衆所周知,“信創”的内容和目标是在核心晶片、基礎硬體、基礎軟體(作業系統、中間件、資料伺服器)等領域實作國産替代。随着新基建理念的推出,“信創”的内容又得到了進一步的擴充。事實上,随着雲計算、人工智能、物聯網等新興資訊技術的的日益深入應用,安全這一名額已經越來越為企業所重視,這其中既包含資料的安全,也包含應用持續性的安全。其中身份管理既屬于基礎軟體又屬于安全範疇,是必不可少的IT基礎設施。是以,從政策層面來看,身份管理也面臨重建。
目前身份管理基礎設施以微軟身份目錄服務AD為核心,部署在Windows Server中,管理着身份、應用、終端三個層面的資源。
- 身份層面,企業員工身份資訊儲存在AD,并基于AD域身份登入終端裝置;
- 應用層面,基于AD域身份資訊登入企業業務系統;
- 終端層面,合規終端需要加入AD域進行統一管理,主要指Windows桌面。
傳統IT架構以Windows+Intel架構向自主可控架構演進
而信創體系下的IT環境則是由飛騰、龍芯等國産晶片構成的PC作業系統(統信、麒麟等)以及搭載國産身份目錄的Linux伺服器等設施構成。新的IT架構下,作業系統、終端、伺服器均需重建,身份目錄在這一環境下同樣面臨着重建。
政府、軍隊、金融、教育、醫療等信建立設重點行業,預計将涉及到數十萬個機關需重構身份目錄服務。
身份目錄服務重構的兩個主要技術原因
(1)AD對國産化伺服器及終端相容性問題
AD無法安裝在Linux環境中,以及無法對國産作業系統(統信、麒麟等)相容。
微軟AD在信創體系下無法适配相容
(2)信創身份目錄既要相容微軟體系又要滿足信創體系
- 微軟在日常辦公中仍發揮着重要作用,對于微軟AD及應用相容應優先解決。
- 信創體系下建構身份目錄基礎設施不能照搬AD,其設計背景在區域網路環境。新的身份管理面臨的環境更複雜,除傳統作業系統PC終端,還有不斷湧入企業的BYOD、IoT終端,無線網絡,雲技術及非LDAP協定的各類應用等,都對身份目錄提出新要求。
以中立和開放為核心,增強廠商和客戶信任
在建構新身份目錄基礎設施時,勢必要通盤考慮産業生态的開放性與适配性。要提高産業鍊上下遊相關産品的相容适配能力,則采用中立的第三方身份管理基礎設施是信創體系身份管理建設的主要方向之一。
信創身份目錄既要相容微軟體系,也需要滿足信創體系
針對信創體系設計的國産目錄服務NDS
國産身份目錄服務(Ningdun Directory Service,簡稱NDS)是由甯盾研發的一款專門面向信創場景的身份管理産品,通過它實作對信創環境下身份、應用、終端三個層面的資源管理以及既有AD體系相容管理,包括:
- 身份層面,企業員工身份資訊儲存在NDS中;
- 應用層面,基于NDS域身份資訊登入企業業務系統、針對LDAP,NDS相容AD的Schema,應用遷移認證到NDS無需單獨定制或改造,隻需要簡單修改配置就可實作LDAP認證互動,另外提供SAML、OAUTH2.0、Cas、Radius等協定為雲、SaaS、網絡提供相容;
- 終端層面,合規終端需要加入NDS進行統一管理,不僅限于國産桌面終端、BYOD、IOT等泛終端均支援統一接入管理;
- 身份安全:内置MFA能力,降低弱密碼導緻的身份風險,提升整體身份安全水準;
- 相容AD,確定既有架構正常運作。
NDS完全相容AD,意味着當應用直接使用或替換成NDS時,無需單獨定制或改造,隻需簡單修改配置即可實作LDAP認證互動,大大降低重複開發和對接的成本。
NDS核心功能
- 内置MFA能力,降低身份風險
支援國密SM3算法,硬體令牌、手機app令牌、企業微信掃碼快捷認證等。
- 國産作業系統統一登入管理
甯盾目錄服務NDS能增強AD在弱密碼治理及泛終端管理能力,提供對統信、麒麟等國産作業系統的統一登入管理。
- 既相容AD,亦實作對主流協定業務系統無縫對接
以往企業内的使用者身份資訊儲存在AD上,使用者基于AD域身份資訊登入終端裝置及企業業務系統。當AD無法支援國産作業系統、業務系統時,NDS的良好相容性讓企業作業系統與業務系統能無縫對接NDS,實作無感覺過渡。
- 終端準入管理
網絡準入是基礎網絡身份安全能力,在微軟架構下,NPS負責網絡政策服務。甯盾目錄服務NDS内置網絡準入能力,支援員工、訪客等不同使用者的Portal、802.1x認證方式。其中Portal認證方式靈活多樣,适用不同角色使用者。802.1x認證相容AD,可複用作業系統自帶的802.1x用戶端。
除此之外,NDS提供進階元件,用于增強對Windows、Mac、Linux等作業系統終端合規性以及BYOD、IoT管理。
NDS信創場景應用示例
- 政務、金融等信創客戶統一登入管理作業系統場景
登入麒麟作業系統
登入統信作業系統
國産作業系統率先在政務、金融領域使用,當員工在登入國産作業系統時,甯盾目錄伺服器可基于LDAP目錄結構儲存使用者身份資料,提供統一的目錄使用者認證。
- 業務系統統一登入管理場景
業務系統無感覺對接NDS。以JIRA應用為例,在甯盾目錄服務中添加使用者後,到JIRA背景配置甯盾目錄伺服器,與配置AD方式相同,導入甯盾目錄服務中的使用者後即配置成功。
- 黨政辦終端準入控制場景
通過納管多種類型系統、終端,以加入域的終端為合規條件實施政策管控,提高企業内網終端合規率,提升企業内網安全。
NDS應用價值
- 能夠為國産作業系統提供統一登入管理
- 能夠為企業提供國産目錄服務
- 能夠實作BYOD、IoT泛終端準入認證
- 能夠幫助部署了微軟AD的企業更好地落地信創體系
- 能夠幫助企業無縫對接信創目錄業務系統
後記:技術生态建設
更多應用對接及相容适配,是推進信創産業能夠快速落地的核心。是以,身份目錄的後續工作目标是不斷豐富與信創生态系統下基礎硬體、基礎軟體、應用軟體的相容,幫助信創客戶落地身份管理,充分發揮各系統關聯的價值。