IT大白 / 新闻动态 2024.10.18
在数字化时代,信息技术的自主可控已成为国家安全的重要组成部分之一。随着全球化的深入发展,信息技术的国产化替代显得尤为重要,特别是在关键信息基础设施领域,国产化替代不仅是提升国家信息安全的重要手段,也是推动国内信息技术产业自主创新的关键路径。
AD替代的必要性
政策上,2022年9月,国资委下发79号文,全面指导国资信创产业发展和进度,要求所有央企和地方国企落实信创全替代。
79号文的核心内容归纳如下:
>全面替换(OA、门户、邮箱、纪检、党建、档案管理)
>应替就替(战略决策、ERP、风控管理、CRM经营管理系统)
>能替就替(生产制造、研发系统)
>2027年100%完成
信创产业正向全行业信息技术升级发展,旨在建立自主的国产IT生态。国内企业需加快国产化进程,提高信息安全,2024年信创产业迎来新机遇和挑战。
从安全方面考量,2021年,企业管理协会(EMA)报告指出,全球半数使用活动目录(AD)的组织在过去1-2年内遭受过攻击,且40%以上攻击成功。HIP全球会议也将AD安全列为六大关注点之一。
而从架构层面上来说,企业长期使用AD,将微软AD 应用到企业的生产、业务、管理等方方面面。该举措在目前复杂的国际形势和信创大趋势下,会面临成本高、管理复杂、业务中断、数据/设备/环境安全风险等问题。同时,国产化软硬件环境的推广也对AD的兼容性提出了挑战。
因此,转型至国产化的身份信息管理解决方案,不仅能够减少对单一供应商的依赖,提高抗风险能力,还能够更好地适应国内法律和政策环境。
通过采用国产化服务目录产品,企业可以实现无缝平滑过渡,同时提升身份信息管理的安全性和效率,为长远发展奠定坚实的基础。
AD替代的关键点
1-多网多域网络环境管控
在企业级生产环境中,AD服务的典型部署包括一个或多个域控制器以及多个AD DS服务(Site)集群,这些AD服务通过“多主机复制”(Multi-Master Replication)技术确保数据在多个节点间的一致性。
BingoIAM提供了一种与AD域控部署方案相媲美的架构,采用中心域控制器配合多个边缘节点的方式,实现AD的多主机复制机制,以支持对AD在生产环境中域控部署的有效接管。具体方案如下:
BingoIAM支持包括一个中心节点和多个边缘节点在内的多节点部署模式。中心节点通过CDC(Change Data Capture)程序实时监测数据变更,并将这些变更推送至边缘节点。边缘节点上的worker程序实时监听这些变更,并将数据更新应用到本地,从而确保所有节点间数据的实时同步,保障企业身份管理的连续性和一致性。
2-网络资源访问
企业传统的网络资源认证管理高度依赖于微软AD开源组件或资源自带的认证服务,这种模式带来了一系列挑战,如AD信创替代难题、僵尸账号问题以及账号管理分散等,导致企业管理低效。
为了解决这些问题,BingoIAM提供全协议和一站式的网络资源访问管理解决方案。它不仅能够实现对企业网络资源设备的全面纳管,还能让企业享受到现代IAM体系下的服务,包括详尽的安全审计日志、自适应访问控制以及自动化流程编排等。
BingoIAM对企业常用网络资源访问设备的接管实施方案分为三个阶段,具体步骤如下:
在当前的企业信息架构中,网络设备普遍依赖微软AD来提供认证服务。这些设备通常通过RADIUS/LDAP等协议与AD集成。同时,也有许多企业选择自行部署FreeRADIUS这样的中间件来集中管理支持RADIUS协议的设备。
然而,由于FreeRADIUS本身不具备用户管理和认证功能,它通常需要通过配置与AD相连,以利用AD的认证服务。这种依赖关系可能导致企业在面对AD信创替代、僵尸账号和账号分散等问题时,管理效率低下。
为提升管理效率和安全性,企业需要考虑采用更为现代和全面的IAM解决方案。
部署BingoIAM后,管理员只需简单修改网络资源服务端的认证配置,将原本指向AD服务器的地址更改为指向BingoIAM服务器,即可轻松完成迁移。此过程不仅操作简便,而且对终端用户、设备和客户端来说是完全透明的,实现了无缝切换。
一旦完成对认证服务器的配置更新,BingoIAM便能顺利接管企业所有网络资源层设备。得益于BingoIAM对Radius协议的全面支持,用户可选择继续使用现有FreeRADIUS中间件,或直接在网络设备配置中将认证服务器指向BingoIAM。这样的灵活性有助于简化企业信息架构,确保系统的简洁性与高效性。
3-Windows设备登录
BingoIAM提供对Windows设备的平滑接管能力,通过Winlogon和GINA技术,简化整个接管流程。用户只需在目标设备上安装BingoIAM提供的插件安装包,即可轻松实现设备接管(安装包内已预设基本配置,开箱即用)。安装过程完成后,用户无论是启动电脑还是通过远程访问,都将享受到BingoIAM带来的全新登录体验,仅需输入用户在BingoIAM中的身份信息即可实现统一的身份认证。如下图所示:
BingoIAM除了对Windows设备的平滑接管,同时也完全支持国产服务器、操作系统和中间件的认证,Windows和信创终端均可自如地进行认证配置。
4-平滑数据迁移
业务中断的风险不容忽视。一旦微软AD服务出现问题,企业的所有依赖于AD的应用,如邮箱、OA等系统,都将面临认证失败的风险,导致业务停滞。
BingoIAM提供业务无损耗、无间断、无感知的AD数据平滑迁移方案,帮助企业完成对AD替代的需求。
阶段一:用户数据软迁移,联合身份认证
部署BingoIAM后,陆续把应用程序接入至IAM中。用户将通过IAM系统进行身份验证,而IAM则通过联邦认证与AD(Active Directory)无缝对接,确保用户身份的准确识别;认证成功后,IAM会同步用户信息并进行存储,实现用户数据的平滑迁移和有效整合。
这一流程不仅保障了用户访问的连续性和安全性,还为企业提供了一条无感过渡到先进IAM系统的清晰路径。
阶段二:数据双写,并行认证,阶段性共存
随着BingoIAM与微软AD携手进入并行工作模式,应用程序在接入IAM系统后,将实现与AD的双向数据同步。这种同步机制采用数据双写技术(即在两个系统间同时更新数据),以确保数据在双方的一致性。
这一过程不仅保障了数据的完整性,也增强了数据的可靠性,为企业的数据管理提供了坚实的基础。
阶段三:BingoIAM完全接管
当所有应用程序顺利完成接入,且用户数据迁移工作彻底结束后,BingoIAM将全面接管身份认证任务,实现对AD认证的无缝接管。在这个阶段,可以安全地终止与AD的联邦认证连接。此后,依据企业的策略和需求,AD系统可以按照计划逐步淘汰。
5-密码策略的接管
AD存在大量非加密通道、密码策略单一、账号无强认证等问题,人员变动也没有通知机制,当账号锁定、过期、异常,管理员无法快速感知;数据安全问题同样严峻,AD中存储的身份数据若因服务故障而无法访问或丢失,将对企业造成重大影响。
与AD(Active Directory)相比,其密码策略通常需要通过组策略对象(GPO)进行配置,这不仅限制了自定义规则的设置,而且过程复杂,缺乏灵活性。
相比之下,BingoIAM提供了一种高度灵活的密码策略管理方法。它允许根据特定的业务需求和安全标准,自定义密码规则,并能够轻松地实施这些规则。
此外,BingoIAM还支持多种通知方式,包括短信和电子邮件,以确保用户及时收到关于其账户安全的重要信息,从而增强了整体的账户管理和安全性。
6-全面信创适配
随着国产服务器、操作系统、中间件的投入正式使用,不支持国产化的微软AD是否还能纳管这些IT资源(身份\应用\设备)?
从2013年开始,在国家的推动部署下,信创产业已经逐步成熟。国产服务器、桌面机、底层CPU、中间件、数据库等厂商互相积极适配,底层架构已经形成了完整的信创生态圈。
BingoIAM顺应趋势,以积极全面、开放包容的策略,实现了自底向上全栈信创生态的兼容适配。企业可根据自身特定需求,灵活选择适合的信创解决方案,以实现平稳过渡和优化升级。
基于BingoIAM实现AD完整替代
在企业日常运作中,BingoIAM能够全面覆盖AD的使用场景。
在数字化时代,企业寻求更现代化的身份和访问管理(IAM)系统以替代传统的Active Directory(AD)。图示清晰展示了如何通过IAM核心用户体系逐步替代AD,包括运维人员操作、合并用户体系、以及关键基础设施的身份认证切换。这一转变简化了管理流程,提高了安全性,降低了维护成本,最终构建了一个更安全、高效的环境,满足现代企业的身份管理需求。
身份管理能力增强
在功能维度上,BingoIAM超越了传统AD的限制,提供了比AD更为丰富和创新的能力,提供更全面的解决方案。
1-外部企业与来宾用户管理
在企业的日常运营中,与供应商、合作伙伴和经销商的协作是常态。为有效管理这些外部用户,企业需要在业务应用中对他们的身份进行细致管理,确保他们只能访问必要的业务数据和执行特定的流程操作。
BingoIAM与微软的ToB企业及来宾用户管理功能相媲美,提供了一套全面的解决方案来支持这种外部用户管理。以下是BingoIAM的几个关键管理特点:
>用户录入与审批:外部用户可通过数据同步、API同步或手工创建的方式加入系统,管理员对外部用户身份进行准入审批。
>多样化的登录验证:一旦获批,外部用户可通过多种方式登录,包括用户名和密码、邮箱、短信、OTP(一次性密码)、FIDO等,以验证其身份。
>权限控制:默认情况下,外部用户访问受限,他们需要IT管理员或应用管理员根据业务合作的具体情况授予最小必要权限,以访问特定的应用功能,从而严格保护企业数据不被外泄。
>增强的外部用户管理:BingoIAM进一步强化了管理外部用户的能力,特别是对深度合作伙伴(例如外包IT团队),提供了多账号、设备、职位和用户群组等管理功能,以满足更复杂的协作需求。
2-标准化的身份认证体系
BingoIAM的标准身份管理可以从下面两个维度来体现:
>部署灵活性:相比只支持Windows Server系统的AD服务,BingoIAM支持跨平台部署,包括信创环境在内的多种服务器系统,以及不同云端环境(如:私有、公有、混合),提供了更大的灵活性和选择空间。
>应用接入广泛性:相比只提供LDAP协议的AD服务,BingoIAM提供更开放的标准接入协议,包括但不限于主流的OAuth2\SAML2\CAS等认证协议,便捷的接入方式,帮助企业打通更多应用之间常见的身份壁垒。通过BingoIAM提供的SSO,企业员工仅需一次登录即可免密访问所有应用。
3-应用管理
BingoIAM作为基于云原生架构的产品,在接入方式上,相较基于Windows Server的AD服务,展现了多样性、灵活性和丰富性。
>全面的 API支持:BingoIAM提供内部所有API接口,开发者可轻松调用API,实现业务场景的自动化集成和定制化操作。
>丰富的认证协议:提供主流的OAuth2\OIDC\SAML2\CAS等认证协议,确保大多数应用的认证兼容性。
>详尽的文档和开发工具:IAM提供丰富的接入文档、代码示例和 SDK工具,帮助开发者快速理解并有效利用BingoIAM的能力。
>高度定制和扩展性:AD几乎没有扩展性,只能由企业去适应它的功能设计,与其相比,BingoIAM基于可扩展架构设计,允许用户根据业务需求进行定制开发,满足企业个性化需求。
>多类型应用管理:以应用为中心,支持集中式治理小程序、H5、小部件、API、远程应用、后端服务等接入、身份认证、访问与授权。
>动态多因素认证访问:以访问者身份、位置、场景、ip、设备等动态变换访问策略,持续认证身份。
>精细化授权:通过控制应用菜单、按钮、操作、数据等权限,精细化控制访问的用户、调用的应用拥有的权限。
4-细粒度的权限管理
提供高效的权限和授权管理解决方案,能够快速地为自研应用和可改造的外部采购应用实现细粒度的访问控制。该方案支持对 API、菜单按钮、数据层面的统一权限和授权管理能力,帮助企业针对不同场景,建立合适的权限控制策略。开发人员仅需接入API/SDK,即可高效实现权限管理。
此外,BingoIAM还提供Pipeline和Webhook等扩展能力,允许企业根据实时业务需求动态调整员工的访问权限。
5-高等级的安全环境
BingoIAM相比传统AD具有更高等级的安全环境,主要体现在以下几个方面:
√ OTP是公认最安全的认证方式,对比微软AD,BingoIAM默认提供以OTP为基础的MFA特性来增强安全性。还有细粒度和自动化的权限控制,减少过度授权和权限泄露等人为制造的安全风险问题。
√ AD日志查询困难,IAM提供控制台可视化的实时审计日志和访问日志,方便管理员快速地发现和追溯企业中的管理行为问题和异常访问情况。
总结
虽说全面国产信创的趋势已势不可挡,在考虑替代AD的同时,我们不禁思考,难道仅仅满足于基本功能的覆盖和国产化的表面优势,吃上这波红利就够了吗?答案肯定是不够的!
我们深知,真正的价值在于提供超越传统AD的体验。因此,在实现BingoIAM国产身份服务目录的同时,我们致力于创造一个更加便捷、简单、全面的平台体验。
我们的目标不仅仅是替代AD,而是通过深入分析和全面考虑替换过程中可能遇到的挑战,并在实施落地的过程中不断完善,提供一套完善的解决方案。我们的努力体现在控制台的直观功能设计上,同时也体现在后台的技术创新、基础服务与通用能力上。
我们不断优化实施流程,力求在替代AD的过程中,最大程度地减少客户的麻烦和困难,确保提供的解决方案既无缝又无忧!
敬 请 期 待!!
更多BingoIAM的相关信息,将在近期的产品发布会上一一揭晓,可前往【懂企业的品高云】微信视频号进行直播预约~
>铸造身份安全基座 共建可信应用平台 | BingoIAM产品发布会
视频号:懂企业的品高云
直播时间:10月24日 15:00