动进行。对于企业有多个分散管理的身份源而言，身份同步将极大减轻HR、IT管理工作。