不少 IT 管理员都对如何将 LDAP 目录服务集成 Office 365 很感兴趣,特别是希望能将 Office 365 的身份凭证拓展到其他场景,例如 OpenVPN 或支持 Kubernetes 或 Docker 的亚马逊 AWS 云计算平台。
在解答这一问题之前,有必要了解 Office 365 的底层身份管理架构,也就是微软的 Azure Active Directory (Azure AD 或 AAD),它在某些方面拓展了传统 AD 的目录功能。因此微软可能会告诉你 Office 365 并不需要对接 LDAP 目录服务,但也只是微软宣传其生态系统的一种说法。如果管理员确实存在 LDAP 需求,可以参考下文中的用例。
1. LDAP 等目录服务如何对接 Office 365?
在 Office 365 中集成 LDAP 目录服务实现不同类型的跨平台用例其实是非常有趣的做法。在这一构想中,Office 365 身份凭证可以用于几乎任何 IT 资源的认证,从而减少密码疲劳和可能存在的弱密码重复使用问题。
采用 LDAP 目录服务的根本原因是让终端用户只需持有一组凭证即可访问日常使用的 IT 资源,包括:
- Windows、macOS 或 Linux 等操作系统
- AWS、GCP、本地数据中心等云上和本地服务器
- 基于 LDAP 和 SAML 协议的 Web 应用和本地应用
- NAS 设备、Samba 文件服务器、Dropbox、G Drive 等物理和虚拟文件服务器
- 基于 RADIUS 协议的有线和无线网络设施
各类资源都将连接到一个统一的身份源,以多种方式进行安全认证,例如传统的用户名/密码登录、SSH 密钥、多因素认证(MFA)等。
2. 微软 Azure AD 的局限性
然而,无论是只用 Azure AD 还是与本地 AD 联合使用都不能实现上述单一凭证的设想。考虑到这一点,在选择跨平台的兼容性网络准入方案时,企业应尽量选择中立的第三方解决方案,从而支持不同厂商和协议的设备在不同位置都能进行访问。
身份目录即服务(DaaS)正是第三方解决方案中的一种。它是标准 LDAP 服务,基于 SaaS 订阅模式,类似微软 AD 和 Azure AD。IT 管理员可以借助 DaaS 实现 Office 365 和 LDAP 目录服务对接,甚至可以进一步覆盖用户的全部 IT 资源(网络、VPN、云桌面、堡垒机等),有效优化用户的统一登录和认证体验,也方便管理员集中管理资源和身份凭证,实现用户快速预配和注销,一举两得。
3. 系统管理和用户管理合二为一
DaaS 在身份管理层面似乎无可挑剔。那么系统管理层面又如何呢?DaaS 也确实涵盖了这一点。作为一个全面的目录服务方案,DaaS 可以通过类似 GPOs 的策略来强制执行系统安全计划。而更具吸引力的是以 SaaS 形式的交付,无需和本地目录一样进行日常维护,开箱即用,按需付费,而且无需 IT 管理员安装部署、运维。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解 LDAP 目录服务更多内容,可前往宁盾官网博客解锁更多干货)