新建统一身份认证系统时，AD和国产身份域管怎么选？

数字化时代企业对于高效的LDAP统一身份认证系统的需求日益增长。当企业逐渐壮大到 500人 左右时会建设微软 AD 域，一些高科技企业甚至在刚发展到两三百人时就会搭建 AD。然而，企业要考虑的因素越来越多，如安全性、合规性、行业监管要求甚至国产化改造等，AD 是否还是最佳方案有待商榷。

企业有这些情况，不建议建AD

对于一些有一定规模但内部信息化系统管理不够规范的企业来说，有以下问题，不适合建 AD。

• 业务上云，多套账号体系独立管理，数据无法打通流转；

• 业务转型，系统基于非标准化接口，接管方式不标准；

• 安全合规驱动，如存在弱口令、账号共享等问题，无法加强认证；

• 老旧电脑、应用无法接入AD；

• 采用未经授权或许可的Windows操作系统，面临版权问题；

• 采用home版Windows 、CentOS等操作系统的，无法加AD域统一管理；

• 面临信息化系统国产化改造的，有Kylin、UOS、Ubuntu等操作系统的，无法统一管理。

以上情况导致 AD 不好用、没法用，企业需要一个更适用的解决方案的，更建议采用国产化身份域管方案。

国产化身份域管及其优势

国产化身份域管，可以简单概括为国产化 AD 域管方案。它在身份数据结构上与 AD 相同，有着相同的关键能力，如纳管应用、网络、Windows操作系统等资源的接入认证和管理。同时，它也有着 AD 不具备的能力，如内置的 MFA 多因素认证可开启多场景的身份增强鉴别，对Kylin/UOS操作系统和其他云应用的兼容性更强，对有线、无线网络开启身份验证等等，这些综合能力囊括了各类身份安全认证、管理场景，使得国产化身份域管更适合信息化建设不够规范的企业。

从整体方案来看，对比微软 AD，国产身份域管在兼容性、开放性、扩展性、安全性、经济性等方面具有独特优势。

• 系统与应用兼容性更强：不同于AD只纳管Windows系统，国产身份域管可以对Windows、麒麟、统信等多种类型的操作系统进行统一管理。在应用的接入认证上，云应用、国产应用也可以快速接入到国产域管进行身份验证。

• 上下游厂商生态开放：国产身份域管更具有开放性、多样性、中立性，基于标准协议与各类上下游厂商开展产品适配，使得域管能够随外部环境变化做出相应改变，具有更强竞争力和弹性。

• 内置多个可扩展能力：国产域管内置了LDAP、RADIUS、TACACS+、SSO、自服务等能力模块，补足了AD在双因素认证、无线网络认证、网络设备管理、自助修改密码等场景上的能力。

• 更安全的防护机制：国产域管产品拥有一套自研的安全保护机制，从域身份的安全存储到身份认证的安装传输，再到域控服务的安全部署，做到比微软AD域控更安全。

最佳实践案例

某高新技术企业 A 地新办公室仅有一套 HR 系统存储数百位员工的身份信息，其余应用系统（打印、研发、NAS、财务等）、无线网络以及办公电脑等均是独立创建账号密码，独立管理维护，用户变更均需管理员到每个系统内手动完成，操作十分繁琐，其问题根源是缺少统一管理和维护身份的 LDAP 系统。

解决方案：

• 搭建国产化身份域管：存储组织架构和员工身份信息，实现统一管理和维护；

• 账号生命周期管理：以 HR 系统内账号为主身份源，发布 LDAP 服务为下游业务系统提供统一身份认证和鉴权，并通过账号自动同步实现员工账号生命周期自动化管理，提高运维效率；

• 无线员工和访客入网认证：对接某主流品牌 AC（无线控制器），员工、访客入网时进行身份认证和访问权限控制，保障网络安全；

• 接管异构操作系统：对Windows、Kylin、UOS操作系统终端进行加域管理，提供统一认证和组策略管理等。

下图为该律所当前账号管理流程

使用模块

若该企业采用 AD，首先，无法确认 HR 系统是否能对接 AD；其次，无线网络需借助Windows Server NPS进行设置，流程较为复杂；最后，对于 Windows 操作系统以外的终端类型无法统一管理。宁盾国产化身份域管则以一体化的方案提供了 LDAP 服务、身份（账号）同步、基础设施（有线无线网络、VPN）及终端的统一认证管理等能力，让企业在实现安全管理的基本需求之余，保证了业务和终端的多样性、扩展性，且整体投入成本更低廉。