不可否认,微软的 Active Directory (AD)仍是目前首屈一指的目录服务。AD 凭借15年以上的发展历史帮助微软在目录服务市场独领风骚。然而,随着云计算技术的出现,全球的企业和 IT 管理员都在重新考虑将要部署的身份和访问管理(IAM)策略,而部署计划的核心考量就包括运行微软 AD 的成本。


过去,微软 AD 的广泛应用主要得益于微软系统主导的 IT 环境。台式机、笔记本、服务器和应用都离不开 Windows系统。正因如此,企业将 AD 作为目录存储和访问控制管理平台也是理所当然的。然而,自从另一个互联网巨头谷歌在企业邮箱服务 Gmail 中引入第一方应用 G Suite,微软的一大支柱——Exchange 邮箱服务逐渐受到打击。结果,很多企业都开始把邮箱服务迁移到云端。紧接着,亚马逊网络服务(AWS)推出了基础设施即服务(IaaS),推动了数据中心上云。越发激烈的 Web 应用竞争开始影响微软在 IT 环境中的优势地位。据福布斯统计,现在所有设备中仅五分之一运行 Windows 系统。


IT 市场的这些根本性转变也驱使管理员重新评估目录服务或核心身份提供程序的计划,毕竟目录是将用户连接到所需 IT 资源的关键。而随着越来越多资源超出 AD 的管理范围,企业会询问 AD 的现有价值是什么?在现代 IT 环境中运行 AD 又有哪些成本和收益?对于考虑更替换 AD 的企业,可以首先评估运行 AD 的隐性成本。本文主要列举了4点供企业参考。



1. 管理时间

AD 的管理和操作是出了名的复杂。即使是小型企业也会雇用管理员来专门管理维护 AD。企业也因此忽略了维护 AD 的补丁和更新、配置 AD 以及运维的时间成本。AD 是一个功能多样化的庞大软件,很多管理员和 AD 打了一辈子交道,也还是会遇到不少问题。



2. 附加解决方案

由于 AD 只适用于 Windows 和本地 IT 资源,企业不得不购买额外的解决方案来管理其他 IT 资源。这些附加解决方案包括目录扩展工具、单点登录(SSO)工具、多因素认证(MFA)工具。目录扩展工具专注于管理基于 Linux 和 Mac 操作系统的设备和硬件,SSO 工具负责将新一代基于 SaaS 的 Web 应用和 AD 集成。注重安全的企业还会添加 MFA 工具,增强登录安全。除此之外,有些企业还会添加报告和分析工具甚至还有合规工具。这些附加解决方案都增加了运行 AD 的成本。



3. 终端用户自助管理

在运行 AD 时,管理员扮演了终端用户和 IT 资源之间的中间人,这也是一项不小的成本。从最初的用户预配到故障发生时的密码重置,管理员需要负责太多流程,往往难以确保用户的正常运行。实施终端用户的自助服务是个不错的方法,但可惜的是 AD 缺乏支持自助服务的关键功能,结果就是用户管理的负担和成本都落在了管理员身上。



4. 基础运维

企业必须保证身份验证服务全天都处于正常运行状态。任何停机时间都意味着用户无法访问 IT 资源,最终影响业务推进。目录服务也可以看作是 IT 基础设施的核心部分。因此,管理员为了确保目录服务的正常运行,不得不及进行备份以确保冗余,而代价就是庞大的时间成本。




未来的企业目录服务是怎样的?

企业运行微软 AD 历来都是一种谨慎的做法。在以 Windows 为基础的 IT 环境中,AD 的确是不二选择。只是在企业的 IT 基础架构出现了多平台、多协议和多位置的趋势之后,AD 是否还是适合企业的长期解决方案?对于企业和管理员来说,考虑这一问题的关键因素是成本。上述的四个隐性成本也只是提供了一个视角,是否继续采用 AD 依然需要综合考量。


对于已经部署了微软 AD 和还未建立过身份目录的企业来说,好的目录服务平台应该既能兼容微软 AD,让 AD 无法对接、纳管的 IT 资源通过宁盾身份目录服务对接和纳管,延展 AD 在现代环境中的能力,让 AD 更好用。


另外,目录服务还要能充当企业的本地身份目录,打通企业微信、飞书、钉钉等外部账号源,随着企业的发展壮大而不断纳管更多资源,支撑业务发展。对于信创体系下的行业如党政、金融、电力、能源、医疗等,国产身份目录服务替换也将是必然趋势,满足信创身份管理的需求也将成为一大优势。