随着近幾年IT行業的迅速發展,5G、雲計算、物聯網、大資料、人工智能、區塊鍊等成為大家熱議的話題,WindowsAD作為一個擁有20年曆史的技術,已經慢慢淡出大家的讨論範圍,是AD過時了嗎?不是,AD的作用依然固若金湯,之是以現在提的少了,一是跟IT行業的發展有很大關系,畢竟大家都喜歡去研究新技術;二是因為懂AD技術的人确實也越來越少了。
今天之是以想寫一個AD系列文章,原因有三個:
1. 個人研究AD技術多年,希望把自己對AD的了解分享給大家
2. 為準備使用AD技術的企業,分享一點經驗心得
3. 為沒有使用AD技術的企業,推薦一個好的解決方案
每一個企業都需要AD嗎?不一定,一個企業需不需要AD是由它的資訊化架構決定的,IT架構決定了一個企業的資訊化能力。作為企業的管理者來說,首先要規劃架構,架構清晰了,就等于把待解決的問題定下來,而AD是解決這些問題的其中一個解決方案,至于需不需要用它,我們先要對它有一個全面的了解。反過來講,如果我們對AD有了全面的了解,也可以對我們規劃架構起到很大的幫助作用。
有很多失敗的案例告訴我們,企業在做一個AD項目的時候,自己還沒有搞清楚AD的功能,就草草立項,結果事與願違,最後以失敗告終。如果一個AD項目失敗了,根本原因不是在技術上,而是在管理上,在于對AD功能的認識程度上不夠全面。
今天就來給大家深入剖析一下我了解的AD,如果有了解有誤的地方,歡迎大家批評指正。
使用過AD的企業,他們對AD有這樣的評價:AD是IT系統架構的基礎設施,是IT基礎架構中的核心元件。這是一種對AD功能整體概括性的評價,那怎麼了解AD這個基礎設施發揮了什麼作用,它是鋼筋水泥混凝土?還是強電弱電暖氣片?能不能給它找一個幫助我們了解的參照物?當然可以,要想找參照物,讓我們先來看一下AD的主要功能。
AD的主要功能是管理使用者和計算機,但這個功能所帶來的價值收益要分成兩部分來看,一部分是管理收益,另一部分是技術收益,個人感覺這兩部分收益的占比是7:3,在您閱讀完全文之後您可能也會相同的答案。
有很多朋友對AD的了解隻停留在技術領域這一部分,而忽視了它最重要的管理作用,片面認為AD的作用就是建立一個域環境,把計算機加入域,通過下發組政策達到某種桌面管理的需求。當然,AD的管理作用之是以被忽視,是因為它的價值收益不能馬上被看到,因為它是Paas服務,而不是Saas服務,它并不能像應用系統那樣可以迅速提升企業某個方向的生産力。AD的管理價值收益,是需要把時間軸拉長才能看得到,可能是3年、5年或更長,這個時間取決于企業資訊化的發展速度。當資訊化發展過程中,整個架構對使用者身份和計算機管理的依賴程度越來越高時,您會發現最初部署的AD起到了一勞永逸的作用。
首先,介紹AD的第一個功能:使用者身份管理。
AD是一個集中管理使用者身份和權限的平台,負責使用者帳号的建立、修改、登出和驗證。無論企業的規模大小,每個使用者隻使用一個身份ID是必需,也是安全的。如果企業各個應用系統的身份都由AD管理,那麼身份管理将變得簡單和安全。
接下來我們給AD的這個功能找個參照物。請問大家一個問題,在我們的社會生活中,我們每個人的身份是什麼?這裡大家不要了解錯了,這個身份不是指您所在某個組織中的角色,而是指你是誰?who are you? 怎麼證明你是誰。
警察叔叔常說的一句話:請出示您的身份證。對,身份證就是我們的身份證明。
而身份證的辦理機構在哪裡?---警察局。百度百科顯示:警察局的其中一項工作職責是管理戶口、居民身份證、國籍、出入境事務和外國人在中國境内居留、旅行的有關事務。
警察局就是我們社會生活中的一個集中管理人民群衆身份的平台,在中國隻有這一個平台。當我們從警察局申請到一張身份證,然後從事某些社會活動時,就可以提供自己的身份證明。比如坐火車、坐飛機、去醫院看病、到銀行開戶、去酒店住宿等等,這些機構已經和警察局建立了互相信任的驗證通道,我們在出示身份證後,對方驗證證件的合法性,驗證通過後我們就可以辦理自己的業務。
在中國,您隻需要擁有一張身份證就可以走遍天下。除非您要出國,那就需要辦理第二張證件-護照。您看,這就是咱們社會生活中身份管理的模式。
如果企業IT架構中的身份管理也按照這種模式設計,價值收益是最大的。AD就是警察局,它就是一個Pass服務,以AD作為身份管理平台,其他任何需要身份驗證的系統都和AD對接,由AD負責對身份進行驗證。
應用系統的身份驗證功能與AD對接, 隻需要配置類似如下的設定:
在這個架構下,一個員工從入職、崗位調整到離職,其身份在AD中建立、調整和登出,管理維護簡單;而員工隻需要記住一套使用者名和密碼,使用友善。
通常情況下,我們會再找一個身份源和AD對接,一般企業常用的身份源是HR系統,這樣由HR系統驅動使用者身份建立、崗位調整和登出的整個生命周期管理,然後通過技術手段将這些資料自動同步到AD,AD對使用者帳号的狀态進行變更,這個維護流程就變得更加便捷、高效、合規和安全。
當然,圍繞身份管理産生的附屬功能也可以被應用系統所調用,比如使用者的屬性。
一個使用者擁有很多屬性,比如:公司、部門、職位、辦公室、郵件位址、電話号碼,位置、照片等,這些屬性可以被應用系統調用,便于展現人員的基本資訊。
比如,在郵件通訊簿中,可以通過屬性資訊查找到準确的聯系人。
同時,AD在管理使用者和計算機對象的過程中,它所維護的組織結構,也可以直接被應用系統調用,進而可以使企業的所有應用系統共享同一組織結構,讓資訊和流程變得簡單。
随着企業應用系統的增加,身份管理的收益就會漸漸凸顯,IT部門的維護成本沒有任何增加,使用者體驗也非常簡單,安全也可以得到保障,這就是架構的重要性。
看到這裡,您可能會問,上面講的這些太理想化了,現在企業的IT現狀哪有那麼簡單,企業的現狀是并存各種應用系統,每個應用系統都是獨自管理身份,不是一個“警察局”的問題,而是每一個應用系統都有自己的“警察局”,面對這種情況應該如何解決身份管理的問題?
欲知後事如何,我們下一期再做分解