不少 IT 管理員都對(duì)如何將 LDAP 目錄服務(wù)集成 Office 365 很感興趣，特別是希望能將 Office 365 的身份憑證拓展到其他場(chǎng)景，例如 OpenVPN 或支持 Kubernetes 或 Docker 的亞馬遜 AWS 云計(jì)算平臺(tái)。

　　在解答這一問題之前，有必要了解 Office 365 的底層身份管理架構(gòu)，也就是微軟的 Azure Active Directory (Azure AD 或 AAD)，它在某些方面拓展了傳統(tǒng) AD 的目錄功能。因此微軟可能會(huì)告訴你 Office 365 并不需要對(duì)接 LDAP 目錄服務(wù)，但也只是微軟宣傳其生態(tài)系統(tǒng)的一種說法。如果管理員確實(shí)存在 LDAP 需求，可以參考下文中的用例。

　　1. LDAP 等目錄服務(wù)如何對(duì)接 Office 365?

　　在 Office 365 中集成 LDAP 目錄服務(wù)實(shí)現(xiàn)不同類型的跨平臺(tái)用例其實(shí)是非常有趣的做法。在這一構(gòu)想中，Office 365 身份憑證可以用于幾乎任何 IT 資源的認(rèn)證，從而減少密碼疲勞和可能存在的弱密碼重復(fù)使用問題。

　　采用 LDAP 目錄服務(wù)的根本原因是讓終端用戶只需持有一組憑證即可訪問日常使用的 IT 資源

　　，包括：

　　Windows、macOS 或 Linux 等操作系統(tǒng)

　　AWS、GCP、本地?cái)?shù)據(jù)中心等云上和本地服務(wù)器

　　基于 LDAP 和 SAML 協(xié)議的 Web 應(yīng)用和本地應(yīng)用

　　NAS 設(shè)備、Samba 文件服務(wù)器、Dropbox、G Drive 等物理和虛擬文件服務(wù)器

　　基于 RADIUS 協(xié)議的有線和無線網(wǎng)絡(luò)設(shè)施

　　各類資源都將連接到一個(gè)統(tǒng)一的身份源，以多種方式進(jìn)行安全認(rèn)證，例如傳統(tǒng)的用戶名/密碼登錄、SSH 密鑰、多因素認(rèn)證(MFA)等。

　　2. 微軟 Azure AD 的局限性

　　然而，無論是只用 Azure AD 還是與本地 AD 聯(lián)合使用都不能實(shí)現(xiàn)上述單一憑證的設(shè)想。考慮到這一點(diǎn)，在選擇跨平臺(tái)的兼容性網(wǎng)絡(luò)準(zhǔn)入方案時(shí)，企業(yè)應(yīng)盡量選擇中立的第三方解決方案，從而支持不同廠商和協(xié)議的設(shè)備在不同位置都能進(jìn)行訪問。

　　寧盾 NDS 身份目錄服務(wù)正是第三方解決方案中的一種，NDS 是標(biāo)準(zhǔn) LDAP 服務(wù)，除支持私有化部署外，還有基于 SaaS 訂閱模式的 NingDS 云身份目錄，正如 AD 和 Azure AD 一樣。IT 管理員可以借助 NDS 身份目錄服務(wù)實(shí)現(xiàn) Office 365 和 LDAP 對(duì)接，甚至可以進(jìn)一步覆蓋用戶的全部 IT 資源(網(wǎng)絡(luò)、VPN、云桌面、堡壘機(jī)等)，有效優(yōu)化用戶的統(tǒng)一登錄和認(rèn)證體驗(yàn)，也方便管理員集中管理資源和身份憑證，實(shí)現(xiàn)用戶快速預(yù)配和注銷，一舉兩得。

　　3. 系統(tǒng)管理和用戶管理合二為一

　　NDS 身份目錄服務(wù)在身份管理層面似乎無可挑剔。那么系統(tǒng)管理層面又如何呢?NDS 也確實(shí)涵蓋了這一點(diǎn)。作為一個(gè)全面的目錄服務(wù)方案，NDS 可以通過類似 GPOs 的策略來強(qiáng)制執(zhí)行系統(tǒng)安全計(jì)劃。而 NDS 更具吸引力的是以 SaaS 形式交付，無需和本地目錄一樣進(jìn)行日常維護(hù)，開箱即用，按需付費(fèi)，而且無需 IT 管理員安裝部署、運(yùn)維。