基于雲的 LDAP 入門（下）

上期文章介紹了 LDAP 的基本概念、運作原理以及傳統用例。本期将深入探讨傳統 LDAP 協定面臨的問題、如何解決以及基于雲的 LDAP 在現代 IT 架構中扮演了怎樣的角色。

1. LDAP 管理的主要問題

1）目錄管理問題

開源目錄的安裝和配置并非易事。目錄需要工作台、伺服器、應用、資料庫、網絡裝置、存儲系統等連接配接。企業如果要用 LDAP 連接配接所有類型的 IT 資源就會面臨問題，很多資源都需要在伺服器和用戶端進行大量配置。此外，妥善管理使用者群組也很耗時，而且 LDAP 具有極大的靈活性，是以在設定和配置時可能會很困難，OpenLDAP 就更是如此。

另一個關鍵問題是，無論 LDAP 是托管在本地、企業資料中心還是雲伺服器，都需要管理 LDAP 的正常運作時間、安全性、實時監測等，往往需要部署額外的裝置和軟體，成本和管理時間都會大幅增加。是以，盡管企業通常認為部署 LDAP 幾乎沒有成本，但部署過程中的總擁有成本卻是一筆不小的數目。

同樣，LDAP 可能是 AD 的原生功能之一，但企業不得不承擔所有其他的相關成本，包括硬體、軟體許可以及保護目錄服務安全可用的所有必要技術。

2）混合環境

管理跨系統 IT 環境（混合環境）對于任何 IT 專業人員來說都是一項不小的挑戰。上一節提到，微軟 AD 非常适合 Windows 裝置。基于 Linux 的 LDAP 伺服器則非常适合 Linux 裝置。但是，由于 Mac 裝置很難通過 LDAP 協定進行管理，也就無法使用 AD。

LDAP 在裝置管理方面的限制也算衆所周知的事實。在身份驗證和授權上，可以通過大量配置将裝置連接配接到 LDAP，但管理裝置本質上并不屬于 LDAP 的功能。而雲計算時代下，企業目錄解決方案需要能夠同時管理系統以及使用者對系統的通路，確定通路安全順暢。是以，LDAP 在這一方面的局限性也是企業不得不考慮的。

3）網站和 SaaS 解決方案 

進入雲計算時代後，軟體即服務（SaaS）越來越受企業歡迎。SaaS 服務不再隻是以網站的形式提供，還擴充到移動應用和桌面用戶端，成為使用者使用和通路公司資料和資源的一站式解決方案。LDAP 通常不适用于 Web 應用，這類應用更多使用其他身份驗證協定，如 SAML 和 OAuth。LDAP 和 SaaS 應用的脫節也會導緻使用者的使用複雜化。

2. 使用基于雲的 LDAP 解決現代業務挑戰

一方面越來越多的企業将業務上雲，另一方面傳統 LDAP 目錄面臨的挑戰也随之增加。企業需要将遠端裝置使用者和本地裝置使用者同時連接配接到雲應用、VPN、網絡、本地存儲等資源。基于雲的 LDAP 正是為了解決這些問題而開發的現代化目錄協定。

與傳統 LDAP 相比，基于雲的 LDAP 在托管的 LDAP 雲伺服器上運作。IT 資源也不是與企業本地 LDAP 伺服器通信的用戶端，而是指向托管的 LDAP 雲伺服器。是以，基于雲的 LDAP 能幫助企業更加靈活地開展數字化轉型和業務上雲計劃，同時保障遺留應用、存儲系統、網絡裝置等資源的管理。

此外，基于雲的 LDAP 也減輕了安裝、配置和管理目錄伺服器的負擔，企業不必再擔心目錄的安全性、可用性、負載平衡等，還可以根據需求對目錄功能進行增減，成本效益更高。

3. 基于雲的 LDAP 有哪些優勢？

基于雲的 LDAP 提供了安全、性能、合規等優勢：

• 廠商負責軟體和伺服器安全，包括更新檔和更新。專業安全團隊負責漏洞查找和修複以及滲透測試，以滿足企業合規要求。
• 企業無需自建 LDAP 架構，隻需花費小部分成本訂閱基于雲的 LDAP 服務，就能利用最新硬體以及地理位置確定快速響應。
• 基于雲的 LDAP 服務支援實時備份，資料無論是否在運作一律加密。
• 企業和主打安全的廠商合作可以使合規變得更容易（定期确認廠商的安全和合規政策，選擇符合企業要求的廠商）。
• 基于雲的 LDAP 服務改進了 IT 實施體驗，無需設定實體伺服器，節省了每台伺服器的運作時間。
• 即用即付的訂閱模式無需維護硬體，降低了成本。
• 通路不受位置限制。
• 可擴充，無需任何額外安裝或配置。
• 無需為伺服器申請軟體許可證。
• 使 IT 部門從安裝、配置和設定新資料庫以及管理安全更新檔和更新中解放出來，專注其他重要項目。

4. 雲托管 LDAP：推進 LDAP 現代化

盡管很多廠商都提供基于雲的 LDAP 服務，但企業需要考慮各廠商是否能全面滿足企業的身份和通路管理需求。企業在評估此類需求時，可以參考以下問題：

• 目前 IT 環境中哪些資源（應用和伺服器）需要 LDAP？
• 現有的 LDAP 綁定是否安全？還需要支援哪些資源和協定（SAML, RADIUS...）？
• 是否有全面的解決方案，不僅滿足 LDAP 需求，還可以滿足身份聯合和系統管理等其他 IT 需求？

基于雲的 LDAP 幫助企業高效管理雲環境和混合環境中的目錄服務，節省了時間和費用，同時為企業資料提供可靠的通路控制，保障 IT 資源安全。

如果企業存在部分需求超出基于雲的 LDAP 功能範圍，如管理基于 SAML 的應用、基于 RADIUS 的網絡或系統，企業可以嘗試适合自身 IT 環境的全套雲目錄服務。