某上市公司运维部门的烦恼

上世纪90年代初，某台资企业进入大陆市场拓展业务，至21世纪初在香港上市，该企业在大陆已有十余个分支机构，员工总数更是多达8000人。与快速扩张的业务相比，该企业数字化转型却停滞不前。

由于生产业务与 IT 分离，从成立至今，企业内并未使用 Windows AD 或 OpenLDAP、OpenDJ 等身份目录服务来纳管账号、应用、终端等资源。而是业务部门领导拍板，有什么需求就上什么系统。等到 IT 老大接手时，局面已经十分棘手。

数千个用户信息全部存储在 SaaS HR 系统上，尽管 OA 系统会自动从 HR 系统拉取账号，但其他系统如 SAP、邮箱、报表、企业微信及部门自研系统等则依据 HR 系统中的员工编号，由部门领导或 IT 人员在各个系统内手动创建账号。随着员工数量、新应用增多，应用之间各自独立，⌈部门壁垒⌋、⌈身份孤岛⌋现象严重，无法实现账号互通。

员工登录应用系统需要面对不同的认证界面，记忆不同规则的账号和密码，这不仅让用户办公效率及体验大打折扣，庞大的账号维护、密码修改、权限分配等工作也让 IT 人员疲于应对，运维管理成本居高不下，从普通用户到 IT 运维都不胜其烦，成为阻碍企业信息化发展的瓶颈。

被忽略的身份基础设施

面对以上问题，如果你是 IT 管理员，你会怎么办？

你可能会想到单点登录（Single Sign On，SSO）。表面上是多个应用之间账号不能共用，重复认证，本质上则是企业内部没有建立统一身份。

单点登录解决的是应用登录的问题，但目录服务才是解决企业统一身份的关键。例如微软AD、OpenLDAP、OpenDJ 等，用来统一存储、管理目录用户，并为应用、网络、终端等场景提供统一身份认证和授权，从根本上解决信息化建设瓶颈。

因此，该上市公司迫切需要建设统一身份，形成权威的认证账号源，统一管理，业务系统资源整合，统一认证门户及单点登录。

目录服务作为身份基础设施，相当于在企业内引入了一套身份标准，它决定了日后企业内各个场景的身份认证规则与数据共享。身份与业务高度耦合，越早搭建越能辅助提升业务效率，支撑业务扩张。但大多数企业，从500人以内的初创公司到上千人的中大型企业，能提早建设身份基础设施的少之又少。

建设统一身份，应早尽早

搭建目录服务就像为一座大楼建造地基，构筑框架。越早规划和搭建，越能支撑业务快速发展。LDAP 目录服务的实现并不难，80%的应用系统支持 LDAP 协议，但支持 SSO 协议的应用却不足10%，更何况金融、医院等特定行业的某些应用并不支持 SSO 单点登录。

（用户访问应用场景）

提前规划和建设统一身份目录还能为企业省去高昂的管理成本，提升用户体验和运维、办公效率。未搭建统一身份目录前，账号同步和账号的全生命周期管理只能靠部门主管或 IT 在各个应用内手动操作，更不能排除人为操作失误（账号冻结不及时，离职人员依然能访问重要资源）的风险。

（人员入离职，IT运维场景）

搭建统一身份后，在 HR 系统中新增、删除账号等操作都会自动同步给 AD、OA、ERP、邮箱等下游应用，各个应用内的账号权限也都会基于目录服务中的组织结构自动分配。如此一来，用户仅需凭借一套账号密码就能够顺畅地连接企业网络、访问所有有权限访问的应用，进而开展工作，IT 也能减轻大量琐碎工作，迅速提高运维效率。

作为目录服务领域的翘楚——微软 AD 系统成熟、功能强大，但被攻击后安全性不足，预算充足的企业可以考虑。OpenLDAP、OpenDJ 等开源方案，要求企业有较高的IT运维实力。

宁盾目录服务是基于标准 LDAP 协议自主研发的国产商业化目录服务，可替代 OpenLDAP 开源方案，并高度兼容微软 AD，帮助企业 0 门槛搭建统一身份认证体系，纳管人员、网络、应用、终端等 IT 资源。同时，宁盾目录弥补了微软 AD 不足之处，如支持用户自助修改密码/重置密码，集成 2FA 双因子认证，简单易用的 SSO 单点登录功能等等，目前已在金融、航空、能源等重点行业头部企业中落地最佳实践。