隨著全球互聯(lián)網(wǎng)和數(shù)字化浪潮的不斷發(fā)展，信息安全已成為不可忽視的問題，并隨著日益復(fù)雜的國內(nèi)外市場格局，其重要性更加凸顯。我國政府也相繼印發(fā)和實(shí)施了《數(shù)字中國建設(shè)整體布局規(guī)劃》、《全國一體化大數(shù)據(jù)體系建設(shè)指南》等一系列政策，將核心技術(shù)自主可控、安全可靠作為維護(hù)信息安全的發(fā)展目標(biāo)。

這些文件及政策是對指導(dǎo)未來信息安全建設(shè)的綱領(lǐng)性文件，對我國信息安全建設(shè)具有重要意義，對國內(nèi)的軟硬件開發(fā)企業(yè)也將產(chǎn)生深遠(yuǎn)的影響?！稊?shù)字中國建設(shè)整體布局規(guī)劃》中指出，要構(gòu)筑自立自強(qiáng)的數(shù)字技術(shù)創(chuàng)新體系和筑牢可信可控的數(shù)字安全屏障，強(qiáng)化企業(yè)科技創(chuàng)新主體地位，增強(qiáng)數(shù)據(jù)安全保障能力?！度珖惑w化大數(shù)據(jù)體系建設(shè)指南》中提出，要從管理制度到技術(shù)能力實(shí)現(xiàn)一體化，建立健全面向數(shù)據(jù)的信息安全技術(shù)保障體系。在政策的指引下，國內(nèi)企業(yè)積極推進(jìn)國產(chǎn)化替代進(jìn)程，不斷增強(qiáng)信息安全能力。

如今的數(shù)字化時(shí)代，用戶身份信息已成為各類應(yīng)用和服務(wù)的核心數(shù)據(jù)，需要企業(yè)嚴(yán)格地保護(hù)和管理。身份領(lǐng)域軟件涉及身份認(rèn)證、權(quán)限管理等重要業(yè)務(wù)，在保護(hù)用戶身份信息方面起著至關(guān)重要的作用，是企業(yè)保障信息安全的第一道屏障。因此，實(shí)現(xiàn)身份領(lǐng)域軟件國產(chǎn)化不僅具有基礎(chǔ)軟件自主可控的重要意義，更是保護(hù)企業(yè)用戶數(shù)據(jù)，維護(hù)信息安全的重要措施。

不過，身份領(lǐng)域軟件國產(chǎn)化替代是一個(gè)大工程，不是一蹴而就的事。軟件的可靠性、舊應(yīng)用的兼容性、用戶的體驗(yàn)差異、未來架構(gòu)的適配等都是企業(yè)進(jìn)行國產(chǎn)化替代的挑戰(zhàn)。對于企業(yè)需要兼顧現(xiàn)在和未來的國產(chǎn)化替代訴求，Authing 作為新一代場景身份云，提出了逐漸過渡、用戶無感知的國產(chǎn)化替代解決方案。

01.輕松替代微軟 AD

在身份領(lǐng)域軟件國產(chǎn)化替代之前，企業(yè)多以 Microsoft Active Directory（微軟 AD）提供的本地化用戶目錄管理服務(wù)，管理著身份、應(yīng)用和終端三個(gè)方面的資源。據(jù)統(tǒng)計(jì)，全球約有 90% 的企業(yè)使用 AD 作為內(nèi)部基于目錄的身份服務(wù)平臺。

在應(yīng)用云化、SaaS 化、以及國產(chǎn)化替代趨勢下，采用 LDAP（輕型目錄訪問協(xié)議）、DNS（域名系統(tǒng)）和 Kerberos 認(rèn)證協(xié)議的微軟 AD 只能做域內(nèi)的權(quán)限控制，有限的“云服務(wù)”對接能力，也讓其與各個(gè)應(yīng)用打通集成更加困難。

而且，企業(yè)依賴微軟 AD 為所有業(yè)務(wù)的登錄核心服務(wù)器，微軟 AD 服務(wù)器與業(yè)務(wù)系統(tǒng)這樣高耦合的應(yīng)用場景，也讓其在保護(hù)企業(yè)用戶數(shù)據(jù)，維護(hù)信息安全的防范上，埋下牽一發(fā)而動全身的安全隱患，進(jìn)而影響企業(yè)業(yè)務(wù)。

根據(jù)以上的對比分析，企業(yè)無論是借力行業(yè)趨勢持續(xù)發(fā)展，還是更新信息安全防范策略，替換微軟 AD 都已迫在眉睫。針對企業(yè)這些訴求，Authing 提出了“升級”微軟 AD 的解決方案。

企業(yè)現(xiàn)有微軟 AD 用戶導(dǎo)入 Authing IDaaS目錄服務(wù)。在微軟 AD 域成員服務(wù)器上安裝 Authing AD Connector 組件，通過此組件連 Authing，轉(zhuǎn)發(fā)身份認(rèn)證請求給 AD、并返回授權(quán)，讓企業(yè)仍能基于微軟 AD 的組織數(shù)據(jù)作為身份源。

用Authing IDaaS擴(kuò)展微軟 AD。Authing 支持 LDAP 、RADIUS、OIDC、SMAL、OAuth2.0、CAS 等協(xié)議，以及預(yù)集成 2000+常用軟件應(yīng)用，使用微軟 AD 的企業(yè)無需完全的遷移和重構(gòu)，就能借助 Authing 擴(kuò)展身份認(rèn)證和身份管理能力，快速實(shí)現(xiàn)單點(diǎn)登錄。

過渡期進(jìn)行身份惰性遷移，實(shí)現(xiàn)微軟 AD 解耦。企業(yè)用戶認(rèn)證成功的同時(shí)，用戶的賬號和密碼將被保存到 Authing IDaaS 目錄服務(wù)，對身份進(jìn)行惰性遷移。在惰性遷移成功后，企業(yè)可選擇更換身份源，即完成對微軟 AD 的解耦。

簡單來說，就是初期兼容舊應(yīng)用，未來適配新架構(gòu)；平滑過渡無感知，用戶體驗(yàn)無差別。通過 Authing 解決方案，企業(yè)可以輕松解決所有與微軟 AD 相關(guān)應(yīng)用軟件的賬號同步和認(rèn)證問題，實(shí)現(xiàn)身份領(lǐng)域軟件國產(chǎn)化替代。

02.基于信任體系的零信任架構(gòu)

國產(chǎn)化替代不僅僅是在應(yīng)用層面的取代，也涵蓋了芯片、操作系統(tǒng)層面的探索實(shí)踐。面對企業(yè)基于國產(chǎn)芯片、國產(chǎn)操作系統(tǒng)而開發(fā)的眾多 B/S 端國產(chǎn)化應(yīng)用帶來的諸多挑戰(zhàn)，Authing 的能力和價(jià)值也不僅局限于替代微軟 AD 進(jìn)行賬號管理。對于如何實(shí)現(xiàn)賬號的統(tǒng)一管理、如何建立設(shè)備的信任關(guān)系、如何保證業(yè)務(wù)訪問安全、以及如何保護(hù)用戶數(shù)據(jù)安全等，Authing 也已經(jīng)做出了響應(yīng)。

Authing 以數(shù)字身份為信任基石，參照零信任體系架構(gòu)的最佳實(shí)踐，構(gòu)建了用戶可信、設(shè)備可信、流量可信、應(yīng)用可信的端到端可信鏈。通過統(tǒng)一身份管理與訪問控制、軟件定義邊界組件、風(fēng)險(xiǎn)管理系統(tǒng)三大核心技術(shù)做支撐，為企業(yè)應(yīng)用帶來以身份為核心、業(yè)務(wù)安全訪問、持續(xù)信任評估、動態(tài)訪問控制四大關(guān)鍵能力。

目前，Authing 已助力高教社、復(fù)星集團(tuán)等客戶，穩(wěn)定運(yùn)行在阿里云、華為云、騰訊云、金山云、金蝶管易云國產(chǎn)云平臺上。同時(shí)，Authing 也已在國產(chǎn)芯片、國產(chǎn)操作系統(tǒng)、國產(chǎn)數(shù)據(jù)庫、國產(chǎn)中間件上進(jìn)行了廣泛的驗(yàn)證和適配，此外，Authing 還具備國家密碼管理局商用密碼檢測中心頒發(fā)的《商用密碼產(chǎn)品認(rèn)證證書》，支持使用國密 SM1、SM2、SM3、SM4 等加密方式，為國產(chǎn)化替代提供全面的身份管理

03.最佳實(shí)踐案例：解耦微軟 AD，強(qiáng)化身份管理

國內(nèi)某龍頭 IDM 芯片企業(yè)內(nèi)部員工超過 20000 人，使用 500+ 款應(yīng)用，內(nèi)部基于微軟 AD 進(jìn)行統(tǒng)一身份管理。該企業(yè)致力于動態(tài)隨機(jī)存取存儲芯片 DRAM 的設(shè)計(jì)、研發(fā)、生產(chǎn)和銷售，擁有生產(chǎn)制造車間和眾多高精度制造設(shè)備?，F(xiàn)階段微軟 AD 不僅要管理生產(chǎn)制造車間的設(shè)備，還要管理辦公區(qū)的設(shè)備，以及員工身份信息。

需求挑戰(zhàn)

• 企業(yè)生產(chǎn)和辦公共用一個(gè)微軟 AD，AD 域參雜機(jī)器、員工等多種信息目錄，存在出現(xiàn)問題相互影響的安全隱患和維護(hù)風(fēng)險(xiǎn)。

• AD 域不夠靈活，且操作配置復(fù)雜，普通的人事調(diào)動會產(chǎn)生大量的運(yùn)維工作。

• 企業(yè)仍處于高速發(fā)展階段，隨著接入應(yīng)用數(shù)量的增加，身份管理將成為未來的發(fā)展瓶頸。

解決方案

為了幫助該企業(yè)解決上述問題，Authing 基于事件驅(qū)動的云原生身份自動化管理平臺提供了針對性的解決方案：

• 解耦 AD，讓 AD 管設(shè)備、Authing 管身份

通過 Authing 同步中心，實(shí)現(xiàn)微軟 AD A、微軟 AD B 雙域克隆，使生產(chǎn)制造區(qū)、安全辦公區(qū)平穩(wěn)切換，達(dá)到賬號、用戶組等信息保持一致——讓 AD 域?qū)Ｗ⒂诠芾碓O(shè)備、與業(yè)務(wù)解耦。

同時(shí)，再以 HR 軟件作為身份源，以 Authing 為統(tǒng)一身份認(rèn)證管理平臺，把身份供給至下游 AD，建立統(tǒng)一的賬號管理體系，“無痛”剝離人員賬號管理。

與傳統(tǒng) AD 域不同的是，以 Authing 作為管理平臺，能夠?qū)崿F(xiàn)對員工賬號的全生命周期管理，從創(chuàng)建、轉(zhuǎn)移、權(quán)限、銷毀等階段，支持一鍵開/關(guān)權(quán)限，大大減少 IT 重復(fù)操作的工作量。

• 巧用API，讓 IT 省時(shí)、企業(yè)省錢

Authing 支持多種 API/SDK 提供 IT 人員自由調(diào)用，只要基于標(biāo)準(zhǔn)化協(xié)議，即可迅速完成現(xiàn)有應(yīng)用及未來新應(yīng)用的配置，無懼 B/S，C/S 結(jié)構(gòu)及多終端認(rèn)證方式。比起以接入的應(yīng)用計(jì)算價(jià)格、分別開發(fā)，搭配開發(fā)文檔使用 API 不僅學(xué)習(xí)成本低，還能在集成所有系統(tǒng)時(shí)達(dá)到統(tǒng)一復(fù)用、一勞永逸。