开放目录是一个包含身份、设备、资源、连接和事件的现代化云端导向(cloud-forward)的目录,旨在无缝地集中管理 IT 环境中的任何资源。它被特地设计为支持不同的协议、操作系统、应用程序、IdP以及其他 IT 管理和安全的基础设施,以便企业内无论有什么技术都能进行管理。
要理解开放目录的重要性和必要性,就需要了解其背景。现代工作场所有了很大演变,不再是只有实体办公室(没有远程工作)、基于本地设施和资源以及以 Windows 设备和微软产品为中心展开的同质化 IT 环境。
今天,许多办公室是线下办公和远程办公混合并存的,甚至是完全远程的,员工使用各种资源(基于云的和本地的)来完成工作。问题是,企业/组织难以跟踪和证明所有这些不同工具的成本,许多 IT 专业人员发现问题实际上根源于他们的传统目录服务。这是因为,由于在现代IT环境中发现的技术、设备和资源的多样性,传统的目录服务再也无法充分地减轻IT部门和预算的负担。
开放目录与传统目录的区别
传统上,本地化部署的微软活动目录(AD)是大多数企业 IT 环境的中心。它是围绕微软产品构建的,仅用于 Windows 设备和其他微软资源,这些资源都占据主导地位,基本上是当时唯一的 IT 基础设施和设备选项。由于这些限制,AD 并不被看作是一个开放的目录服务,但它仍被广泛使用,并将许多企业锁定在一个非常不灵活的系统和基础设施设置里。
虽然这种设置对一些企业有效,但对于许多其他企业,特别是云端导向的现代企业以及那些渴望实现这一目标的企业,AD 并不是一个可行的解决方案。这是因为许多企业使用非 Windows 设备(通常是 Mac 和 Linux)以及基于云的应用系统和其他云端导向的资源。此外,许多企业允许混合办公或完全远程工作,这意味着他们需要管理和保护遍布全球的员工。而且,对于许多企业而言,与 AD 和本地化基础设施相关的成本过于昂贵而不在考虑范围内,企业只能寻找更好的目录解决方案。
开放目录的必要性
现代工作场所使用的 IT 资源需要与其他工具良好连接,不带偏见地赋予员工在任何地点或设备选择下的生产力,同时最终保持具有成本效益。
因此,为满足这些需求,开放目录的概念应运而生。开放目录不会将企业锁定在单个提供商、平台、位置、设备类型或其他任何东西中。相反,它允许企业选择他们自己喜欢的工具和操作系统,并通过核心目录将它们连接在一起。与其拥有一个封闭的本地目录作为基础设施中心,强制你只能使用其他 IT 工具和设备中的某些,一个开放的目录可以单独作为基础设施中心,或与现有目录结合使用,具体取决于你当前的设置。
前一种选项允许你创建一个现代化的基于云的基础设施,你的 IT 基础设施可以建立在其之上。后一种选项更适合具有现有 IT 基础设施的企业,包括 AD 或 Google 中的现有目录。使用后一种选项,将开放目录添加到混合目录中将允许你选择身份的真实来源(现有目录或新的开放目录),然后身份将通过开放目录流转到所有其他连接的资源。
这将使你的 IT 基础设施未雨绸缪,具备可扩展性,变得更具适应性,因为开放目录将随着其他资源的演变而发展,而传统目录则不会。
开放目录要求
为了真正了解什么是开放目录以及它的工作原理,让我们仔细介绍一下一个目录被认为是“开放”的主要要求。
灵活和开放
首先,开放目录需要非常灵活和开放。以下是一些示例,开放目录需要支持和(或)允许使用:
● 各种协议(如 LDAP、SAML、OIDC 等)。
● 混合资源提供商(企业微信、飞书、钉钉、Microsoft 365(Azure AD)、Google Workspace、AWS 等)。
● 跨操作系统和个人设备(Windows、Mac、Linux、Android 等)。
● 远程/混合工作。
● 所有身份,无论它们在哪里创建或存储。
这个列表并非详尽无遗,但它确实包含了一些开放目录最重要的方面。无论企业如何工作,或你现在、将来选择使用什么资源和设备,开放目录都需要在各个方面非常灵活,以满足你的需求。
除此之外,一个开放的目录还需要能够保护其中管理的身份、访问和设备的安全性,同时集中和简化 IT 部门的日常活动。安全性和用户体验不能以灵活性为代价牺牲,相反,应该通过使用现代化的开放目录来增强它们。
广泛的内置功能
开放目录的另一个要求是具备广泛的本地能力,超越基本的身份、访问和设备管理。这些能力应该提供先进的身份生命周期管理和自动化能力,以及涉及安全、报告、合规等领域的功能。
这样可以减少企业需要使用的不同工具的数量,降低总拥有成本(TCO),统一 IT 管理,使 IT 管理员的工作更加轻松,无论你的基础架构如何设置,都能确保企业始终保持安全和合规。这是开放目录的一个重要方面,因为尽管开放目录可以集成你的所有资源,但它内置的功能可以帮助你避免 IT 扩张。随着时间推移,这可能会成为 IT 长期面临的重大安全问题和时间浪费。
云端优先
最后,开放目录的第三个要求是云端导向;全球60%的企业数据存储在云中。云不会消失,开放目录需要拥抱、支持云和本地资源,以便有效地工作,而不需要任何本地基础设施才能正常工作。如果目录不是云端导向的,它就不能被认为是“开放的”,因为有许多基于云的资源需要连接到你的目录,以实现全面的IT控制。
开放目录的好处
开放目录带来了许多好处,包括我们已经讨论过的。包含连接任何技术并与任何设备一起使用的灵活性,广泛的内置功能可以减少许多单点解决方案的需求,以及它的云端导向使得你的 IT 基础设施能够立即现代化。
这些都非常重要,但是开放目录的更多好处可能不太明显。开放目录可以创建一个面向未来的 IT 基础架构,比传统目录更具成本效益,简化了 IT 管理,并将安全性和合规性统一在一个界面下。接下来让我们深入了解每个方面的细节。
● 前瞻性
开放目录是未来最可靠的选择。如果位于 IT 生态系统中心的目录建立了连接并与你选择的任何其他资源、设备或网络一起工作,那么无论你将来选择添加哪些工具或操作系统,都能成功运行。
与锁定在本地微软生态系统中使用 AD 不同,开放目录使企业能够使用适合自己的工具,而不必担心使用不兼容或无法连接的工具创建混乱的 IT 环境。随着每一波新技术的不断涌现,确保 IT 团队无须处理这个问题是非常重要的。
● 成本效益
开放目录的另一个好处是,它比像 AD 这样的传统目录的性价比要高得多。这是由于借助云端导向的开放目录解决方案,包括各种本地身份、访问和设备管理功能,可以消除本地基础设施和许多单点解决方案的需求。
因此,通过现代目录解决方案,你可以省去购买和维护本地目录服务所需的硬件成本,以及与维护、能源、冗余、弹性和升级相关的成本,这些成本很快就会增加。
除此之外,需要添加到 AD 之上以创建更完整的 IT 管理解决方案的附加组件,如身份桥接、Web 应用程序单点登录(SSO)提供商等,在实施开放目录时均不需要,因为它们都是内置的功能。
● 简化IT管理
开放目录模型的另一个关键好处是,它允许你保持 IT 部门精简,因为在具有全面身份和访问管理(IAM)功能的单一窗口中管理 IT 环境意味着 IT 的手动工作更少。这不仅降低了雇用和培训更多员工的成本,而且使现有的 IT 管理员的日常工作更加轻松和高效。
例如,与其让 IT 和 HR 在新员工入职时来回沟通,使用轻松连接到 HR 首选的 HRIS 系统的开放目录可以简化入职流程并增强安全性。当员工更改角色(调岗)或离职时,这种优势仍然存在——使用良好集成的工具,在一个平台上进行的身份和访问更改将在开放目录和所有其他连接的资源中得到反映,确保所有用户始终具有正确的访问权限。
采用开放目录,IT 可以通过一个单一的工具监控、管理和控制几乎所有内容,相比使用传统的封闭目录,上面堆叠了许多不相关的工具,极大地简化了他们的日常工作。
● 统一安全性和合规性
开放目录的最后一个好处是它如何统一安全性和合规性。这是由于目录本身具有的广泛功能,例如多因素身份验证(MFA)、SSO单点登录、报告等,以及对企业内所有身份、访问和设备的集中完整控制。
采用开放目录,IT 可以将注意力集中在一个单一窗口上,从而可以查看和管理他们需要的一切,以保护企业资源和 IT 环境的安全。当 IT 可以找到并保存需要达到、证明和维护各种标准的几乎所有信息时,开放目录所带来的细粒度控制极大地简化了合规性监控。
NingDS的开放目录
NingDS 身份目录云遵循着开放目录的浪潮。NingDS 的开放目录平台使你可以以一种经济高效的方式统一管理你的技术堆栈,包括身份、访问和设备管理,而不牺牲安全性和功能性。