輕量級目錄訪問協(xié)議，即 LDAP 協(xié)議，是微軟 Active Directory（AD）和 OpenLDAP 等傳統(tǒng)身份管理解決方案中的核心身份認證協(xié)議。然而，IT 環(huán)境的不斷發(fā)展暴露了傳統(tǒng)方案的問題——基于本地部署的設計邏輯無法適應新興的云計算環(huán)境。隨著越來越多的 IT 資源上云，本地部署的 LDAP 認證服務器就顯得鞭長莫及。另一方面，基于 Web 的 LDAP 認證大大簡化了 LDAP 認證服務器的部署和實施，因此在現(xiàn)代企業(yè)中備受追捧。

如果企業(yè)想要能輕松使用的 LDAP 認證服務，不妨考慮 LDAP 即服務平臺——NingDS 身份目錄云，全面兼容各類 IT 資源實現(xiàn)用戶認證。不過，在介紹這種新的 LDAP 認證方案之前，還是應該先來了解傳統(tǒng) LDAP 認證的特征，才更能體會到基于 Web 的 LDAP 認證方案（LDAP 即服務方案）的優(yōu)勢。

一、傳統(tǒng) LDAP 認證的特征：本地目錄

LDAP 方案在1993年創(chuàng)建，主要目的是保護分散的 IT 環(huán)境安全。六年后，微軟結(jié)合了 LDAP 和 Kerberos 兩種協(xié)議創(chuàng)建了經(jīng)典的本地目錄方案 Active Directory（AD），這也是首次引入用戶認證的概念，即對 IT 資源的訪問進行身份驗證。

在 AD 發(fā)布的時期，IT 網(wǎng)絡主要基于 Windows 系統(tǒng)和本地部署，這也是微軟能夠?qū)?AD 開發(fā)為本地身份管理平臺的主要條件。AD 在幫助企業(yè)管理各種資源的訪問上的確發(fā)揮了巨大作用，包括應用、Windows 系統(tǒng)、文件服務器甚至是企業(yè)網(wǎng)絡。

二、IT 環(huán)境的變化如何影響 AD

多年來， AD 都盡職盡責，為企業(yè)提供了良好的本地目錄服務。然而，2010年開始，IT 領域的發(fā)展改變了企業(yè)的身份管理方式。無線網(wǎng)絡的出現(xiàn)顛覆了原有的網(wǎng)絡架構(gòu)，阿里云、AWS 等云基礎設施也開始取代本地數(shù)據(jù)中心，而 Web 應用的開發(fā)也幾乎能滿足所有業(yè)務需求。

緊接著是遠程辦公、異構(gòu)系統(tǒng)（Windows、Mac、Linux）和自帶設備（BYOD），這些新事物、新趨勢不斷挑戰(zhàn)支持同構(gòu)系統(tǒng)和本地基礎架構(gòu)的舊身份管理工具，最終導致IT 管理開始崩潰。

究其原因，AD 和 OpenLDAP 是基于當時的 IT 環(huán)境開發(fā)的，本地資源的管理相對簡單。而在今天，企業(yè)需要的是能夠同時連接到本地和云上 IT 資源的身份管理解決方案，LDAP 也必須跟上變革的步伐。于是就有了下一代基于 Web 的 LDAP 認證方案——身份目錄即服務（Directory-as-a-Service， DaaS）。

三、有了 DaaS，就有了基于 Web 的 LDAP 認證

過去，LDAP 一直作為基礎協(xié)議，用戶必須通過身份驗證才能訪問本地 IT 資源。企業(yè)要轉(zhuǎn)向云計算時代的 LDAP 方案就必須采用基于 Web 的 LDAP 認證，也稱為 LDAP 即服務，這也是 DaaS 的核心能力之一。企業(yè)可以利用 LDAP 即服務的優(yōu)勢，避免本地部署、實施，更無需維護本地 LDAP 認證服務器。

寧盾身份目錄云 NingDS 基于DaaS 身份目錄即服務技術路線設計研發(fā)，可將用戶連接到 IT 資源，且不受平臺、廠商、協(xié)議或位置的限制。NingDS 提供 SaaS 服務，無需本地部署，開箱即用，按需訂閱。除核心的 LDAP 服務外，還可提供多因素認證（MFA）、單點登錄（SSO）、RADIUS 認證等功能，不僅能保護 IT 資源安全，更能把控企業(yè)網(wǎng)絡準入安全，實現(xiàn)人、端、網(wǎng)、應用等一體化管理。

本文來源于寧盾，僅供學習和參考，未經(jīng)授權禁止轉(zhuǎn)載和復制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨