云應(yīng)用因其靈活性、可擴展性和低成本等優(yōu)勢在企業(yè)中廣受歡迎。據(jù)統(tǒng)計，2021年企業(yè)平均使用110個軟件即服務(wù)（SaaS）應(yīng)用，換句話說用戶必須分別登錄110次。

SaaS 云應(yīng)用的高采用率以及對這類應(yīng)用訪問簡化的需求推動了企業(yè)的兩項改革：

1、從頭創(chuàng)建身份和訪問管理（IAM）策略，允許用戶安全有效地連接到域外的 Web 應(yīng)用。

2、重新評估現(xiàn)有 IAM 策略的缺點，如不支持非 Windows 系統(tǒng)和非域綁定的 IT 資源。

針對上述兩方面，企業(yè)可以采用 Web 應(yīng)用單點登錄（SSO）工具，幫助用戶輕松訪問 SaaS 應(yīng)用，通過存儲在企業(yè)本地目錄的身份憑證集成，使 IAM 系統(tǒng)實施更簡單。而在當(dāng)時，SSO 工具必須和微軟 Active Directory（AD）這種基于 Windows 的傳統(tǒng)本地目錄集成，且SSO 工具必須依靠 AD 作為身份源，在登錄過程中將 AD 中的身份數(shù)據(jù)推送到 Web 應(yīng)用。

在同一時期，各種 SSO 廠商都相繼推出了各自的 Web 應(yīng)用 SSO 工具，其中就包括微軟的Active Directory 活動目錄聯(lián)合服務(wù)（ADFS）。

即便到現(xiàn)在，很多企業(yè)依然認(rèn)為 ADFS 是將外部應(yīng)用和 AD 集成的最佳方式之一，原因可能是因為兩種工具都基于微軟生態(tài)。但是，并非所有 AD 集成都能取得同樣的效果。要確定 ADFS 是否適合自己的企業(yè)，可以先了解 ADFS 的局限性，然后評估其定價再確定微軟ADFS 是否符合企業(yè)的身份和訪問管理（IAM）愿景。

本文將介紹評估微軟ADFS 定價時需要考慮的所有成本，以及另一種更能滿足企業(yè)單點登錄、身份和訪問管理（IAM）需求的高性價比替代方案。

一、評估微軟 ADFS 定價時要考慮的成本

盡管微軟一直將 ADFS 宣傳為“免費”解決方案，實際上 ADFS 并不是完全免費，評估時需要考慮以下三方面的成本。

1. 硬件成本

企業(yè)需要設(shè)置以下服務(wù)器后才能使用 ADFS：

（1）ADFS 服務(wù)器：對用戶進(jìn)行身份認(rèn)證和發(fā)送聲明的主服務(wù)器。ADFS 服務(wù)器必須連接域控制器（DC）才能對來自不同域的用戶進(jìn)行認(rèn)證。

（2）ADFS 代理服務(wù)器：ADFS 代理服務(wù)器位于企業(yè)的網(wǎng)絡(luò)邊界或隔離區(qū)（DMZ），主要負(fù)責(zé)接收請求并將請求轉(zhuǎn)發(fā)到本地的 ADFS 服務(wù)器。

（3）ADFS 配置數(shù)據(jù)庫：ADFS 配置數(shù)據(jù)庫負(fù)責(zé)存儲服務(wù)器的信任、證書、服務(wù)配置、聲明提供者信任和聲明描述等數(shù)據(jù)。該數(shù)據(jù)庫可存儲在 SQL 數(shù)據(jù)庫或 Windows 內(nèi)部數(shù)據(jù)庫（WID）中。

（4）網(wǎng)絡(luò)負(fù)載均衡服務(wù)器：為了可擴展性和高可用性，需要在部署 ADFS 服務(wù)器或 ADFS 代理之前先部署網(wǎng)絡(luò)負(fù)載均衡服務(wù)器。

可以看到企業(yè)至少需要四臺服務(wù)器來啟動運行 ADFS 。如果要從 ADFS 連接到Microsoft 365 等服務(wù)，還需要再安裝AD Connect服務(wù)器，再加上核心域控制器等基礎(chǔ)結(jié)構(gòu)。此外在計算總體硬件成本時還要考慮托管、安全、監(jiān)控和水電費等。

2. 軟件許可成本

如果企業(yè)已經(jīng)設(shè)置好 AD 和 Windows 服務(wù)器，設(shè)置 ADFS時就不需要許可證，但還需要一個 ADFS 配置數(shù)據(jù)庫來存儲建立身份統(tǒng)一管理的所有參數(shù)，為此就需要微軟SQL Server 數(shù)據(jù)庫或 Windows Server 2008 或更高版本的 WID。

SQL 服務(wù)器要求企業(yè)必須獲得相關(guān)許可證才能使用 ADFS。微軟提供兩種許可類型：基于內(nèi)核的許可和 Windows Server + 客戶端訪問許可（CAL）。內(nèi)核許可要求處理器中的每個內(nèi)核都有一個內(nèi)核許可證。Windows Server + CAL 則要求運行 SQL Server 的操作系統(tǒng)環(huán)境（OSE）必須有許可證。

由于 SQL 服務(wù)器許可范圍很廣，成本計算涉及的具體內(nèi)容就非常復(fù)雜。數(shù)以千計的許可和訂閱服務(wù)最終會在 ADFS 設(shè)置中產(chǎn)生大量隱形成本。

3. 維護(hù)成本

調(diào)試、配置和維護(hù) ADFS 服務(wù)器也需要投入大量時間和精力。除了硬件成本和軟件許可成本外，企業(yè)在評估微軟 ADFS 定價時還必須考慮維護(hù)費用，其中包括：

（1）IT 管理：由于 ADFS 是本地部署服務(wù)，因此需要聘請專門的 IT 管理員負(fù)責(zé)運維，而這對于預(yù)算有限的企業(yè)而言可能很難落實。此外，如果存在遠(yuǎn)程或混合辦公場景，本地部署也沒有多大意義。

（2）軟件支持：軟件升級或續(xù)訂的許可費。

（3）硬件升級：提升 CPU 速度、RAM 和硬盤擴容等。

（4）可擴展性：通過 ADFS 添加的新應(yīng)用和原始應(yīng)用的安裝、配置和維護(hù)要求相同。在采用更多云應(yīng)用的情況下，這種擴展性成本也會相應(yīng)增加。

二、ADFS 高性價比替代方案

雖然 ADFS 最初解決了一個問題，并幫助用戶連接到非域綁定應(yīng)用，但在現(xiàn)代 IT 環(huán)境中，需要管理的 IT 資源數(shù)量倍增，這對使用 ADFS 或其他 Web 應(yīng)用 SSO 工具的企業(yè)都構(gòu)成了重大挑戰(zhàn)。除了功能上的局限性之外，實施維護(hù) AD、ADFS 以及所有相關(guān)部署也會增加 ADFS 的定價。

那么，是否有更好的解決方案呢？NingDS 身份目錄云提供基于云的 IAM 和 SSO 解決方案，包括各種安全和生產(chǎn)力功能，與 AD 和 ADFS 相比性價比更高。

ADFS 要求安裝至少四臺服務(wù)器（不包括核心域控制器），而 NingDS 則提供了兩種輕量級替代方案：

1、用NingDS云目錄服務(wù)及其內(nèi)置的單點登錄（SSO）功能取代AD和ADFS，以節(jié)省時間和成本，靈活性更高，也無需本地部署，開箱即用。

2、保留本地AD目錄服務(wù)，NingDS將AD目錄身份擴展至云上，同時NingDS提供云SSO等功能，企業(yè)只需管理核心數(shù)據(jù)中心即可，其余工作則由NingDS來進(jìn)行，甚至還可以借助NingDS管理AD的功能，從而減輕 IT 管理負(fù)擔(dān)。

NingDS 非常適合不希望產(chǎn)生 ADFS 額外成本的云優(yōu)先企業(yè)或那些進(jìn)行云遷移且已經(jīng)部署 AD/ADFS 的企業(yè)，無需專用服務(wù)器或復(fù)雜的本地設(shè)置，按需訂閱，企業(yè)可以隨著業(yè)務(wù)發(fā)展添加或刪除功能，滿足業(yè)務(wù)擴展需求。此外，NingDS 作為統(tǒng)一身份和訪問管理平臺提供一站式的安全管理服務(wù)，免去了企業(yè)購買和管理不同工具的煩惱。

（本文來源于寧盾，僅供學(xué)習(xí)和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復(fù)制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）