轻量级目录访问协议，即 LDAP 协议，是微软 Active Directory（AD）和 OpenLDAP 等传统身份管理解决方案中的核心身份认证协议。然而，IT 环境的不断发展暴露了传统方案的问题——基于本地部署的设计逻辑无法适应新兴的云计算环境。随着越来越多的 IT 资源上云，本地部署的 LDAP 认证服务器就显得鞭长莫及。另一方面，基于 Web 的 LDAP 认证大大简化了 LDAP 认证服务器的部署和实施，因此在现代企业中备受追捧。

如果企业想要能轻松使用的 LDAP 认证服务，不妨考虑 LDAP 即服务平台——NingDS 身份目录云，全面兼容各类 IT 资源实现用户认证。不过，在介绍这种新的 LDAP 认证方案之前，还是应该先来了解传统 LDAP 认证的特征，才更能体会到基于 Web 的 LDAP 认证方案（LDAP 即服务方案）的优势。

一、传统 LDAP 认证的特征：本地目录

LDAP 方案在1993年创建，主要目的是保护分散的 IT 环境安全。六年后，微软结合了 LDAP 和 Kerberos 两种协议创建了经典的本地目录方案 Active Directory（AD），这也是首次引入用户认证的概念，即对 IT 资源的访问进行身份验证。

在 AD 发布的时期，IT 网络主要基于 Windows 系统和本地部署，这也是微软能够将 AD 开发为本地身份管理平台的主要条件。AD 在帮助企业管理各种资源的访问上的确发挥了巨大作用，包括应用、Windows 系统、文件服务器甚至是企业网络。

二、IT 环境的变化如何影响 AD

多年来， AD 都尽职尽责，为企业提供了良好的本地目录服务。然而，2010年开始，IT 领域的发展改变了企业的身份管理方式。无线网络的出现颠覆了原有的网络架构，阿里云、AWS 等云基础设施也开始取代本地数据中心，而 Web 应用的开发也几乎能满足所有业务需求。

紧接着是远程办公、异构系统（Windows、Mac、Linux）和自带设备（BYOD），这些新事物、新趋势不断挑战支持同构系统和本地基础架构的旧身份管理工具，最终导致IT 管理开始崩溃。

究其原因，AD 和 OpenLDAP 是基于当时的 IT 环境开发的，本地资源的管理相对简单。而在今天，企业需要的是能够同时连接到本地和云上 IT 资源的身份管理解决方案，LDAP 也必须跟上变革的步伐。于是就有了下一代基于 Web 的 LDAP 认证方案——身份目录即服务（Directory-as-a-Service， DaaS）。

三、有了 DaaS，就有了基于 Web 的 LDAP 认证

过去，LDAP 一直作为基础协议，用户必须通过身份验证才能访问本地 IT 资源。企业要转向云计算时代的 LDAP 方案就必须采用基于 Web 的 LDAP 认证，也称为 LDAP 即服务，这也是 DaaS 的核心能力之一。企业可以利用 LDAP 即服务的优势，避免本地部署、实施，更无需维护本地 LDAP 认证服务器。

宁盾身份目录云 NingDS 基于DaaS 身份目录即服务技术路线设计研发，可将用户连接到 IT 资源，且不受平台、厂商、协议或位置的限制。NingDS 提供 SaaS 服务，无需本地部署，开箱即用，按需订阅。除核心的 LDAP 服务外，还可提供多因素认证（MFA）、单点登录（SSO）、RADIUS 认证等功能，不仅能保护 IT 资源安全，更能把控企业网络准入安全，实现人、端、网、应用等一体化管理。

本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解更多内容，可前往宁盾官网博客解锁更多干货