能替代微软AD的国产化方案,搭建自主可控的身份管理体系

随着国产化替代步伐加速,以及企业出于信息安全建设的需要,越来越多的企业和组织开始考虑将现有的微软 Active Directory(AD)替换为国产化的LDAP身份目录服务(也称统一身份认证和管理)系统。本文将介绍一种国产化AD替换解决方案,并通过真实案例说明,为企业、组织搭建信创场景下或纯企业场景下的LDAP身份目录服务提供参考和经验借鉴。

微软AD核心能力解读


据统计,全球有超过 91% 的具规模企业将 Microsoft Active Directory (微软AD)作为数字化身份的基础底座。AD 在大型央国企尤其偏制造业、金融机构中也同样是身份管理的最佳实践,为 Windows 计算机、Exchange、云桌面(如Citrix、VMware)、ERP、OA 等 IT 资源提供统一认证与管理。

在实际落地应用中,部分企业仅仅使用AD来存储、管理组织架构和用户身份信息(账号密码),为LDAP应用提供身份认证和授权;还有一部分企业使用AD的组策略、文件访问权限等来管理Windows计算机。AD作为身份管理的最佳实践,功能十分强大,其中有6大核心功能是企业在寻找AD国产化替代方案时应该预先了解的信息。它决定着后续产品选型及建设方向是否准确、清晰,以及投入成本的高低。

图片来源:宁盾

如上图所示,微软AD的核心能力主要可以分为6类。因此,在选择国产化AD替换解决方案时,可以此为参考调研选型。

在介绍国产化AD方案时,我们将场景分为信创场景和企业场景两种,以便企业根据自身情况自主选择对应方案。

信创场景:国产化AD替换方案,须兼容既有身份管理系统


兼容性


AD替换不是一蹴而就的事,必须将业务可持续、AD管理可持续、供应商服务可持续置于前提。在选择国产化AD替换方案时,兼容既有的身份管理系统,如AD、IBM、Apache等是十分必要的。如此才能保证AD数据迁移足够平滑、顺利。

同时,国产化AD还需要兼容国产异构化的IT基础设施。信创/国产化改造的本质就是从国外办公IT架构迁移到国产异构化的IT架构下,因此对底层国产芯片、操作系统、中间件、数据库、应用、网络、云桌面等都需要进行适配兼容。

图片来源:宁盾

在上图中标明的国产办公架构中,宁盾国产身份域管目前已成功适配麒麟、统信、中科方德、神州网信等操作系统,Coremail邮箱、企业微信、飞书、钉钉、华为WeLink、虚拟桌面(华为、深信服等)、网络设备等。

标准化

微软AD覆盖了IT的整个基础架构场景的身份认证和权限管理,从应用、网络到终端、服务器等,均通过标准协议、接口对接微软AD。因此,在国产AD方案选型上,企业信息安全负责人需要考虑的是标准化的替代方案,而非定制化的身份管理平台(类似于IAM),这两者适用于不同的业务场景,可搭配结合使用,但IAM系统无法充当并替代AD的角色。

企业场景:AD国产化方案,构建企业统一身份管理中台


在成长型企业里,大部分还未使用过微软AD域或其他LDAP身份管理系统。当企业规模逐渐扩大,人员、应用系统、终端数量、网络等均有极大增长时,在企业内构建标准化的统一身份管理体系对于办公效率的提升、运维管理的提升都有很大帮助。

尽管微软AD十分强大,但依然会面临HW被打穿、漏洞等问题。因此,在考虑寻找类似于AD的国产化方案时,可参考宁盾统一身份中台方案。与微软AD功能和使用体验上均十分相似,可以帮助企业建立统一的身份标准,方便后期快速对接应用(LDAP应用及非LDAP应用)、网络、VPN、VDI、终端等,除此之外,统一身份中台还增加了MFA多因子认证、SSO单点登录、自服务改密等模块,既能满足基础需求,也能满足企业的扩展需求。

统一身份中台更适合成长型企业的原因之一在于:它可以快速将企业现有的身份源同步过来,并同步供应给下游应用系统。如企业内部使用了HR系统、或者飞书,统一身份中台可以将HR系统/飞书内部的组织架构和人员身份信息同步到中台里进行统一管理,此过程既可以实时进行,也可以手动进行。对于企业有多个分散管理的身份源而言,身份同步将极大减轻HR、IT管理工作。

图片来源:宁盾

以上是国产化AD替换方案的两种场景。下面我们将列举一些案例来帮助您理解的更透彻。


企业统一身份中台案例:某研究院,规模1000人

客户背景:

客户已经部署了某厂商的IAM身份管理系统,身份源来自于OA,但网络产品、安防产品缺少身份源,急需一个可以统一身份的一体化产品。

面临问题:

  • 用户反馈,用户的安全、网络产品、安防产品没有身份源,和IAM对接非常麻烦,不想折腾
  • 某厂商单点登录,据用户反馈不支持LDAP协议,无法对接LDAP协议应用,不利于业务拓展
  • 多套账号运维,虽然一定范围实现了SSO单点登录,但治标不治本,实际并没有完成身份整合和统一


解决方案:

宁盾统一身份中台提供标准LDAP服务,并高度兼容微软AD。负责从OA同步账户,并实现下游应用主要包括行为管理、桌面云、零信任、网络、IAM系统以及门禁的对接认证。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/246273.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

figure方法详解之Figure的创建与配置

figure方法详解之Figure的创建与配置 一 matplotlib.pyplot.figure二 Figure.set_size_inches()三 Figure.set_dpi()四 Figure.set_facecolor()五 Figure.set_edgecolor()六 Figure.set_alpha()七 Figure.set_linewidth()八 总结 在数据可视化中,Matplotlib是一个强…

语义分割(3):损失函数解析

文章目录 1. 常见语义分割损失1.1 Cross Entropy1.2 dice Loss1.2.1 为什么使用Dice loss1.2.2 公式1.2.3 Dice loss 和 F1-score代码 1.3 focal loss1.3.1 公式:1.3.2 代码 2. 语义分割损失应用参考 语义分割任务实际上是一种像素层面上的分类,需要识别…

跨平台Recorder录音插件:支持多种格式、音频可视化、实时上传、语音识别

视频教程地址:【跨平台Recorder录音插件:支持多种格式、音频可视化、实时上传、语音识别】 https://www.bilibili.com/video/BV1jQ4y1c7e4/?share_sourcecopy_web&vd_sourcee66c0e33402a09ca7ae1f0ed3d5ecf7c /** 先引入Recorder ( 需先…

2024-01-26-redis集群

为什么要搭建集群 高可用性:Redis集群可以提供高可用性,即使其中的一台节点发生故障,其他节点仍然可以继续提供服务。当一个节点下线时,集群会自动将负载均衡到其他可用节点上,从而保证系统的稳定性和可用性。 扩展性…

移动端打包成功后禁止生成 report.html 文件,并不自动打开该文件

目录 【问题】移动端 npm run build 打包后生成并打开 report.html 文件package.json 文件vue.config.js 代码 【解决】打包后去除 report.html 文件vue.config.js 代码 参考 【问题】移动端 npm run build 打包后生成并打开 report.html 文件 package.json 文件 {"name&…

大数据安全 | 期末复习(中)

文章目录 📚感知数据安全⭐️🐇传感器概述🐇传感器的静态特性🐇调制方式🐇换能攻击🐇现有防护策略 📚AI安全⭐️🐇智能语音系统——脆弱性🐇攻击手段🐇AI的两…

springboot快速写接口

1. 建proj形式 name会变成文件夹的名字,相当于你的项目名称 基础包 2. 基础依赖 3. 配置数据库 这里要打开mysql,并且创建数据库 方法: 安装好数据库,改好账号密码用navicat来建表和账号配置properties.yml文件即可 4.用res…

实现负载均衡

1.安装依赖 sudo apt insta11 libgd-dev 2.下载nginx wget http://nginx.org/download/nginx-1.22.1.tar.gz 3.解压nginx tar -zvxf nginx-1.22.1.tar.g2 4.编译安装 cd nginx-1.22.1 5.编译并指定安装位置,执行安装之后会创建指定文件夹/www/env/nginx ./configure…

【阻塞队列】阻塞队列的模拟实现及在生产者和消费者模型上的应用

文章目录 📄前言一. 阻塞队列初了解🍆1. 什么是阻塞队列?🍅2. 为什么使用阻塞队列?🥦3. Java标准库中阻塞队列的实现 二. 阻塞队列的模拟实现🍚1. 实现普通队列🍥2. 实现队列的阻塞功…

掌握Pyecharts:绘制炫酷词云图的参数解析与实战技巧【第36篇—python:词云图】

文章目录 安装Pyecharts基本的词云图绘制自定义词云图样式多种词云图合并高级词云图定制与交互1. 添加背景图片2. 添加交互效果 使用自定义字体和颜色从文本文件生成词云图总结: 在数据可视化领域,词云图是一种极具表现力和趣味性的图表,能够…

【DevOps】Jenkins Extended E-mail 邮件模板添加自定义变量

文章目录 1、配置Jenkins邮箱2、配置告警模板1、配置Jenkins邮箱 略 2、配置告警模板 自定义变量:DYSK_PYTEST_STATUS // Uses Declarative syntax to run commands inside a container. pipeline {agent {kubernetes {cloud "kubernetes" //选择名字是kuberne…

vivado DDS学习

实现DDS通常有两种方式,一种是读取ROM存放的正弦/余弦信号的查表法,另一种是用DDS IP核。这篇学习笔记中,我们要讲解说明的是VIVADO DDS IP核的应用。 目前本篇默认Phase Generator and SIN/COS LUT(DDS)的standard模式…

10.Elasticsearch应用(十)

Elasticsearch应用(十) 1.为什么需要聚合操作 聚合可以让我们极其方便的实现对数据的统计、分析、运算,例如: 什么品牌的手机最受欢迎?这些手机的平均价格、最高价格、最低价格?这些手机每月的销售情况如…

SpringCloud-Knife4j文档聚合

在微服务架构下,如果给每个微服务都配置文档,那么每个微服务的接口文档都有自己独立的访问地址,这样要一个个打开每个微服务的文档非常麻烦。一般我们会采用聚合的办法,将所有微服务的接口整合到一个文档中,具体做法有…

web前端项目-五子棋【附源码】

五子棋(人机对弈) 本项目【五子棋】是一款人机对弈的策略型棋类游戏。可以选择落子方;游戏难度和是否显示落子次序。游戏双方分别使用黑白两色的棋子,在棋盘直线与横线的交叉点上进行对弈。五子棋可以促进大脑发育、提高思维能力…

openlayers+vue实现缓冲区

文章目录 前言一、准备二、初始化地图1、创建一个地图容器2、引入必须的类库3、地图初始化4、给地图增加底图 三、创建缓冲区1、引入需要的工具类库2、绘制方法 四、完整代码总结 前言 缓冲区是地理空间目标的一种影响范围或服务范围,是对选中的一组或一类地图要素(点、线或面…

华为三层交换机之基本操作

Telnet简介 Telnet是一个应用层协议,可以在Internet上或局域网上使用。它提供了基于文本的远程终端接口,允许用户在本地计算机上登录到远程计算机,然后像在本地计算机上一样使用远程计算机的资源。Telnet客户端和服务器之间的通信是通过Telnet协议进行的…

[蓝桥杯]真题讲解:冶炼金属(暴力+二分)

蓝桥杯真题视频讲解&#xff1a;冶炼金属&#xff08;暴力做法与二分做法&#xff09; 一、视频讲解二、暴力代码三、正解代码 一、视频讲解 视频讲解 二、暴力代码 //暴力代码 #include<bits/stdc.h> #define endl \n #define deb(x) cout << #x << &qu…

C语言第十弹---函数(上)

✨个人主页&#xff1a; 熬夜学编程的小林 &#x1f497;系列专栏&#xff1a; 【C语言详解】 【数据结构详解】 函数 1、函数的概念 2、库函数 2.1、标准库和头文件 2.2、库函数的使用方法 2.2.1、功能 2.2.2、头文件包含 2.2.3、实践 2.2.4、库函数文档的⼀般格式 …

PWM调光 降压恒流LED芯片FP7127:为照明系统注入新能量(台灯、GBR、调光电源、汽车大灯)

目录 一、降压恒流LED芯片FP7127 二、降压恒流LED芯片FP7127具有以下特点&#xff1a; 三、降压恒流LED芯片FP7127应用领域&#xff1a; LED照明和调光的新纪元随着LED照明技术的不断发展&#xff0c;人们对于照明调光的需求也越来越高。PWM调光技术作为一种常用的调光方法&…