一、項目背景
自2019年以來,金融行業信創發展程序加快。從2020年一期試點的47家到2021年二期試點198家,2022年三期試點啟動的同時也進入全面推廣階段,試點範圍由大型銀行、證券、保險等機構向中小型金融機構滲透,涉及全行業5000餘家機關。
信建立設成為金融機構數字化轉型的重要抓手,在幫助金融機構的業務提質增效的同時,也能為金融機構數字化轉型和以數字化為支撐的管理變革奠定基礎。
二、某金融機構身份建設現狀
在此背景下,某大型金融機構的信建立設也進入快車道,信創相關預算占比逐年升高。
該大型金融機構2002年成立至今,擁有國内、國外近百家分支機構,業務遍布全球180個國家和地區,雇員近4000人。随着國産伺服器、統信、麒麟等終端作業系統、國産OA、郵件如Coremail等應用軟體投入使用,以 Windows 作業系統為主的 IT 底層架構逐漸被替代,而納管這些 IT 資源(身份、應用、終端)的微軟活動目錄 Active Directory(AD)也将面臨替換。
1、不得不提的微軟AD
Microsoft Active Directory (微軟AD)作為一種目錄服務或身份提供商(IdP),主要是幫助管理者将使用者連接配接到基于Windows的IT資源,同時管理和保護基于Windows的業務系統和應用。管理者可以使用AD建立使用者并授權使用者通路Windows終端、伺服器和應用等。另外,AD還能用于控制系統組、強制執行安全設定和軟體更新,而AD的通路和控制都是基于域來實作的。
AD提供了終端統一認證、管理能力,應用接入能力,基于NPS的RADIUS服務,Windows檔案共享以及基于AD的NDS服務。AD是微軟整個生态環境的基礎,也是企業IT基礎設施。對于長期使用AD的企業,AD已經深入到其生産、業務、管理方方面面。如果無法使用微軟AD了,那麼企業的身份、應用、終端的管理怎麼辦?尋求可替代AD域的國産目錄服務産品成為金融行業目前及未來的重點。
2、應用
該金融機構存在與微軟AD高度綁定的應用,如虛拟桌面、IAM系統、單點登入SSO系統、Exchange 郵箱、Office365等。除此之外,還有部分國産應用,如Synology NAS、Coremail、OA系統等。
依賴微軟AD的應用使用域賬号即可進行身份認證和通路授權,但對于國産應用軟體,IT管理者隻能在各個應用系統中單獨手動維護組織架構和使用者身份資訊,不僅拖累運維效率,也增加了人為操作失誤帶來的風險。企業急需建立統一身份認證和管理體系,才能確定業務不中斷。
3、關鍵裝置
對于一些關鍵裝置,例如堡壘機、伺服器、防火牆、交換機、虛拟桌面等裝置的身份認證同樣依賴于微軟AD,Windows Server被替換或停用,也會導緻AD服務無法繼續。
4、終端
當替換成統信、麒麟這類信創終端後,如何保護使用者在Windows上的使用習慣?不同品牌信創終端賬号能否統一集中管理?使用者登入認證是否支援集中認證和本地認證,以及常用的802.1x認證?這些問題對IT部門而言都是不小的挑戰。
三、如何落地?
終端和AD替換不是一蹴而就的,既有Windows終端、新購Windows終端、信創終端、微軟AD和AD替代方案會有階段性共存,而在過渡階段主要面臨的是遷移問題:
• 應用系統從AD域向替代方案的遷移;
• AD域、信創域管平台、替代方案的賬号、密碼同步;
• 加域Windows終端向替代方案的遷移,包括終端登入、管理和使用者資料的遷移。
1、思路
針對上述痛點,考慮到方案可用性、覆寫範圍和TCO(Total Cost of Ownership ,總擁有成本,産品采購到後期使用、維護的成本),甯盾為該金融機構提出了一個有效的解決思路,基于甯盾身份目錄服務來進行,按照與AD關聯緊密度排序,關聯度小的優先遷移,以此逐漸弱化AD在企業中的作用:
• 為該企業建立統一身份目錄,實作對AD的替代;
• 關鍵業務系統向甯盾目錄服務遷移;
• 信創系統終端和Windows終端統一身份認證和管理;
• 網絡接入的統一管理;
• 完成無法覆寫場景的替代,如Exchange、Windows檔案共享、DNS服務等;
• 完成與AD高度綁定的産品改造。
甯盾目錄服務(Nington Directory Service,NDS)是基于标準LDAP協定自主研發的國産LDAP身份目錄服務,用來存儲使用者身份資料,并提供統一的目錄使用者認證,可廣泛應用于本地/雲應用、作業系統、網絡/安全裝置場景。
它由身份目錄、應用接入、網絡接入、多因素認證、統一終端管理等多個能力元件構成。其中LDAP身份目錄是核心服務,其他能力元件均為可選項,可通過标準協定與第三方産品進行替換或內建。
(甯盾身份目錄服務能力架構圖)
• 身份目錄負責存儲使用者賬号、密碼、組織架構、使用者組等資料,并處理身份的上下遊同步。
• 應用接入元件為應用系統提供身份管理和登入認證/SSO服務。
• 網絡接入處理裝置的有線、無線認證和遠端接入,如VPN、虛拟桌面認證等。
• 多因素認證提供認證增強能力,支援動态密碼、短信密碼、掃碼認證、推送認證等功能。
• 統一終端管理為信創和Windows終端提供集中身份管理、認證管理、合規性檢查和認證增強等能力。
2、動手
甯盾目錄服務主要包含身份目錄和各業務場景對接能力。身份目錄具有和AD高度相容的資料結構,降低了應用的變更代價,為應用遷移提供了便利。
(甯盾身份目錄服務相容微軟AD)
2-1、以NDS為身份源的統一身份管理中心
為了能夠統一信創、Windows終端和其他業務場景的身份,甯盾目錄需要替代AD原有的生态位,建立身份源。是以,在該方案中首先建構以甯盾目錄服務為核心身份源的統一身份管理中心。通過甯盾目錄的身份同步功能,将上遊身份源如AD、HR、IAM系統或OA系統内的身份資料同步到甯盾目錄服務中進行統一管理維護。
此時,甯盾目錄服務可以作為LDAP伺服器或者SCIM伺服器,由下遊應用系統直接調用身份資料,也可以調用下遊應用的身份API主動推送身份資料,進而保持企業内使用者全網身份一緻性。
2-2、應用對接
應用對接場景中,甯盾目錄服務需要接管下列能力:
• 應用的身份和權限管理。依賴AD的應用可直接使用LDAP協定對接甯盾目錄,甯盾目錄與 AD 的使用者資料和接口高度相容。權限管理可沿用AD的組織單元和使用者組;
• 登入認證。甯盾目錄相容AD的登入認證協定,可按照AD配置對接;
• 單點登入(可選)。對于使用微軟ADFS作為單點登入系統的應用,可通過标準SAML或OAuth協定與甯盾目錄對接;如果企業自建了SSO平台,可将SSO平台依照AD配置與甯盾目錄對接。甯盾目錄也可以作為獨立的單點登入門戶使用。
2-3、網絡接入
網絡接入在信創替代中是比較容易被忽視的問題。由于微軟在AD域、Windows終端登入和網絡接入上有深度耦合,不容易做到完美替代,其中的風險源自:
• 加域的Windows本身是身份票據容器,網絡和應用可以基于Windows登入身份進行單點登入,脫離域之後需要多方配合才能達到同等效果;
• 網絡接入通常使用RADIUS協定與裝置(NAS)進行對接,常見的産品有NPS(微軟)、iMC(H3C)、AgileController(華為)、ISE(Cisco)等。這些産品需要加入域才能實作一些常見場景,和AD有強綁定關系。
2-4、有線無線網絡認證場景
對于主流内網認證方式802.1x認證或Portal認證,在Windows加域模式下可以實作登入Windows自動認證、計算機名認證或證書認證,前提是RADIUS伺服器加域。甯盾目錄服務的網絡接入元件有較高的内部耦合性,同樣能夠實作三種認證。當原有RADIUS伺服器脫域之後,甯盾網絡接入元件可代替原有RADIUS伺服器,提供RADIUS認證服務。
應對政策如下兩種:
将802.1x認證直接指向甯盾目錄,避開原有産品加域限制;
圖 繞開原有RADIUS
推動原有産品與甯盾互信。
圖 原RADIUS與甯盾互信
2-5、遠端接入場景
遠端接入主要為VPN、堡壘機、虛拟桌面等接入認證場景。
VPN、堡壘機等裝置主流的認證協定是RADIUS或LDAP,該金融機構内部署了RADIUS,直接由甯盾目錄服務替代。甯盾支援更多品牌的網絡裝置和廠商私有協定,可實作比以往更優的效果,如權限控制、IP下放、多因素認證等。
在身份認證方面,甯盾對主流産品有良好支援,如深信服、華為、Citrix、VMWare。但各虛拟桌面廠商的運作機制對AD依賴性比較高,需要推動廠商去AD化。
2-6、終端統一認證和管理
終端的統一管理在方案的選擇上需要遵循幾個原則:
• 用戶端數量越大,對方案的成熟度和可靠性要求越高;
• 方案選型:
①方案用戶端側工作盡量輕,不引入新的用戶端;②方案依賴系統原裝用戶端 ;③方案需引入新用戶端,但支援統一推送用戶端;④方案需引入新用戶端,但需手動安裝用戶端。 ①>②>③>④
①方案對AD域的依賴盡量低,完全不依賴AD;②方案僅要求已入域終端依賴AD;③方案要求新購Windows終端也依賴AD。 ①>②>③
簡而言之,方案最好不要引入新的用戶端,如需引入用戶端,需具備完備的用戶端方案,且對AD的依賴越輕越好。
有以下四種方式可供客戶選擇:
• 使用各平台域管平台,如Windows使用AD,麒麟使用天域,統信使用統信域管,由甯盾目錄同步幾種域管平台資料;
• 使用甯盾安全連接配接器接管終端登入認證,實作集中認證和本地使用者管理;
• 使用Samba替代AD,管理Windows終端;
• 終端不加域,使用桌管平台管理Windows終端。
在該方案中企業最終采用了第一種方式,将AD、麒麟天域和統信域管作為甯盾目錄的下遊應用,由甯盾目錄統一推送或域管主動調用甯盾目錄身份。這種方式盡管依賴AD,但可靠性更高,不需要引入用戶端,适合有已加域終端和信創終端的場景。
• AD:甯盾目錄調用AD的LDAP接口,進行身份同步;
• 麒麟天域:将甯盾目錄作為身份源,使用LDAP協定調用甯盾目錄;
• 統信域管:将甯盾目錄作為身份源,使用LDAP協定調用甯盾目錄。
對于終端的認證和密碼管理方面,信創域管支援向AD發起認證,甯盾目錄資料結構和AD高度相容,信創域管可将甯盾目錄作為AD替代品。Windows僅支援向AD發起認證,AD無法将認證請求代理到第三方,可通過組政策禁用Windows修改密碼,強制使用者在身份自服務平台修改密碼,甯盾目錄接收到密碼變更後同步給AD。
AD有被替代的預期,信創域管平台産品化程度尚不完善,由甯盾安全連接配接器用戶端實作終端集中管理和認證,可靠性較高,終端依賴度較高,完全不依賴AD。如您對模拟加域方案或其他方式感興趣,可線上咨詢客服擷取更詳細的方案,這裡就不再贅述。
2-7、多因素認證增強各場景登入安全
作為金融行業頭部企業,客戶對資訊安全的重視也在本次方案中展現。通過對使用者連接配接網絡或通路辦公資源時的登入入口添加動态密碼進行二次身份認證,以降低因賬密洩露引起的安全風險。甯盾多因素認證支援的認證形式十分豐富,有動态令牌(APP、H5、小程式、硬體Key)、短信令牌、推送認證、掃碼認證、生物認證等多種。該客戶選用了甯盾手機APP令牌形式,用以加強賬号安全。
多因素認證常用的使用場景有:
• 遠端接入,支援VPN、堡壘機、虛拟桌面等;
• 運維,支援Linux、AIX等伺服器,各種網絡裝置認證授權和審計,替代ACS/ISE;
• 應用登入,支援API調用或SSO門戶增加多因素認證;
• 作業系統登入,支援Windows、Linux、Mac OS,需安裝甯盾安全連接配接器;
• 網絡接入,僅Portal或證書認證。
2-8、高可用
身份系統是關鍵基礎設施,尤其對于金融這類關系國計民生的行業,基礎設施更需要支援高可用、負載均衡、備份和恢複。
甯盾目錄服務支援集中式部署和分布式部署,集中部署模式下,關鍵目錄服務互為主備,應用接入節點可多台叢集部署,實作負載均衡。它的好處在于結構簡單,在提供較好的高可用性能下,維護成本低。
集中部署
分布式部署模式下,每個實體分支都可以有多個甯盾目錄執行個體。執行個體之間互相同步,實體分支之間互相同步。
分布式部署
甯盾目錄服務同樣支援故障回退、資料恢複。由于甯盾目錄服務和AD具有高度相容性,大部分業務場景下可以互換,是以也建議該金融機構保留AD較長時間,有突發情況時可以将應用對接恢複為 AD,将業務可持續作為首要目标。
3、效果
目前,甯盾目錄服務方案已在該金融機構OA部門試用中。通過甯盾目錄服務替代微軟AD,接管企業内的身份、應用、網絡、終端,進而打造基于信創體系的身份管了解決方案,加快國産化數字化建設。
四、啟示與思考
目前信創作業系統推進重點在金融行業,2021年各機關着重解決終端使用者在信創系統上處理業務的問題。從2022年開始,微軟 AD 面臨較大的替換預期,一些銀行和金融機構開始探索 AD的替代解決方案。而從甯盾接觸到的信創使用者來看,普遍關注的技術點為:
• 信創作業系統的統一管理和認證。截至2022年4月,信創域管平台主要采用定制方法适配客戶需求,産品化程度尚未成熟。使用者在尋求其他解決方案;
• 應用遷移。過去二十多年微軟 AD 是主要身份标準,大量應用建構在 AD 上,應用的遷移成本不能太大;
• Windows 統一管理的過渡方案。
• 網絡認證,是企業比較容易忽略的點,比應用遷移更為複雜,涉及到原有認證平台的替換和對接。
大多數機關在尋找和測試解決方案時都暴露出不少問題,比如域管平台能力、業務系統曆史遺留問題、Windows脫域問題等,是以替換微軟AD對于企業自身而言也是一個查漏補缺的契機。
其實,國内外在非信創領域 AD 替換或部分替換同樣很常見,主要驅動因素有:
• 性能問題,當企業員勞工數很多或分支較多情況下,如果沒有持續規劃和更新,AD比較容易面臨LDAP服務超載、資料同步不及時等問題;
• 安全性問題,近年來AD漏洞被利用的次數在增多,AD作為關鍵服務不能經常重新開機,導緻有許多0day漏洞被利用;AD的預設配置有一定安全隐患,需要經驗豐富的管理者持續關注;
• 無法适用雲和移動化,AD在本世紀初推出以來,架構上沒有特别更新,對業務上雲和SaaS支援薄弱;AD也不能管理Mac、Linux等終端,許多企業雖然架設了AD,并未有效使用起來。
篇幅所限,對于金融行業微軟 AD 替換方案有較多省略之處,若您有金融、教育、醫療等相關行業的信創項目,可咨詢線上客服擷取詳盡的解決方案,更歡迎上下遊廠商合作交流。
(本文來源于甯盾,僅供學習和參考,未經授權禁止轉載和複制。如欲了解更多内容,可前往甯盾官網部落格解鎖更多幹貨)
了解更多