加速信創落地,最新國產身份目錄服務首發
眾所周知,“信創”的內容和目標是在核心芯片、基礎硬件、基礎軟件(操作系統、中間件、數據服務器)等領域實現國產替代。隨著新基建理念的推出,“信創”的內容又得到了進一步的擴展。
隨著云計算、人工智能、物聯網等新興信息技術的的日益深入應用,安全這一指標已經越來越為企業所重視,這其中既包含數據的安全,也包含應用持續性的安全。其中身份管理既屬于基礎軟件又屬于安全范疇,是必不可少的IT基礎設施。因此,從政策層面來看,身份管理也面臨重建。
目前身份管理基礎設施以微軟身份目錄服務AD為核心,部署在Windows Server中,管理著身份、應用、終端三個層面的資源。
- 身份層面,企業員工身份信息保存在AD,并基于AD域身份登錄終端設備;
- 應用層面,基于AD域身份信息登錄企業業務系統;
- 終端層面,合規終端需要加入AD域進行統一管理,主要指Windows桌面。
傳統IT架構以Windows+Intel架構向自主可控架構演進
而信創體系下的IT環境則是由飛騰、龍芯等國產芯片構成的PC操作系統(統信、麒麟等)以及搭載國產身份目錄的Linux服務器等設施構成。新的IT架構下,操作系統、終端、服務器均需重建,身份目錄在這一環境下同樣面臨著重建。
政府、軍隊、金融、教育、醫療等信創建設重點行業,預計將涉及到數十萬個單位需重構身份目錄服務。
身份目錄服務重構的兩個主要技術原因
(1)AD對國產化服務器及終端兼容性問題
AD無法安裝在Linux環境中,以及無法對國產操作系統(統信、麒麟等)兼容。
微軟AD在信創體系下無法適配兼容
(2)信創身份目錄既要兼容微軟體系又要滿足信創體系
- 微軟在日常辦公中仍發揮著重要作用,對于微軟AD及應用兼容應優先解決。
- 信創體系下構建身份目錄基礎設施不能照搬AD,其設計背景在局域網環境。新的身份管理面臨的環境更復雜,除傳統操作系統PC終端,還有不斷涌入企業的BYOD、IoT終端,無線網絡,云技術及非LDAP協議的各類應用等,都對身份目錄提出新要求。
以中立和開放為核心,增強廠商和客戶信任
在構建新身份目錄基礎設施時,勢必要通盤考慮產業生態的開放性與適配性。要提高產業鏈上下游相關產品的兼容適配能力,則采用中立的第三方身份管理基礎設施是信創體系身份管理建設的主要方向之一。
信創身份目錄既要兼容微軟體系,也需要滿足信創體系
針對信創體系設計的國產目錄服務NDS
國產身份目錄服務(Ningdun Directory Service,簡稱NDS)是由寧盾研發的一款專門面向信創場景的身份管理產品,通過它實現對信創環境下身份、應用、終端三個層面的資源管理以及既有AD體系兼容管理,包括:
- 身份層面,企業員工身份信息保存在NDS中;
- 應用層面,基于NDS域身份信息登錄企業業務系統、針對LDAP,NDS兼容AD的Schema,應用遷移認證到NDS無需單獨定制或改造,只需要簡單修改配置就可實現LDAP認證交互,另外提供SAML、OAUTH2.0、Cas、Radius等協議為云、SaaS、網絡提供兼容;
- 終端層面,合規終端需要加入NDS進行統一管理,不僅限于國產桌面終端、BYOD、IOT等泛終端均支持統一接入管理;
- 身份安全:內置MFA能力,降低弱口令導致的身份風險,提升整體身份安全水準;
- 兼容AD,確保既有架構正常運行。
NDS完全兼容AD,意味著當應用直接使用或替換成NDS時,無需單獨定制或改造,只需簡單修改配置即可實現LDAP認證交互,大大降低重復開發和對接的成本。
NDS核心功能
- 內置MFA能力,降低身份風險
支持國密SM3算法,硬件令牌、手機app令牌、企業微信掃碼快捷認證等。
- 國產操作系統統一登錄管理
寧盾目錄服務NDS能增強AD在弱口令治理及泛終端管理能力,提供對統信、麒麟等國產操作系統的統一登錄管理。
- 既兼容AD,亦實現對主流協議業務系統無縫對接
以往企業內的用戶身份信息儲存在AD上,用戶基于AD域身份信息登錄終端設備及企業業務系統。當AD無法支持國產操作系統、業務系統時,NDS的良好兼容性讓企業操作系統與業務系統能無縫對接NDS,實現無感知過渡。
- 終端準入管理
網絡準入是基礎網絡身份安全能力,在微軟架構下,NPS負責網絡策略服務。寧盾目錄服務NDS內置網絡準入能力,支持員工、訪客等不同用戶的Portal、802.1x認證方式。其中Portal認證方式靈活多樣,適用不同角色用戶。802.1x認證兼容AD,可復用操作系統自帶的802.1x客戶端。
除此之外,NDS提供高級組件,用于增強對Windows、Mac、Linux等操作系統終端合規性以及BYOD、IoT管理。
NDS信創場景應用示例
- 政務、金融等信創客戶統一登錄管理操作系統場景
國產操作系統率先在政務、金融領域使用,當員工在登錄國產操作系統時,寧盾目錄服務器可基于LDAP目錄結構儲存用戶身份數據,提供統一的目錄用戶認證。
- 業務系統統一登錄管理場景
業務系統無感知對接NDS。以JIRA應用為例,在寧盾目錄服務中添加用戶后,到JIRA后臺配置寧盾目錄服務器,與配置AD方式相同,導入寧盾目錄服務中的用戶后即配置成功。
- 黨政辦終端準入控制場景
通過納管多種類型系統、終端,以加入域的終端為合規條件實施策略管控,提高企業內網終端合規率,提升企業內網安全。
NDS應用價值
能夠為國產操作系統提供統一登錄管理 能夠為企業提供國產目錄服務
能夠實現BYOD、IoT泛終端準入認證
能夠幫助部署了微軟AD的企業更好地落地信創體系
能夠幫助企業無縫對接信創目錄業務系統
后記:技術生態建設
更多應用對接及兼容適配,是推進信創產業能夠快速落地的核心。因此,身份目錄的后續工作目標是不斷豐富與信創生態系統下基礎硬件、基礎軟件、應用軟件的兼容,幫助信創客戶落地身份管理,充分發揮各系統聯動的價值。
