國産化AD替代方案，助企業建構安全可靠的身份管理系統

随着國産化替代步伐加速，以及企業出于資訊安全建設的需要，越來越多的企業群組織開始考慮将現有的微軟 Active Directory（AD）替換為國産化的LDAP身份目錄服務（也稱統一身份認證和管理）系統。本文将介紹一種國産化AD替換解決方案，并通過真實案例說明，為企業、組織搭建信創場景下或純企業場景下的LDAP身份目錄服務提供參考和經驗借鑒。

微軟AD核心能力解讀

據統計，全球有超過 91% 的具規模企業将 Microsoft Active Directory （微軟AD）作為數字化身份的基礎底座。AD 在大型央國企尤其偏制造業、金融機構中也同樣是身份管理的最佳實踐，為 Windows 計算機、Exchange、雲桌面（如Citrix、VMware）、ERP、OA 等 IT 資源提供統一認證與管理。

在實際落地應用中，部分企業僅僅使用AD來存儲、管理組織架構和使用者身份資訊（賬号密碼），為LDAP應用提供身份認證和授權；還有一部分企業使用AD的組政策、檔案通路權限等來管理Windows計算機。AD作為身份管理的最佳實踐，功能十分強大，其中有6大核心功能是企業在尋找AD國産化替代方案時應該預先了解的資訊。它決定着後續産品選型及建設方向是否準确、清晰，以及投入成本的高低。

圖檔來源：甯盾

如上圖所示，微軟AD的核心能力主要可以分為6類。是以，在選擇國産化AD替換解決方案時，可以此為參考調研選型。

在介紹國産化AD方案時，我們将場景分為信創場景和企業場景兩種，以便企業根據自身情況自主選擇對應方案。

信創場景：國産化AD替代方案，須相容既有身份管理系統

相容性

AD替換不是一蹴而就的事，必須将業務可持續、AD管理可持續、供應商服務可持續置于前提。在選擇國産化AD替換方案時，相容既有的身份管理系統，如AD、IBM、Apache等是十分必要的。如此才能保證AD資料遷移足夠平滑、順利。

同時，國産化AD還需要相容國産異構化的IT基礎設施。信創/國産化改造的本質就是從國外辦公IT架構遷移到國産異構化的IT架構下，是以對底層國産晶片、作業系統、中間件、資料庫、應用、網絡、雲桌面等都需要進行适配相容。

圖檔來源：甯盾

在上圖中标明的國産辦公架構中，甯盾國産身份域管目前已成功适配麒麟、統信、中科方德、神州網信等作業系統，Coremail郵箱、企業微信、飛書、釘釘、華為WeLink、虛拟桌面（華為、深信服等）、網絡裝置等。

标準化

微軟AD覆寫了IT的整個基礎架構場景的身份認證和權限管理，從應用、網絡到終端、伺服器等，均通過标準協定、接口對接微軟AD。是以，在國産AD方案選型上，企業資訊安全負責人需要考慮的是标準化的替代方案，而非定制化的身份管理平台（類似于IAM），這兩者适用于不同的業務場景，可搭配結合使用，但IAM系統無法充當并替代AD的角色。

企業場景：AD國産化方案，建構企業統一身份管理中台

在成長型企業裡，大部分還未使用過微軟AD域或其他LDAP身份管理系統。當企業規模逐漸擴大，人員、應用系統、終端數量、網絡等均有極大增長時，在企業内建構标準化的統一身份管理體系對于辦公效率的提升、運維管理的提升都有很大幫助。

盡管微軟AD十分強大，但依然會面臨HW被打穿、漏洞等問題。是以，在考慮尋找類似于AD的國産化方案時，可參考甯盾統一身份中台方案。與微軟AD功能和使用體驗上均十分相似，可以幫助企業建立統一的身份标準，友善後期快速對接應用（LDAP應用及非LDAP應用）、網絡、VPN、VDI、終端等，除此之外，統一身份中台還增加了MFA多因子認證、SSO單點登入、自服務改密等子產品，既能滿足基礎需求，也能滿足企業的擴充需求。

統一身份中台更适合成長型企業的原因之一在于：它可以快速将企業現有的身份源同步過來，并同步供應給下遊應用系統。如企業内部使用了HR系統、或者飛書，統一身份中台可以将HR系統/飛書内部的組織架構和人員身份資訊同步到中台裡進行統一管理，此過程既可以實時進行，也可以手動進行。對于企業有多個分散管理的身份源而言，身份同步将極大減輕HR、IT管理工作。

圖檔來源：甯盾

以上是國産化AD替換方案的兩種場景。下面我們将列舉一些案例來幫助您了解的更透徹。

企業統一身份中台案例：某研究院，規模1000人

客戶背景：

客戶已經部署了某廠商的IAM身份管理系統，身份源來自于OA，但網絡産品、安防産品缺少身份源，急需一個可以統一身份的一體化産品。

面臨問題：

1. 使用者回報，使用者的安全、網絡産品、安防産品沒有身份源，和IAM對接非常麻煩，2. 不想折騰

3. 某廠商單點登入，據使用者回報不支援LDAP協定，無法對接LDAP協定應用，不利于業務拓展

4. 多套賬号運維，雖然一定範圍實作了SSO單點登入，但治标不治本，實際并沒有完成身份整合和統一

解決方案：

甯盾統一身份中台提供标準LDAP服務，并高度相容微軟AD。負責從OA同步賬戶，并實作下遊應用主要包括行為管理、桌面雲、零信任、網絡、IAM系統以及門禁的對接認證。