開放目錄是一個包含身份、設(shè)備、資源、連接和事件的現(xiàn)代化云端導(dǎo)向（cloud-forward）的目錄，旨在無縫地集中管理 IT 環(huán)境中的任何資源。它被特地設(shè)計為支持不同的協(xié)議、操作系統(tǒng)、應(yīng)用程序、IdP以及其他 IT 管理和安全的基礎(chǔ)設(shè)施，以便企業(yè)內(nèi)無論有什么技術(shù)都能進(jìn)行管理。

要理解開放目錄的重要性和必要性，就需要了解其背景?，F(xiàn)代工作場所有了很大演變，不再是只有實體辦公室（沒有遠(yuǎn)程工作）、基于本地設(shè)施和資源以及以 Windows 設(shè)備和微軟產(chǎn)品為中心展開的同質(zhì)化 IT 環(huán)境。

今天，許多辦公室是線下辦公和遠(yuǎn)程辦公混合并存的，甚至是完全遠(yuǎn)程的，員工使用各種資源（基于云的和本地的）來完成工作。問題是，企業(yè)/組織難以跟蹤和證明所有這些不同工具的成本，許多 IT 專業(yè)人員發(fā)現(xiàn)問題實際上根源于他們的傳統(tǒng)目錄服務(wù)。這是因為，由于在現(xiàn)代IT環(huán)境中發(fā)現(xiàn)的技術(shù)、設(shè)備和資源的多樣性，傳統(tǒng)的目錄服務(wù)再也無法充分地減輕IT部門和預(yù)算的負(fù)擔(dān)。

01 開放目錄與傳統(tǒng)目錄的區(qū)別

傳統(tǒng)上，本地化部署的微軟活動目錄（AD）是大多數(shù)企業(yè) IT 環(huán)境的中心。它是圍繞微軟產(chǎn)品構(gòu)建的，僅用于 Windows 設(shè)備和其他微軟資源，這些資源都占據(jù)主導(dǎo)地位，基本上是當(dāng)時唯一的 IT 基礎(chǔ)設(shè)施和設(shè)備選項。由于這些限制，AD 并不被看作是一個開放的目錄服務(wù)，但它仍被廣泛使用，并將許多企業(yè)鎖定在一個非常不靈活的系統(tǒng)和基礎(chǔ)設(shè)施設(shè)置里。

雖然這種設(shè)置對一些企業(yè)有效，但對于許多其他企業(yè)，特別是云端導(dǎo)向的現(xiàn)代企業(yè)以及那些渴望實現(xiàn)這一目標(biāo)的企業(yè)，AD 并不是一個可行的解決方案。這是因為許多企業(yè)使用非 Windows 設(shè)備（通常是 Mac 和 Linux）以及基于云的應(yīng)用系統(tǒng)和其他云端導(dǎo)向的資源。此外，許多企業(yè)允許混合辦公或完全遠(yuǎn)程工作，這意味著他們需要管理和保護(hù)遍布全球的員工。而且，對于許多企業(yè)而言，與 AD 和本地化基礎(chǔ)設(shè)施相關(guān)的成本過于昂貴而不在考慮范圍內(nèi)，企業(yè)只能尋找更好的目錄解決方案。

02 開放目錄的必要性

現(xiàn)代工作場所使用的 IT 資源需要與其他工具良好連接，不帶偏見地賦予員工在任何地點或設(shè)備選擇下的生產(chǎn)力，同時最終保持具有成本效益。

因此，為滿足這些需求，開放目錄的概念應(yīng)運而生。開放目錄不會將企業(yè)鎖定在單個提供商、平臺、位置、設(shè)備類型或其他任何東西中。相反，它允許企業(yè)選擇他們自己喜歡的工具和操作系統(tǒng)，并通過核心目錄將它們連接在一起。與其擁有一個封閉的本地目錄作為基礎(chǔ)設(shè)施中心，強制你只能使用其他 IT 工具和設(shè)備中的某些，一個開放的目錄可以單獨作為基礎(chǔ)設(shè)施中心，或與現(xiàn)有目錄結(jié)合使用，具體取決于你當(dāng)前的設(shè)置。

前一種選項允許你創(chuàng)建一個現(xiàn)代化的基于云的基礎(chǔ)設(shè)施，你的 IT 基礎(chǔ)設(shè)施可以建立在其之上。后一種選項更適合具有現(xiàn)有 IT 基礎(chǔ)設(shè)施的企業(yè)，包括 AD 或 Google 中的現(xiàn)有目錄。使用后一種選項，將開放目錄添加到混合目錄中將允許你選擇身份的真實來源（現(xiàn)有目錄或新的開放目錄），然后身份將通過開放目錄流轉(zhuǎn)到所有其他連接的資源。

這將使你的 IT 基礎(chǔ)設(shè)施未雨綢繆，具備可擴展性，變得更具適應(yīng)性，因為開放目錄將隨著其他資源的演變而發(fā)展，而傳統(tǒng)目錄則不會。

03 開放目錄要求

為了真正了解什么是開放目錄以及它的工作原理，讓我們仔細(xì)介紹一下一個目錄被認(rèn)為是“開放”的主要要求。

（1）靈活和開放

首先，開放目錄需要非常靈活和開放。以下是一些示例，開放目錄需要支持和（或）允許使用：

● 各種協(xié)議（如 LDAP、SAML、OIDC 等）。

● 混合資源提供商（企業(yè)微信、飛書、釘釘、Microsoft 365（Azure AD）、Google Workspace、AWS 等）。

● 跨操作系統(tǒng)和個人設(shè)備（Windows、Mac、Linux、Android 等）。

● 遠(yuǎn)程/混合工作。

● 所有身份，無論它們在哪里創(chuàng)建或存儲。

這個列表并非詳盡無遺，但它確實包含了一些開放目錄最重要的方面。無論企業(yè)如何工作，或你現(xiàn)在、將來選擇使用什么資源和設(shè)備,開放目錄都需要在各個方面非常靈活，以滿足你的需求。

除此之外，一個開放的目錄還需要能夠保護(hù)其中管理的身份、訪問和設(shè)備的安全性，同時集中和簡化 IT 部門的日?；顒?。安全性和用戶體驗不能以靈活性為代價犧牲，相反，應(yīng)該通過使用現(xiàn)代化的開放目錄來增強它們。

（2）廣泛的內(nèi)置功能

開放目錄的另一個要求是具備廣泛的本地能力，超越基本的身份、訪問和設(shè)備管理。這些能力應(yīng)該提供先進(jìn)的身份生命周期管理和自動化能力，以及涉及安全、報告、合規(guī)等領(lǐng)域的功能。

這樣可以減少企業(yè)需要使用的不同工具的數(shù)量，降低總擁有成本（TCO），統(tǒng)一 IT 管理，使 IT 管理員的工作更加輕松，無論你的基礎(chǔ)架構(gòu)如何設(shè)置，都能確保企業(yè)始終保持安全和合規(guī)。這是開放目錄的一個重要方面，因為盡管開放目錄可以集成你的所有資源，但它內(nèi)置的功能可以幫助你避免 IT 擴張。隨著時間推移，這可能會成為 IT 長期面臨的重大安全問題和時間浪費。

（3）云端優(yōu)先

最后，開放目錄的第三個要求是云端導(dǎo)向；全球60%的企業(yè)數(shù)據(jù)存儲在云中。云不會消失，開放目錄需要擁抱、支持云和本地資源，以便有效地工作，而不需要任何本地基礎(chǔ)設(shè)施才能正常工作。如果目錄不是云端導(dǎo)向的，它就不能被認(rèn)為是“開放的”，因為有許多基于云的資源需要連接到你的目錄，以實現(xiàn)全面的IT控制。

04 開放目錄的好處

開放目錄帶來了許多好處，包括我們已經(jīng)討論過的。包含連接任何技術(shù)并與任何設(shè)備一起使用的靈活性，廣泛的內(nèi)置功能可以減少許多單點解決方案的需求，以及它的云端導(dǎo)向使得你的 IT 基礎(chǔ)設(shè)施能夠立即現(xiàn)代化。

這些都非常重要，但是開放目錄的更多好處可能不太明顯。開放目錄可以創(chuàng)建一個面向未來的 IT 基礎(chǔ)架構(gòu)，比傳統(tǒng)目錄更具成本效益，簡化了 IT 管理，并將安全性和合規(guī)性統(tǒng)一在一個界面下。接下來讓我們深入了解每個方面的細(xì)節(jié)。

● 前瞻性

開放目錄是未來最可靠的選擇。如果位于 IT 生態(tài)系統(tǒng)中心的目錄建立了連接并與你選擇的任何其他資源、設(shè)備或網(wǎng)絡(luò)一起工作，那么無論你將來選擇添加哪些工具或操作系統(tǒng)，都能成功運行。

與鎖定在本地微軟生態(tài)系統(tǒng)中使用 AD 不同，開放目錄使企業(yè)能夠使用適合自己的工具，而不必?fù)?dān)心使用不兼容或無法連接的工具創(chuàng)建混亂的 IT 環(huán)境。隨著每一波新技術(shù)的不斷涌現(xiàn)，確保 IT 團(tuán)隊無須處理這個問題是非常重要的。

● 成本效益

開放目錄的另一個好處是，它比像 AD 這樣的傳統(tǒng)目錄的性價比要高得多。這是由于借助云端導(dǎo)向的開放目錄解決方案，包括各種本地身份、訪問和設(shè)備管理功能，可以消除本地基礎(chǔ)設(shè)施和許多單點解決方案的需求。

因此，通過現(xiàn)代目錄解決方案，你可以省去購買和維護(hù)本地目錄服務(wù)所需的硬件成本，以及與維護(hù)、能源、冗余、彈性和升級相關(guān)的成本，這些成本很快就會增加。

除此之外，需要添加到 AD 之上以創(chuàng)建更完整的 IT 管理解決方案的附加組件，如身份橋接、Web 應(yīng)用程序單點登錄（SSO）提供商等，在實施開放目錄時均不需要，因為它們都是內(nèi)置的功能。

● 簡化IT管理

開放目錄模型的另一個關(guān)鍵好處是，它允許你保持 IT 部門精簡，因為在具有全面身份和訪問管理（IAM）功能的單一窗口中管理 IT 環(huán)境意味著 IT 的手動工作更少。這不僅降低了雇用和培訓(xùn)更多員工的成本，而且使現(xiàn)有的 IT 管理員的日常工作更加輕松和高效。

例如，與其讓 IT 和 HR 在新員工入職時來回溝通，使用輕松連接到 HR 首選的 HRIS 系統(tǒng)的開放目錄可以簡化入職流程并增強安全性。當(dāng)員工更改角色（調(diào)崗）或離職時，這種優(yōu)勢仍然存在——使用良好集成的工具，在一個平臺上進(jìn)行的身份和訪問更改將在開放目錄和所有其他連接的資源中得到反映，確保所有用戶始終具有正確的訪問權(quán)限。

采用開放目錄，IT 可以通過一個單一的工具監(jiān)控、管理和控制幾乎所有內(nèi)容，相比使用傳統(tǒng)的封閉目錄，上面堆疊了許多不相關(guān)的工具，極大地簡化了他們的日常工作。

● 統(tǒng)一安全性和合規(guī)性

開放目錄的最后一個好處是它如何統(tǒng)一安全性和合規(guī)性。這是由于目錄本身具有的廣泛功能，例如多因素身份驗證（MFA）、SSO單點登錄、報告等，以及對企業(yè)內(nèi)所有身份、訪問和設(shè)備的集中完整控制。

采用開放目錄，IT 可以將注意力集中在一個單一窗口上，從而可以查看和管理他們需要的一切，以保護(hù)企業(yè)資源和 IT 環(huán)境的安全。當(dāng) IT 可以找到并保存需要達(dá)到、證明和維護(hù)各種標(biāo)準(zhǔn)的幾乎所有信息時，開放目錄所帶來的細(xì)粒度控制極大地簡化了合規(guī)性監(jiān)控。

05 NingDS的開放目錄

NingDS 身份目錄云遵循著開放目錄的浪潮。NingDS 的開放目錄平臺使你可以以一種經(jīng)濟(jì)高效的方式統(tǒng)一管理你的技術(shù)堆棧，包括身份、訪問和設(shè)備管理，而不犧牲安全性和功能性。