加速信创落地,最新国产身份目录服务首发

admin
admin
admin
831
文章
2
评论
2021年11月16日13:13:29 评论

众所周知,“信创”的内容和目标是在核心芯片、基础硬件、基础软件(操作系统、中间件、数据服务器)等领域实现国产替代。随着新基建理念的推出,“信创”的内容又得到了进一步的扩展。

随着云计算、人工智能、物联网等新兴信息技术的的日益深入应用,安全这一指标已经越来越为企业所重视,这其中既包含数据的安全,也包含应用持续性的安全。其中身份管理既属于基础软件又属于安全范畴,是必不可少的IT基础设施。因此,从政策层面来看,身份管理也面临重建。

目前身份管理基础设施以微软身份目录服务AD为核心,部署在Windows Server中,管理着身份、应用、终端三个层面的资源。

  • 身份层面,企业员工身份信息保存在AD,并基于AD域身份登录终端设备;
  • 应用层面,基于AD域身份信息登录企业业务系统;
  • 终端层面,合规终端需要加入AD域进行统一管理,主要指Windows桌面。

加速信创落地,最新国产身份目录服务首发

传统IT架构以Windows+Intel架构向自主可控架构演进

 

而信创体系下的IT环境则是由飞腾、龙芯等国产芯片构成的PC操作系统(统信、麒麟等)以及搭载国产身份目录的Linux服务器等设施构成。新的IT架构下,操作系统、终端、服务器均需重建,身份目录在这一环境下同样面临着重建。

政府、军队、金融、教育、医疗等信创建设重点行业,预计将涉及到数十万个单位需重构身份目录服务。

 

身份目录服务重构的两个主要技术原因

 

(1)AD对国产化服务器及终端兼容性问题

AD无法安装在Linux环境中,以及无法对国产操作系统(统信、麒麟等)兼容。

加速信创落地,最新国产身份目录服务首发

微软AD在信创体系下无法适配兼容

 

(2)信创身份目录既要兼容微软体系又要满足信创体系

  • 微软在日常办公中仍发挥着重要作用,对于微软AD及应用兼容应优先解决。
  • 信创体系下构建身份目录基础设施不能照搬AD,其设计背景在局域网环境。新的身份管理面临的环境更复杂,除传统操作系统PC终端,还有不断涌入企业的BYOD、IoT终端,无线网络,云技术及非LDAP协议的各类应用等,都对身份目录提出新要求。

 

以中立和开放为核心,增强厂商和客户信任

 

在构建新身份目录基础设施时,势必要通盘考虑产业生态的开放性与适配性。要提高产业链上下游相关产品的兼容适配能力,则采用中立的第三方身份管理基础设施是信创体系身份管理建设的主要方向之一。

加速信创落地,最新国产身份目录服务首发

 信创身份目录既要兼容微软体系,也需要满足信创体系

 

图片加速信创落地,最新国产身份目录服务首发

 

针对信创体系设计的国产目录服务NDS

 

国产身份目录服务(Ningdun Directory Service,简称NDS)是由宁盾研发的一款专门面向信创场景的身份管理产品,通过它实现对信创环境下身份、应用、终端三个层面的资源管理以及既有AD体系兼容管理,包括:

  • 身份层面,企业员工身份信息保存在NDS中;
  • 应用层面,基于NDS域身份信息登录企业业务系统、针对LDAP,NDS兼容AD的Schema,应用迁移认证到NDS无需单独定制或改造,只需要简单修改配置就可实现LDAP认证交互,另外提供SAML、OAUTH2.0、Cas、Radius等协议为云、SaaS、网络提供兼容;
  • 终端层面,合规终端需要加入NDS进行统一管理,不仅限于国产桌面终端、BYOD、IOT等泛终端均支持统一接入管理;
  • 身份安全:内置MFA能力,降低弱口令导致的身份风险,提升整体身份安全水准;
  • 兼容AD,确保既有架构正常运行。

 

加速信创落地,最新国产身份目录服务首发

 

NDS完全兼容AD,意味着当应用直接使用或替换成NDS时,无需单独定制或改造,只需简单修改配置即可实现LDAP认证交互,大大降低重复开发和对接的成本。

 

NDS核心功能

 

  • 内置MFA能力,降低身份风险

加速信创落地,最新国产身份目录服务首发

支持国密SM3算法,硬件令牌、手机app令牌、企业微信扫码快捷认证等。

 

  •  国产操作系统统一登录管理

加速信创落地,最新国产身份目录服务首发

宁盾目录服务NDS能增强AD在弱口令治理及泛终端管理能力,提供对统信、麒麟等国产操作系统的统一登录管理。

 

  • 既兼容AD,亦实现对主流协议业务系统无缝对接

加速信创落地,最新国产身份目录服务首发

以往企业内的用户身份信息储存在AD上,用户基于AD域身份信息登录终端设备及企业业务系统。当AD无法支持国产操作系统、业务系统时,NDS的良好兼容性让企业操作系统与业务系统能无缝对接NDS,实现无感知过渡。

 

  • 终端准入管理

加速信创落地,最新国产身份目录服务首发

网络准入是基础网络身份安全能力,在微软架构下,NPS负责网络策略服务。宁盾目录服务NDS内置网络准入能力,支持员工、访客等不同用户的Portal、802.1x认证方式。其中Portal认证方式灵活多样,适用不同角色用户。802.1x认证兼容AD,可复用操作系统自带的802.1x客户端。

除此之外,NDS提供高级组件,用于增强对Windows、Mac、Linux等操作系统终端合规性以及BYOD、IoT管理。

 

NDS信创场景应用示例

 

  • 政务、金融等信创客户统一登录管理操作系统场景

加速信创落地,最新国产身份目录服务首发

加速信创落地,最新国产身份目录服务首发 加速信创落地,最新国产身份目录服务首发

国产操作系统率先在政务、金融领域使用,当员工在登录国产操作系统时,宁盾目录服务器可基于LDAP目录结构储存用户身份数据,提供统一的目录用户认证。

 

  • 业务系统统一登录管理场景

加速信创落地,最新国产身份目录服务首发 加速信创落地,最新国产身份目录服务首发 加速信创落地,最新国产身份目录服务首发

业务系统无感知对接NDS。以JIRA应用为例,在宁盾目录服务中添加用户后,到JIRA后台配置宁盾目录服务器,与配置AD方式相同,导入宁盾目录服务中的用户后即配置成功。

 

  • 党政办终端准入控制场景

加速信创落地,最新国产身份目录服务首发

通过纳管多种类型系统、终端,以加入域的终端为合规条件实施策略管控,提高企业内网终端合规率,提升企业内网安全。

 

NDS应用价值

  • 能够为国产操作系统提供统一登录管理 能够为企业提供国产目录服务
  • 能够实现BYOD、IoT泛终端准入认证
  • 能够帮助部署了微软AD的企业更好地落地信创体系
  • 能够帮助企业无缝对接信创目录业务系统

 

后记:技术生态建设

更多应用对接及兼容适配,是推进信创产业能够快速落地的核心。因此,身份目录的后续工作目标是不断丰富与信创生态系统下基础硬件、基础软件、应用软件的兼容,帮助信创客户落地身份管理,充分发挥各系统联动的价值。

weinxin
数说安全
微信扫一扫
  • 本文由 发表于 2021年11月16日13:13:29
  • 除非特殊声明,本站文章均为原创,转载请务必保留本文链接
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: