在《LDAP 之后是基于云的 LDAP(上)》中已经介绍了 LDAP 的基本概念、运行原理以及传统用例。本期将继续深入探讨 LDAP 协议面临的挑战、解决方案以及基于云的 LDAP 在现代 IT 架构中的作用。
1. LDAP 管理的主要问题
1)目录管理问题
开源目录的安装和配置并非易事。目录需要工作台、服务器、应用、数据库、网络设备、存储系统等连接。企业如果要用 LDAP 连接所有类型的 IT 资源就会面临问题,很多资源都需要在服务器和客户端进行大量配置。此外,妥善管理用户和组也很耗时,而且 LDAP 具有极大的灵活性,因此在设置和配置时可能会很困难,OpenLDAP 就更是如此。
另一个关键问题是,无论 LDAP 是托管在本地、企业数据中心还是云服务器,都需要管理 LDAP 的正常运行时间、安全性、实时监测等,往往需要部署额外的设备和软件,成本和管理时间都会大幅增加。因此,尽管企业通常认为部署 LDAP 几乎没有成本,但部署过程中的总拥有成本却是一笔不小的数目。
同样,LDAP 可能是 AD 的原生功能之一,但企业不得不承担所有其他的相关成本,包括硬件、软件许可以及保护目录服务安全可用的所有必要技术。
2)混合环境
管理跨系统 IT 环境(混合环境)对于任何 IT 专业人员来说都是一项不小的挑战。上一节提到,微软 AD 非常适合 Windows 设备。基于 Linux 的 LDAP 服务器则非常适合 Linux 设备。但是,由于 Mac 设备很难通过 LDAP 协议进行管理,也就无法使用 AD。
LDAP 在设备管理方面的限制也算众所周知的事实。在身份验证和授权上,可以通过大量配置将设备连接到 LDAP,但管理设备本质上并不属于 LDAP 的功能。而云计算时代下,企业目录解决方案需要能够同时管理系统以及用户对系统的访问,确保访问安全顺畅。因此,LDAP 在这一方面的局限性也是企业不得不考虑的。
3)网站和 SaaS 解决方案
进入云计算时代后,软件即服务(SaaS)越来越受企业欢迎。SaaS 服务不再只是以网站的形式提供,还扩展到移动应用和桌面客户端,成为用户使用和访问公司数据和资源的一站式解决方案。LDAP 通常不适用于 Web 应用,这类应用更多使用其他身份验证协议,如 SAML 和 OAuth。LDAP 和 SaaS 应用的脱节也会导致用户的使用复杂化。
2. 使用基于云的 LDAP 解决现代业务挑战
一方面越来越多的企业将业务上云,另一方面传统 LDAP 目录面临的挑战也随之增加。企业需要将远程设备用户和本地设备用户同时连接到云应用、VPN、网络、本地存储等资源。基于云的 LDAP 正是为了解决这些问题而开发的现代化目录协议。
与传统 LDAP 相比,基于云的 LDAP 在托管的 LDAP 云服务器上运行。IT 资源也不是与企业本地 LDAP 服务器通信的客户端,而是指向托管的 LDAP 云服务器。因此,基于云的 LDAP 能帮助企业更加灵活地开展数字化转型和业务上云计划,同时保障遗留应用、存储系统、网络设备等资源的管理。
此外,基于云的 LDAP 也减轻了安装、配置和管理目录服务器的负担,企业不必再担心目录的安全性、可用性、负载平衡等,还可以根据需求对目录功能进行增减,性价比更高。
3. 基于云的 LDAP 有哪些优势?
基于云的 LDAP 提供了安全、性能、合规等优势:
- 厂商负责软件和服务器安全,包括补丁和更新。专业安全团队负责漏洞查找和修复以及渗透测试,以满足企业合规要求。
- 企业无需自建 LDAP 架构,只需花费小部分成本订阅基于云的 LDAP 服务,就能利用最新硬件以及地理位置确保快速响应。
- 基于云的 LDAP 服务支持实时备份,数据无论是否在运行一律加密。
- 企业和主打安全的厂商合作可以使合规变得更容易(定期确认厂商的安全和合规策略,选择符合企业要求的厂商)。
- 基于云的 LDAP 服务改进了 IT 实施体验,无需设置实体服务器,节省了每台服务器的运行时间。
- 即用即付的订阅模式无需维护硬件,降低了成本。
- 访问不受位置限制。
- 可扩展,无需任何额外安装或配置。
- 无需为服务器申请软件许可证。
- 使 IT 部门从安装、配置和设置新数据库以及管理安全补丁和更新中解放出来,专注其他重要项目。
4. 云托管 LDAP:推进 LDAP 现代化
尽管很多厂商都提供基于云的 LDAP 服务,但企业需要考虑各厂商是否能全面满足企业的身份和访问管理需求。企业在评估此类需求时,可以参考以下问题:
- 当前 IT 环境中哪些资源(应用和服务器)需要 LDAP?
- 现有的 LDAP 绑定是否安全?还需要支持哪些资源和协议(SAML, RADIUS...)?
- 是否有全面的解决方案,不仅满足 LDAP 需求,还可以满足身份联合和系统管理等其他 IT 需求?
基于云的 LDAP 帮助企业高效管理云环境和混合环境中的目录服务,节省了时间和费用,同时为企业数据提供可靠的访问控制,保障 IT 资源安全。
如果企业存在部分需求超出基于云的 LDAP 功能范围,如管理基于 SAML 的应用、基于 RADIUS 的网络或系统,企业可以尝试适合自身 IT 环境的全套云目录服务。