轻量级目录访问协议(LDAP)是用于验证 IT 系统中用户身份的核心认证协议,同时也是 OpenLDAP 和微软 Active Directory(AD)等本地身份管理方案的支柱。随着现代 IT 资源逐步上云,企业也在寻找基于云的 LDAP 解决方案。
身份目录即服务(Directory-as-a-Service,DaaS)作为新一代云 LDAP 解决方案彻底改变了企业对 LDAP 的看法。而在探讨云 LDAP 解决方案的优势之前,首先来了解为什么云 LDAP 解决方案在现代 IT 环境中很重要。
1. 本地 LDAP 解决方案
LDAP 协议最早由密歇根大学在1993年发布,作为 X.500 目录服务协议的轻量级替代方案,简称 LDAP,是目前最常用的用户身份认证和 IT 资源访问方案之一。
LDAP 协议衍生出了两种核心的目录服务。第一种是 LDAP 协议的开源方案 OpenLDAP,另一个则是微软的 Active Directory,它结合了 LDAP 和 Kerberos 两种协议。 OpenLDAP 最常用于数据中心,而微软 AD 仍是迄今为止用户和系统场景下最主要的身份和访问管理(IAM)解决方案。当然,两者都是建立在 LDAP 协议的基础上实现的。
但是,AD 和 OpenLDAP 的效用实际上可以归结为两方面。一方面,两种方案都针对本地的同质 IT 环境进行了优化,另一方面两种方案都需要将企业的 IT 资源直接绑定到域。 在进入云计算时代之前,这两方面都没有出现什么问题。特别是以往大多数 IT 资源仍然基于 Windows 系统或是本地部署,在这一背景下企业引入基于 Windows 的本地目录方案也无可厚非。
只是,云计算时代的到来改变了一切。
2. 从本地到云 LDAP
2005年,Salesforce 等 SaaS 应用开始提供 Web应用解决方案。这些新兴的解决方案无法本地部署,不能直接绑定到域,而且来自不同厂商,因此无法由 OpenLDAP 和 AD 直接管理。而随着 IT 资源上云的数量不断增多,OpenLDAP 和 AD 的效用就越低,这也是为什么现在有那么多企业首选会考虑云 LDAP 解决方案。
身份目录即服务(DaaS)就是一种云 LDAP 方案,不仅可以提供基于 SaaS 的 LDAP 服务,还可以全面管理云上云下 IT 资源。
3. 云计算时代的 LDAP
DaaS 身份目录即服务实际上是 Active Directory 和 LDAP 在云计算时代的重构,最大优势在于企业不需要再投入大量资金实施本地部署和运维的解决方案,开箱即用。 DaaS 将 LDAP 认证等所有本地目录方案功能在云上实现,平台始终处于开启状态,用户和管理员随时随地都能访问,还可以按需扩展,非常适合企业现在动态变化的 IT 环境。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解LDAP目录服务更多内容,可前往宁盾官网博客解锁更多干货)