當(dāng)LDAP作為數(shù)據(jù)源時，對外通過LDAP Search以及LDAP Modify協(xié)議來進行數(shù)據(jù)同步；當(dāng)作為認證源時，通過LDAP Bind協(xié)議來進行身份認證。

 

但是SSO的定義是單次登錄（或者只輸入一次賬號密碼）就可以訪問多個應(yīng)用，本質(zhì)上是B/S架構(gòu)的，也就是說需要借助瀏覽器才能實現(xiàn)SSO功能，而LDAP更適合于C/S架構(gòu)的登陸，通過LDAP其實并不能做到SSO，用戶必須還得再次輸入密碼. LDAP只是提供了統(tǒng)一管理用戶/密碼的功能(即認證源)。

 

所以，LDAP看似適用性比較廣，但它真的適合每個企業(yè)嗎？企業(yè)需要先思考幾個問題：

 

 

使用的應(yīng)用或系統(tǒng)是否以C/S架構(gòu)為主？

 

 

用LDAP還是其他SSO系統(tǒng)，得取決于對接的應(yīng)用是B/S架構(gòu)的還是C/S架構(gòu)的。比如像OpenVPN這種C/S架構(gòu)，它本身的登陸是沒有瀏覽器的，所以無法通過SSO協(xié)議對接(玉符自己用的VPN、SSH、Wifi等對接的就是LDAP擴展)。因為LDAP是上一個時代的產(chǎn)物，針對典型的C/S軟件架構(gòu)，發(fā)明初衷就沒有SSO的概念，而是為了存儲有層級關(guān)系的目錄結(jié)構(gòu)，基本不支持現(xiàn)在流行的B/S架構(gòu)，需要用戶重復(fù)輸入密碼。

 

準備使用什么目錄去實現(xiàn)LDAP？開源的還是商業(yè)的

 

 

實現(xiàn)LDAP協(xié)議的服務(wù)器有多種選擇，例如Active Directory，OpenLDAP，Apache Directory Studio或者其他商業(yè)版服務(wù)，如果存儲的信息量比較大或者對可用性與性能有更高要求，那么是建議用商業(yè)版的。

 

打算投入研發(fā)精力去開發(fā)新功能嗎？

 

 

企業(yè)人員數(shù)量超過50后，很多新的需求就會出現(xiàn)，例如員工自助密碼服務(wù)(Self-service Password)等，很多LDAP服務(wù)器是不自帶這些功能的，都需要IT人員找到對應(yīng)解決方案和實現(xiàn)。

 

是否有專人去維護？

 

 

企業(yè)快速增長、組織結(jié)構(gòu)變動，都會帶來大量的維護工作量，更不用說這些服務(wù)器要的長期維護升級工作。

 

對安全、加密的需求？

 

 

LDAP發(fā)明的時候還沒有Token的概念，在協(xié)議中需要客戶端傳輸明文密碼到服務(wù)器進行驗證，對于現(xiàn)代化的企業(yè)部署環(huán)境來說，是非常不安全的。

 

此外，合規(guī)、數(shù)據(jù)可視化等，這些新的企業(yè)需求，是LDAP難以達成的。如果只是需要一個類似數(shù)據(jù)庫的多層級存儲服務(wù)，LDAP則可以充分滿足。

 

作為專業(yè)的IDaaS（身份即服務(wù)）提供商，我們除了提供全種類SSO的對接，還完美支持LDAP的對接，企業(yè)能夠根據(jù)服務(wù)的架構(gòu)類型（C/S或B/S）對接所有的應(yīng)用，員工只需要一套賬號密碼，即可訪問所有應(yīng)用，不僅體驗了極致的便利性，同時兼顧了高安全性。我們提供的LDAP拓展功能（配置詳情見圖1），有以下特點：

 

按99.99%的超高可用性和高性能進行分布式設(shè)計，免去企業(yè)大量的維護成本

 

默認提供了安全加密的LDAPs（LDAPS = LDAP + TLS, 類似于 HTTPS = HTTP + TLS，加密網(wǎng)絡(luò)傳輸?shù)乃袃?nèi)容），大大提高驗證過程的安全性

 

功能完整，支持員工自助密碼服務(wù)、個人信息更新等

 

所有驗證過程可追溯，可視化報表輸出等滿足企業(yè)各類合規(guī)要求