LDAP(Lightweight Directory Access Protocol)即輕量目錄訪問(wèn)協(xié)議�,是一個(gè)開(kāi)放�、廣泛被使用的工業(yè)標(biāo)準(zhǔn)(IEFT、RFC)����,在1993年就被提出。企業(yè)級(jí)軟件也通常具備"支持LDAP"的功能���,比如Jira, Confluence, openVPN等����,企業(yè)也經(jīng)常采用LDAP服務(wù)器來(lái)作為企業(yè)的認(rèn)證源和數(shù)據(jù)源��。但是大家比較常見(jiàn)的認(rèn)識(shí)誤區(qū)是�,可以使用LDAP來(lái)實(shí)現(xiàn)SSO���。我們可以先分析一下它的主要功能點(diǎn)或場(chǎng)景:
當(dāng)LDAP作為數(shù)據(jù)源時(shí)����,對(duì)外通過(guò)LDAP Search以及LDAP Modify協(xié)議來(lái)進(jìn)行數(shù)據(jù)同步;當(dāng)作為認(rèn)證源時(shí)��,通過(guò)LDAP Bind協(xié)議來(lái)進(jìn)行身份認(rèn)證�。
但是SSO的定義是單次登錄(或者只輸入一次賬號(hào)密碼)就可以訪問(wèn)多個(gè)應(yīng)用,本質(zhì)上是B/S架構(gòu)的���,也就是說(shuō)需要借助瀏覽器才能實(shí)現(xiàn)SSO功能�,而LDAP更適合于C/S架構(gòu)的登陸���,通過(guò)LDAP其實(shí)并不能做到SSO��,用戶必須還得再次輸入密碼. LDAP只是提供了統(tǒng)一管理用戶/密碼的功能(即認(rèn)證源)���。
所以,LDAP看似適用性比較廣����,但它真的適合每個(gè)企業(yè)嗎�����?企業(yè)需要先思考幾個(gè)問(wèn)題:
使用的應(yīng)用或系統(tǒng)是否以C/S架構(gòu)為主���?
用LDAP還是其他SSO系統(tǒng),得取決于對(duì)接的應(yīng)用是B/S架構(gòu)的還是C/S架構(gòu)的��。比如像OpenVPN這種C/S架構(gòu)�����,它本身的登陸是沒(méi)有瀏覽器的����,所以無(wú)法通過(guò)SSO協(xié)議對(duì)接(玉符自己用的VPN、SSH��、Wifi等對(duì)接的就是LDAP擴(kuò)展)�。因?yàn)長(zhǎng)DAP是上一個(gè)時(shí)代的產(chǎn)物,針對(duì)典型的C/S軟件架構(gòu)��,發(fā)明初衷就沒(méi)有SSO的概念�,而是為了存儲(chǔ)有層級(jí)關(guān)系的目錄結(jié)構(gòu),基本不支持現(xiàn)在流行的B/S架構(gòu)���,需要用戶重復(fù)輸入密碼���。
準(zhǔn)備使用什么目錄去實(shí)現(xiàn)LDAP�?開(kāi)源的還是商業(yè)的
實(shí)現(xiàn)LDAP協(xié)議的服務(wù)器有多種選擇�����,例如Active Directory����,OpenLDAP����,Apache Directory Studio或者其他商業(yè)版服務(wù),如果存儲(chǔ)的信息量比較大或者對(duì)可用性與性能有更高要求��,那么是建議用商業(yè)版的�。
打算投入研發(fā)精力去開(kāi)發(fā)新功能嗎?
企業(yè)人員數(shù)量超過(guò)50后��,很多新的需求就會(huì)出現(xiàn)�����,例如員工自助密碼服務(wù)(Self-service Password)等,很多LDAP服務(wù)器是不自帶這些功能的�,都需要IT人員找到對(duì)應(yīng)解決方案和實(shí)現(xiàn)。
是否有專人去維護(hù)�?
企業(yè)快速增長(zhǎng)、組織結(jié)構(gòu)變動(dòng)��,都會(huì)帶來(lái)大量的維護(hù)工作量�,更不用說(shuō)這些服務(wù)器要的長(zhǎng)期維護(hù)升級(jí)工作。
對(duì)安全����、加密的需求?
LDAP發(fā)明的時(shí)候還沒(méi)有Token的概念��,在協(xié)議中需要客戶端傳輸明文密碼到服務(wù)器進(jìn)行驗(yàn)證���,對(duì)于現(xiàn)代化的企業(yè)部署環(huán)境來(lái)說(shuō)�����,是非常不安全的�。
此外����,合規(guī)�����、數(shù)據(jù)可視化等����,這些新的企業(yè)需求����,是LDAP難以達(dá)成的��。如果只是需要一個(gè)類似數(shù)據(jù)庫(kù)的多層級(jí)存儲(chǔ)服務(wù)����,LDAP則可以充分滿足。
作為專業(yè)的IDaaS(身份即服務(wù))提供商����,我們除了提供全種類SSO的對(duì)接,還完美支持LDAP的對(duì)接����,企業(yè)能夠根據(jù)服務(wù)的架構(gòu)類型(C/S或B/S)對(duì)接所有的應(yīng)用,員工只需要一套賬號(hào)密碼,即可訪問(wèn)所有應(yīng)用�����,不僅體驗(yàn)了極致的便利性���,同時(shí)兼顧了高安全性�����。我們提供的LDAP拓展功能(配置詳情見(jiàn)圖1)�,有以下特點(diǎn):
按99.99%的超高可用性和高性能進(jìn)行分布式設(shè)計(jì)�,免去企業(yè)大量的維護(hù)成本
默認(rèn)提供了安全加密的LDAPs(LDAPS = LDAP + TLS, 類似于 HTTPS = HTTP + TLS,加密網(wǎng)絡(luò)傳輸?shù)乃袃?nèi)容)����,大大提高驗(yàn)證過(guò)程的安全性
功能完整,支持員工自助密碼服務(wù)�、個(gè)人信息更新等
所有驗(yàn)證過(guò)程可追溯,可視化報(bào)表輸出等滿足企業(yè)各類合規(guī)要求
