寻找AD域替代或新建方案时,这里有企业标准统一身份建设新方法供参考

100-300人规模的企业处于企业生存及发展期,也是处在通过IT系统建设提升企业效率的时期,随着人员的增多,企业逐步发现混乱的身份账号管理给日常办公及生产活动造成管理及安全方面的困扰,于是企业开始着手统一身份体系的规划及选型,但是IT管理人员数量少甚至是技术部门兼任,因此更需要一个趁手好用的解决方案或管理系统。

此阶段统一身份的通用需求

从场景维度,主要是无线网络接入、办公应用、研发场景等核心三类,具体包括:

(1)无线网络:无线网络是通过PSK静态密码接入进来,由于新入职员工或者更换BYOD设备(比如手机、Pad)原因,经常出现不知道问谁去要密码或者频繁问IT管理员要密码情形,显得比较麻烦;

(2)办公应用:比如云邮箱、OA,后续扩展HR、ERP等;

(3)研发场景:VPN、Gira、Git、Confluence等;

对于社交办公如企微/钉钉/飞书基本维持独立账号体系,短时间没有太强的统一需要。

微软AD难以满足现有企业通用身份需求

由于微软AD是局域网时代的企业统一身份标准,企业很容易想到借助它来搭建,结合企业IT对于统一身份的需求来看,发现AD存在无线网络接入、SaaS应用接入及口令自服务的问题:

(1)AD无法独立支持无线网络接入,需要借助于第三方网络认证;

(2)AD对于办公应用尤其是SaaS版本的邮箱难以提供支持;

(3)对于用户由于密码遗忘重置或者设定安全密码需求,员工需要找管理员才能够实现,而无法自助服务;

而AD拥有的优势,如Windows终端加域管理,由于混合办公及终端类型多,因此该项能力对于此类型企业比较弱化,大部分企业不会选择建设此能力,微软AD的方案逐步被客户放弃继而选择新的替代者。

企业标准统一身份管理(新AD)新选项

从功能角度来看,统一身份管理核心能够解决当前LDAP统一认证、无线网络认证、自助改密码的刚性需求,同时为未来发展提供扩展性,其能力能力如下:

能力范围 核心能力 需求刚性
基本能力 LDAP统一认证 必须
无线网络认证 必须
网页自助改密码 必须

扩展能力

(可选)

社交身份同步(支持钉钉/飞书/企微) 非刚需,因为员工入离职较少,因此HR手工创建代价更低
VPN/堡垒机 双因素认证 由于VPN使用人数较少,因此该场景是基于客户是可选
扫码登录OA 由于通常内网访问,通过记忆密码方式,因此扫码方式也不太刚性,除非是员工体验要求高的职场
SSO 不必要,但是可选
高级能力 多端加域管理 终端统一认证、组策略等

从产品角度,客户需要一个容易管理且标准化的产品,能够快速标准化对接,确保实施运维相比AD要更加有效率,因此不能通过定制化思路解决问题,必须通过标准化方法,宁盾身份目录服务希望能够成为企业新一代的AD,为企业提供全生命周期的统一身份管理,其产品理念如下:

宁盾身份目录是一个开放式的身份目录,通过全栈协议支持及客户场景训练,旨在帮助企业实现网络、本地及云应用、社交应用、终端一体化身份管理,他能够支撑企业不同规模阶段对基础身份的需求,为企业构建新型统一身份提供新选项。

寻找AD域替代或新建方案时,这里有企业标准统一身份建设新方法供参考_第1张图片

你可能感兴趣的:(宁盾统一身份中台,安全,microsoft,网络安全)