傳統使用者管理方案有哪些利弊？

現代企業的 DevOps 等 IT 人員一直希望能有高效、簡單的使用者管理方案，特别是身份管理流程。但是手動管理、微軟 Active Directory 和 LDAP 目錄伺服器這三種傳統方案都有明顯缺點。而第四種方案現代化雲目錄服務基于業務上雲的背景提出，更符合企業 IT 人員的需求。下面将具體探讨4種方案各自的優缺點。

1. 手動管理

大多數管理者還是選擇手動輸入指令行為使用者建立賬号。添加新員工和 IT 資源時，管理者會在每個系統、應用和網絡上手動建立賬号，并與使用者溝通新賬号的通路權限。然後使用者可以登入新賬号更改密碼或上傳适用的公鑰。如果使用者出于某種原因忘記了密碼或輪換了私鑰，這些請求都需要管理者手動處理。部分管理者還會采取額外措施來監控使用者對伺服器的通路，例如偶爾檢查日志檔案确定登入伺服器的使用者情況，或者檢測是否遭到暴力破解攻擊，但不是每次都能檢測成功。

問題在于，這些工作應該由管理者定期進行，隻是審計完整的使用者登入日志費時費力，僅憑管理者很難完成，企業也很少會有預算聘請專人來審查日志。尤其是小型企業，伺服器數量有限且更改較少，管理者基本都是手動管理使用者賬号，可以持續很長一段時間，而缺點是不能擴充，不夠系統化，安全保障不足。

2. 微軟 Active Directory

近十年來，微軟的 Active Directory（AD）一直是目錄服務領域的标杆，企業不論大小都會部署 AD，特别是已經成立數年的企業，但現在這類企業要想将 AD 上雲就會遇到不少問題。

首先，AD 通常托管在本地或資料中心，而不是在雲伺服器中，是以雲基礎設施和雲應用需要建立和 AD 伺服器的通信方式，最不推薦的就是把 AD 公開到網際網路上，風險太大。

第二，大部分雲基礎設施都基于 Linux 系統，即使企業使用的 Linux 或 Mac 裝置都在企業的辦公場所内，把裝置添加到 AD 也很困難，需要管理者購買目錄擴充服務在 Linux 伺服器上放置一個代理來和 AD 通信，這樣管理者可以直接從 AD 管理使用者、控制準入和通路權限。

當然，Linux 伺服器或 Mac 裝置在管理特定權限和通路方面還是不如 Windows 伺服器。對于以 Windows 環境為主的大型企業來說，除了安全和網絡問題外，将 AD 上雲可能更加可行。而對于 Linux 伺服器、動态雲環境和 Mac 裝置，最好還是尋找替代方案提高工作效率和成本效益。

3. 輕量級目錄通路（LDAP）目錄伺服器

LDAP 目錄伺服器已成為 AD 的輕量級開源替代方案。LDAP 是一種經過設計的資料庫，已經針對目錄服務進行了優化，企業往往将其用于 LDAP 系統和應用。管理者會在企業的雲基礎架構中建立一個 LDAP 目錄伺服器，然後将其配置為使用者源并作為通路控制和授權機制。需要注意的是 LDAP 目錄伺服器的配置非常複雜，專業性較強，花費時間較長，是以通路控制機制基本都靠管理者手動建立。LDAP 作為資料庫還需要預配新使用者并手動建立通路權限，此外還需要配置 IT 資源向 LDAP 目錄伺服器查詢是否應該對使用者進行身份驗證以及使用者可能擁有的權限。管理者通常在指令行級别管理 LDAP，這就需要更專業的技術支援，耗時也更長。

非 Windows 環境也一直選擇部署 LDAP 目錄伺服器，也已經将其擴充到雲。隻是從長期運維管理的角度來看，LDAP 目錄伺服器成本太高，而且不支援規劃 LDAP 基礎設施的規模和備援，這些對于管理者來說都是緻命缺點。此外，LDAP 和 AD 一樣都受到跨雲網絡複雜性的影響，可能存在安全問題。

4. 現代化雲目錄服務DaaS

從上述三種方案中可以看出，雖然每種方案都有其作用，但使用者管理始終都沒有很好地和雲技術融合。對于尋求高效和安全基礎設施的企業來說，這些顯然不是理想的解決方案。基于雲架構的雲目錄服務 DaaS 可對接企業内部 AD/LDAP 目錄，進而有效管理網絡，減少人為錯誤，簡化管理問題。

以雲目錄 DaaS 作為橋梁将本地 AD 或 LDAP 使用者存儲連接配接到雲基礎架構，再通過内部使用者存儲中的輕量級代理将使用者同步到雲目錄 DaaS。使用者資訊的更改也都在内部目錄中統一處理，通過雲目錄 DaaS 傳遞到各伺服器。這種方法的好處是簡單安全，可用性高，但前提是企業已經習慣了雲基礎架構。

在部署雲目錄的初始階段，企業可以将伺服器指向 LDAP 伺服器進行身份驗證或安裝代理，兩種方法都具有多級備援的高度安全性和可靠性。此外 DaaS 雲目錄還可以幫助企業統一管理使用者身份，支援單點登入（SSO）、雙因子認證（MFA）等身份和通路管理工具，并提供不同系統的裝置管理。