一、NingDS 助力企業(yè)完善零信任體系

NingDS 和 ADFS 在 SSO 工作流方面有著明顯區(qū)別，原因在于背后的理念不同。在初始步驟上，NingDS 的用戶體驗(yàn)和 ADFS 類似：

1、使用用戶憑證登錄托管設(shè)備

2、進(jìn)行多因素認(rèn)證（MFA）（啟用后提示）

3、輸入用戶名密碼登錄門戶，訪問授權(quán)資源

需要注意的是，NingDS 單點(diǎn)登錄 SSO 中的認(rèn)證并不會(huì)將設(shè)備綁定到固有的可信域資源中，而是假設(shè)所有用戶在認(rèn)證之前都是不可信的。這和 PC 登錄不同，PC 會(huì)向域控制器發(fā)出單一的身份認(rèn)證請(qǐng)求。NingDS 還將多因素認(rèn)證擴(kuò)展到 RADIUS 和其他協(xié)議，目的是通過開放標(biāo)準(zhǔn)將用戶安全連接到更多資源，而不僅僅是以新的方式擴(kuò)展 NingDS。這種方法就非常接近零信任安全。

回顧一下上文提到的設(shè)備信任。當(dāng)用戶被添加到組甚至單個(gè)設(shè)備時(shí)，會(huì)自動(dòng)應(yīng)用強(qiáng)化策略（也稱為基準(zhǔn)策略）和其他規(guī)則/策略。訪問權(quán)限還取決于用戶屬性，這些屬性用于對(duì)所有組成員身份的自動(dòng)“檢查”，最終決定用戶對(duì) IT 資源的 SSO（SAML）訪問權(quán)限，這便是基于RBAC的條件訪問策略。這是 Active Directory 無(wú)法提供的功能，因?yàn)榍短捉M可能會(huì)忘記用戶或者提高訪問權(quán)限。相比之下，NingDS 提供了基于條件訪問策略，降低了用戶授權(quán)過度的風(fēng)險(xiǎn)，同時(shí)確保用戶不會(huì)被“忘記”。

二、更安全的云服務(wù)

NingDS 身份目錄云搭建在騰訊云 IaaS 服務(wù)平臺(tái)上，已通過等級(jí)保護(hù)二級(jí)測(cè)評(píng)，并通過加密傳輸確保數(shù)據(jù)安全，通過主機(jī)安全和 Web 應(yīng)用防火墻提供安全防護(hù)。每年還會(huì)進(jìn)行多次滲透測(cè)試，實(shí)踐安全設(shè)計(jì)開發(fā)，并維護(hù)漏洞披露計(jì)劃。這些工作恐怕是中小企業(yè)從 ADFS 中無(wú)法獲得的。

更重要的是，NingDS 允許用戶訪問資源之前通過設(shè)備自帶的認(rèn)證進(jìn)一步提升零信任安全。例如，管理員可以設(shè)置條件訪問策略指定哪些應(yīng)用始終需要多因素認(rèn)證或不能從特定位置之外訪問。NingDS 中的身份和訪問管理工具正是現(xiàn)代企業(yè)急需的零信任配置，滿足國(guó)家等保要求，是實(shí)施零信任戰(zhàn)略中不可或缺的要素。

三、一切盡在掌握

NingDS 使統(tǒng)一身份認(rèn)證系統(tǒng)中看似高大上的零信任概念變得更加接地氣，并且非常適用于遠(yuǎn)程辦公模式。相比之下，ADFS 主要還是基于遺留應(yīng)用，面臨管理成本高和信任濫用問題。不可否認(rèn)，信任是 Windows 域控制器的基礎(chǔ)和原理之一。如果企業(yè)重視零信任框架就需要在指定安全計(jì)劃時(shí)考慮相應(yīng)對(duì)策，而不是單純地接受風(fēng)險(xiǎn)。

NingDS 支持企業(yè)自行選擇身份源（IdP）。如果想使用 Azure，只需在 NingDS 上設(shè)置啟用 Azure AD 。當(dāng)然，企業(yè)也可以選擇 Google 等身份作為身份源，設(shè)置同樣簡(jiǎn)單易操作。

企業(yè)也可以直接將 NingDS 設(shè)為獨(dú)立目錄，它可以導(dǎo)入外部身份和同步身份。如果啟用 AD，用戶無(wú)需再擔(dān)心 ADFS 的“域信任”增加安全風(fēng)險(xiǎn)，并且企業(yè)無(wú)需購(gòu)買硬件即可在一個(gè)或多個(gè)域控制器上運(yùn)行 AD DS，省錢省力省時(shí)。NingDS 兼容微軟 AD，可與微軟域控制器并存，NingDS中的 SSO 工具也可擴(kuò)展供 AD 使用。

對(duì)中小企業(yè)而言，NingDS 不僅能節(jié)省企業(yè)在IT基礎(chǔ)設(shè)施上的開銷，還能讓現(xiàn)有 AD 更好用更適合現(xiàn)代化的 IT 環(huán)境，減輕運(yùn)維管理負(fù)擔(dān)，提高生產(chǎn)、辦公、運(yùn)維等效率。

（本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）