Skip to content

第27篇: IAM与LDAP/AD集成

第27篇:【解决方案】IAM与LDAP/AD的认证与同步

导言

在几乎所有成熟的企业中,LDAP(轻量级目录访问协议)目录,尤其是其最广泛的实现——微软的Active Directory (AD),早已成为身份信息存储和认证的“黄金标准”。任何现代IAM/IDaaS平台如果不能与这些现存的“事实标准”无缝集成,都将寸步难行。

因此,理解IAM如何与LDAP/AD协同工作,不是一个可选项,而是企业身份战略的核心。这种集成关系通常呈现为三种主要的、非互斥的模式:

  1. LDAP/AD作为认证源(Authentication Source): IAM系统将用户的认证请求代理(Delegate) 到LDAP/AD。
  2. LDAP/AD作为下游系统(Downstream System): IAM系统将用户变更同步(Provision) 到LDAP/AD中。
  3. IAM作为虚拟LDAP服务(Virtual LDAP Service): IAM平台自身暴露LDAP接口,为传统应用提供现代化的认证服务。

本章将深入剖析这三种核心集成模式的实现方案,并澄清AD、标准LDAP以及虚拟LDAP(vLDAP)之间的关系,为您的IAM集成项目提供清晰的架构指南。

一、 澄清概念:AD与LDAP

在讨论集成前,必须精确理解这两个术语:

  • LDAP (Lightweight Directory Access Protocol):

    • 它是一种协议,不是一个具体的产品。它定义了客户端如何通过网络访问和管理目录服务中的信息。其数据模型是树状的,由条目(Entry)、专有名称(DN)、属性(Attribute)等构成。

  • Active Directory (AD):

    • 它是微软开发的一款目录服务产品。AD使用LDAP协议作为其核心访问方式之一,但它远不止于此。AD还集成了Kerberos认证、组策略(GPO)、DNS等众多功能,是Windows域环境的管理核心。可以理解为,AD是一个功能极其丰富的、以LDAP为基础的“超级目录”。

二、 模式一:LDAP/AD作为认证源

这是最常见的集成模式,尤其是在企业内部员工的身份管理场景中。它允许企业继续利用在AD上已有的密码策略、安全组等投资,同时享受IAM/IDaaS平台带来的SSO、MFA等现代安全能力。

工作流程(代理认证 - Delegated Authentication):

  1. 用户访问: 用户尝试登录一个受IAM保护的应用。
  2. 凭证提交: 用户在IAM的登录页面输入其AD用户名和密码。
  3. 认证代理: IAM系统自身不直接校验密码。它使用一个预先配置的、具有只读权限的服务账户(Service Account),通过LDAP的Bind操作,连接到AD/LDAP服务器。
  4. 执行Bind操作: IAM系统尝试使用用户提交的用户名(通常是sAMAccountNameuserPrincipalName)和密码,向AD发起一个Bind请求。
  5. 结果判断:
    • Bind成功: AD返回成功响应。这证明了用户的凭证是正确的。IAM系统随即认为用户认证成功,并继续执行后续流程(如MFA、颁发SSO令牌)。
    • Bind失败: AD返回错误(如invalidCredentials)。IAM系统向用户返回“用户名或密码错误”的提示。

架构要点与安全考量:

  • 网络连通性: IAM系统必须能够通过指定的LDAP端口(默认为389,或LDAPS的636)访问到AD的域控制器(DC)。
  • 服务账户权限: 用于连接AD的服务账户应遵循最小权限原则。它通常只需要具备读取用户属性(用于在Bind前搜索用户的DN)和执行Bind操作的权限即可。
  • 使用LDAPS: 为保护用户凭证在传输过程中的安全,强烈建议使用LDAPS(LDAP over SSL/TLS)进行加密通信。这需要IAM系统信任AD域控制器的SSL证书。

三、 模式二:LDAP/AD作为下游系统

当IAM/IDaaS平台作为更权威的身份源时(例如,当身份由云端HR系统驱动),AD就从认证源变为了一个需要被管理的“下游应用”。

工作流程(数据同步 - Provisioning):

  1. 身份源变更: 在IAM平台中发生了一个身份事件,例如通过SCIM接口从HR系统接收到一个“新员工入职”的请求。
  2. 触发工作流: IAM的供给引擎(Provisioning Engine)检测到该事件。
  3. 连接AD/LDAP: IAM系统使用一个具有写入权限的服务账户连接到AD/LDAP服务器。
  4. 执行写操作: 根据事件类型,执行相应的LDAP操作,如创建用户(add)、更新用户(modify)、禁用用户(修改userAccountControl属性)、删除用户(delete)等。

架构要点与配置:

  • 服务账户权限: 此时的服务账户需要具备在特定OU下创建、修改和删除用户/组的权限。权限控制必须精细化,以防误操作。
  • OU与属性映射: 必须精确定义IAM中的组织结构、用户属性与AD中OU、属性的映射关系。
  • 连接器(Connector): 成熟的IAM平台通常会提供专门的AD连接器,该连接器封装了上述复杂的LDAP操作和AD特有的属性处理逻辑。

四、 模式三:IAM作为虚拟LDAP服务(vLDAP)

许多企业内部仍存在大量“遗留应用”(Legacy Apps),如VPN、网络设备、某些旧版商业软件,它们不支持SAML或OIDC等现代认证协议,但支持通过LDAP协议进行用户认证。虚拟LDAP模式正是为了解决这一痛点。

在此模式下,IAM/IDaaS平台自身暴露一个标准的LDAP(S)接口,扮演一个“虚拟”的目录服务器。

工作流程(协议转换网关):

  1. 应用配置: 将遗留应用的LDAP认证配置指向IAM平台提供的vLDAP服务的地址和端口。
  2. 认证请求: 当用户尝试登录该遗留应用时,应用会向IAM的vLDAP接口发起一个LDAP Bind请求,请求中包含用户输入的用户名和密码。
  3. 协议转换与统一认证: IAM的vLDAP服务接收到Bind请求后,并不直接查询本地目录。它执行以下逻辑:
    • 解析请求: 解析出用户名和密码。
    • 调用统一认证引擎: 将这对凭证传递给IAM平台统一的认证引擎
    • 执行真实认证: 统一认证引擎会根据预设策略执行真正的认证流程。这可能包括:
      • 在IAM自身的通用目录中校验密码。
      • 通过代理认证(模式一)去请求后端的AD。
      • 甚至调用外部的身份提供商。
  4. 执行MFA策略: 这是一个关键优势。在密码验证成功后,IAM平台可以强制执行MFA策略。例如,通过Radius协议或自定义的API向用户推送一个MFA挑战。只有在MFA也验证通过后,整个认证才算成功。
  5. 返回LDAP结果:
    • 如果统一认证(密码+MFA)全部成功,vLDAP服务向遗留应用返回一个LDAP Bind Success的响应。
    • 如果任何一步失败,则返回invalidCredentials
  6. LDAP搜索(Search): 遗留应用在Bind成功后,通常会发起Search请求以获取用户属性(如组成员身份)。IAM的vLDAP服务会拦截这些请求,从其通用目录中查询用户数据,并将其格式化为标准的LDAP条目返回。

架构价值与优势:

  • 赋能遗留应用: 无需修改任何老旧应用的代码,就能让它们享受到现代IAM平台带来的集中式认证MFA能力,极大地提升了安全性。
  • 统一认证策略: 所有应用的认证(无论现代还是遗留)都汇聚到IAM平台,可以实施统一的、基于风险的访问策略。
  • 简化管理: 应用管理员不再需要管理分散的认证配置,只需统一指向IAM的vLDAP接口即可。
  • 隐藏后端复杂性: 遗留应用无需关心后端的真实身份源是AD、数据库还是云端目录,vLDAP服务提供了稳定的、统一的抽象层。

总结

在企业IAM的版图中,LDAP与Active Directory并非需要被取代的“遗留系统”,而是需要被深度集成的“核心资产”。一个成功的IAM/IDaaS解决方案,必须能够根据业务需求,灵活地运用三种集成模式:

  • 当需要利用企业现有的密码体系时,将LDAP/AD作为认证源
  • 当需要统一管理身份生命周期时,将LDAP/AD视为一个下游系统进行供给。
  • 当需要将现代安全能力(如MFA)扩展到传统应用时,将自身打造为一个虚拟LDAP服务

理解并熟练运用这三种集成模式,是连接现代云身份管理与企业本地身份基础设施的关键,从而真正实现企业身份的全面统一治理。