能替代微软AD的国产化方案,搭建自主可控的身份管理体系

随着国产化替代步伐加速,以及企业出于信息安全建设的需要,越来越多的企业和组织开始考虑将现有的微软 Active Directory(AD)替换为国产化的LDAP身份目录服务(也称统一身份认证和管理)系统。本文将介绍一种国产化AD替换解决方案,并通过真实案例说明,为企业、组织搭建信创场景下或纯企业场景下的LDAP身份目录服务提供参考和经验借鉴。

微软AD核心能力解读


据统计,全球有超过 91% 的具规模企业将 Microsoft Active Directory (微软AD)作为数字化身份的基础底座。AD 在大型央国企尤其偏制造业、金融机构中也同样是身份管理的最佳实践,为 Windows 计算机、Exchange、云桌面(如Citrix、VMware)、ERP、OA 等 IT 资源提供统一认证与管理。

在实际落地应用中,部分企业仅仅使用AD来存储、管理组织架构和用户身份信息(账号密码),为LDAP应用提供身份认证和授权;还有一部分企业使用AD的组策略、文件访问权限等来管理Windows计算机。AD作为身份管理的最佳实践,功能十分强大,其中有6大核心功能是企业在寻找AD国产化替代方案时应该预先了解的信息。它决定着后续产品选型及建设方向是否准确、清晰,以及投入成本的高低。

图片来源:宁盾

如上图所示,微软AD的核心能力主要可以分为6类。因此,在选择国产化AD替换解决方案时,可以此为参考调研选型。

在介绍国产化AD方案时,我们将场景分为信创场景和企业场景两种,以便企业根据自身情况自主选择对应方案。

信创场景:国产化AD替换方案,须兼容既有身份管理系统


兼容性


AD替换不是一蹴而就的事,必须将业务可持续、AD管理可持续、供应商服务可持续置于前提。在选择国产化AD替换方案时,兼容既有的身份管理系统,如AD、IBM、Apache等是十分必要的。如此才能保证AD数据迁移足够平滑、顺利。

同时,国产化AD还需要兼容国产异构化的IT基础设施。信创/国产化改造的本质就是从国外办公IT架构迁移到国产异构化的IT架构下,因此对底层国产芯片、操作系统、中间件、数据库、应用、网络、云桌面等都需要进行适配兼容。

图片来源:宁盾

在上图中标明的国产办公架构中,宁盾国产身份域管目前已成功适配麒麟、统信、中科方德、神州网信等操作系统,Coremail邮箱、企业微信、飞书、钉钉、华为WeLink、虚拟桌面(华为、深信服等)、网络设备等。

标准化

微软AD覆盖了IT的整个基础架构场景的身份认证和权限管理,从应用、网络到终端、服务器等,均通过标准协议、接口对接微软AD。因此,在国产AD方案选型上,企业信息安全负责人需要考虑的是标准化的替代方案,而非定制化的身份管理平台(类似于IAM),这两者适用于不同的业务场景,可搭配结合使用,但IAM系统无法充当并替代AD的角色。

企业场景:AD国产化方案,构建企业统一身份管理中台


在成长型企业里,大部分还未使用过微软AD域或其他LDAP身份管理系统。当企业规模逐渐扩大,人员、应用系统、终端数量、网络等均有极大增长时,在企业内构建标准化的统一身份管理体系对于办公效率的提升、运维管理的提升都有很大帮助。

尽管微软AD十分强大,但依然会面临HW被打穿、漏洞等问题。因此,在考虑寻找类似于AD的国产化方案时,可参考宁盾统一身份中台方案。与微软AD功能和使用体验上均十分相似,可以帮助企业建立统一的身份标准,方便后期快速对接应用(LDAP应用及非LDAP应用)、网络、VPN、VDI、终端等,除此之外,统一身份中台还增加了MFA多因子认证、SSO单点登录、自服务改密等模块,既能满足基础需求,也能满足企业的扩展需求。

统一身份中台更适合成长型企业的原因之一在于:它可以快速将企业现有的身份源同步过来,并同步供应给下游应用系统。如企业内部使用了HR系统、或者飞书,统一身份中台可以将HR系统/飞书内部的组织架构和人员身份信息同步到中台里进行统一管理,此过程既可以实时进行,也可以手动进行。对于企业有多个分散管理的身份源而言,身份同步将极大减轻HR、IT管理工作。

图片来源:宁盾

以上是国产化AD替换方案的两种场景。下面我们将列举一些案例来帮助您理解的更透彻。


企业统一身份中台案例:某研究院,规模1000人

客户背景:

客户已经部署了某厂商的IAM身份管理系统,身份源来自于OA,但网络产品、安防产品缺少身份源,急需一个可以统一身份的一体化产品。

面临问题:

  • 用户反馈,用户的安全、网络产品、安防产品没有身份源,和IAM对接非常麻烦,不想折腾
  • 某厂商单点登录,据用户反馈不支持LDAP协议,无法对接LDAP协议应用,不利于业务拓展
  • 多套账号运维,虽然一定范围实现了SSO单点登录,但治标不治本,实际并没有完成身份整合和统一


解决方案:

宁盾统一身份中台提供标准LDAP服务,并高度兼容微软AD。负责从OA同步账户,并实现下游应用主要包括行为管理、桌面云、零信任、网络、IAM系统以及门禁的对接认证。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/656660.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

世界坐标系转换为平面地图坐标

将世界坐标系转换为平面地图坐标的方法通常涉及地图投影。地图投影是一种将地球(一个三维球体)上的点转换为平面(二维)地图上的点的方法。 这里介绍几种常见的地图投影方法: 墨卡托投影(Mercator Projection): 这是最常见的投影方式之一,尤其用于航海地图。它将经纬度…

2023年春秋杯网络安全联赛冬季赛_做题记录

可信计算 基于挑战码的双向认证1 可信计算赛题-双向认证挑战模式.docx 使用命令进行SSH登录上去 ssh player8.147.131.156 -p 18341 # 记得加上-p参数指定端口,不然默认的是22端口看见word文档的提示,先尝试一下 直接获得了flag1 web 魔术方…

24小时涨粉10w+的AI小游戏-哄哄模拟器

近年来,随着chatGPT的爆火,一系列的AI应用应运而生。比如:AI绘画,AI写作等。今天我们来看看最近很火的一个AI小游戏-哄哄模拟器。 1. 试玩体验 这款游戏名叫“哄哄模拟器”,体验地址为:https://hong.grea…

贪吃蛇项目

引言: 本文章使用C语言在Windows环境的控制台中模拟实现经典小游戏贪吃蛇。 实现基本功能: 1.贪吃蛇地图绘制。 2.蛇吃食物的功能(上、下、左、右方向键控制蛇的动作) 3.蛇撞墙死亡 4.蛇咬到自己死亡 5.计算得分 6.蛇加速…

回文子字符串的个数

判断一个字符串是否是一个回文除了从两端向里移动指针,也可以采用指针从字符串中心开始向两端延伸。即如果存在一个长度为m的回文子字符串,再分别向该回文两端延伸一个字符,并判断这两个字符是否相同,如果相同则找到了一个长度为m…

PMP备考笔记:模拟考试知识点总结

1. 答题思路:优先看问题,可节省时间。 2. 考试就按照考试的套路来做,不要过多考虑。 开发团队只专注当前冲刺目标,产品负责人对PB排优先级。 收集需求工具-原型法:能够让用户提前体验,减少返工的风险。 …

centos7上安装mysql5.7并自定义数据目录路径

1、卸载mariadb rpm -qa |grep mariadb #查出来的结果是mariadb-libs-5.5.68-1.el7.x86_64 rpm -e mariadb-libs-5.5.68-1.el7.x86_64 --nodeps #卸载查到的结果 2、官网下载响应的tar.gz包,比如mysql-5.7.38-el7-x86_64.tar.gz &…

线段树分治总结

线段树分治总结 概念例题二分图 /【模板】线段树分治[HAOI2017] 八纵八横[FJOI2015] 火星商店问题EnvyExtending Set of PointsForced Online Queries Problem「雅礼集训 2018 Day10」贪玩蓝月BZOJ4184-shallot[bzoj4644]经典**题 概念 \qquad 线段树分治一般用来解决带有如下两…

MyBatis 的XML实现方法

MyBatis 的XML实现方法 MyBatis 的XML实现方法前情提示创建mapper接口添加配置创建xml文件操作数据库insert标签delete标签select标签resultMap标签 update标签sql标签,include标签 MyBatis 的XML实现方法 前情提示 关于mybatis的重要准备工作,请看MyBatis 的注解实现方法 创…

骨传导耳机对身体有什么危害?危害严重吗

骨传导耳机虽然提供了一种避免直接将声音传输至耳道的新方式,减少了对耳道和鼓膜的潜在损害,但它们也并非完全没有潜在的危害性。尽管存在潜在的注意点,但相比于传统的入耳式耳机,骨传导耳机普遍对听力的影响较小。以下是一些骨传…

排除WLAN故障

排除网络故障 第 1步:测试连接 第2步:调查问题的原因并且记录自己发现的问题 1. 无线路由器IP地址错误,不在同一个网段 2. Home PC 应该要和Home wireless连接 3. table pc应设为DHCP 4. 测试url www.netacad.pt ,发现无法连通&#xf…

echarts条形图添加滚动条

效果展示: 测试数据: taskList:[{majorDeptName:测试,finishCount:54,notFinishCount:21}, {majorDeptName:测试,finishCount:54,notFinishCount:21}, {majorDeptName:测试,finishCount:54,notFinishCount:21}, {majorDeptName:测试,finishCount:54,notFinishCount:21}, {maj…

机器学习 | 掌握 K-近邻算法 的理论实现和调优技巧

目录 初识K-近邻算法 距离度量 K值选择 kd树 数据集划分 特征预处理 莺尾花种类预测(实操) 交叉验证与网格搜索 初识K-近邻算法 K-近邻算法(K-Nearest Neighbor,KNN)是一种基本的分类和回归算法。它的基本思想是通过找出与新对象最近…

PhpStorm调试docker容器中的php项目

背景 已经通过docker容器启动了一个web服务&#xff0c;并在宿主机可以访问http://localhost:8080访问网页。 现在想使用phpstorm打断点调试代码。 方法 1. 容器内安装xdebug 进入容器 docker exec -it <container-name> bash为php安装xdebug拓展 apt install php8…

TypeScript(六) 循环语句

1. TypeScript循环语句 1.1. 简述 有的时候&#xff0c;我们可能需要多次执行同一块代码。一般情况下&#xff0c;语句是按顺序执行的&#xff1a;函数中的第一个语句先执行&#xff0c;接着是第二个语句&#xff0c;依此类推。   循环语句允许我们多次执行一个语句或语句组…

C#需要学到什么程度才能做MES系统开发工作?

C#需要学到什么程度才能做MES系统开发工作&#xff1f; 在开始前我分享下我的经历&#xff0c;刚入行时遇到一个好公司和师父&#xff0c;给了我机会&#xff0c;两年时间从3k薪资涨到18k的&#xff0c; 我师父给了一些C#学习方法和资料&#xff0c;让我不断提升自己&#xff…

GNSS定位技术总结与PPP定位技术

1.统一观测值方程 2.PPP方程构建 站间单差方程如下&#xff1a; 同样的&#xff0c;设计矩阵也更加庞大&#xff1a; 站间单差消除了卫星轨道、卫星钟、电离层、对流层以及卫星端的伪距和载波硬件延迟的影响。但在PPP中&#xff0c;我们无法通过站间单差消除这些影响&#xff…

【Lazy ORM 整合druid 实现mysql监控】

Lazy ORM 整合druid 实现mysql监控 JDK 17 Lazy ORM框架地址 up、up欢迎start、issues 当前项目案例地址 框架版本描述spring-boot3.0.7springboot框架wu-framework-web1.2.2-JDK17-SNAPSHOTweb容器Lazy -ORM1.2.2-JDK17-SNAPSHOTORMmysql-connector-j8.0.33mysql驱动druid-…

四、ES集群安全策略设置 X-pack

本文主要是结合ES集群搭建时使用&#xff0c;并且适用于ES7.x以上版本 背景及安全策略方案对比 ES 7.x以下版本默认几乎没有任何安全策略&#xff0c;如果集群IP、端口被暴露&#xff0c;在可访问的情况下任何用户都可以对索引进行管理以及数据的增删改查等&#xff0c;基于此需…

如何使用docker快速安装Plik并实现固定公网地址远程访问

文章目录 推荐1. Docker部署Plik2. 本地访问Plik3. Linux安装Cpolar4. 配置Plik公网地址5. 远程访问Plik6. 固定Plik公网地址7. 固定地址访问Plik 推荐 前些天发现了一个巨牛的人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c;忍不住分享一下给大家。【点…