ما المقصود بخدمة الدليل؟

معًا، تمكِّن خدمات الدليل وإدارة الهوية والوصول (IAM) المؤسسات من التحكم في حسابات المستخدمين والمصادقة وضبط الوصول والصلاحيات، وغيرها من الجوانب الحيوية لأمن الشبكات.

مع ظهور الإنترنت والحوسبة السحابية والعمل عن بُعد، أصبحت خدمات الدليل عنصرًا محوريًا في كيفية استفادة المؤسسات من البنى للحوسبة الموزعة لتعزيز عمليات الأعمال الأساسية. تعمل خدمات الدليل كدليل هاتفي لموارد الشبكة، حيث تخزِّن معلومات المستخدمين والأجهزة وغيرها من الموارد لتمكينها من الاتصال بسرعة وأمان.

على عكس قواعد البيانات العلائقية التقليدية التي تنظِّم المعلومات في صفوف وأعمدة، تم تصميم خدمات الدليل بشكل هرمي. باستخدام مساحات الأسماء، وهي طريقة لتصنيف موارد الشبكة لتسهيل التعرُّف عليها، يُتيح الهيكل الهرمي لخدمات الدليل لملايين المستخدمين والأجهزة تبادل المعلومات عبر الشبكة.

تم تصميم خدمات الدليل حول نموذج العميل/الخادم، وهو إعداد شبكي قياسي حيث يكون أحد البرامج هو "العميل" والآخر هو "الخادم". في قاعدة بيانات خدمات الدليل، يكون العميل عادةً مستخدمًا أو جهازًا أو تطبيقًا.

يبحث العميل عن مورد موجود في قاعدة بيانات خدمات الدليل. في الوقت نفسه، تُجري قاعدة البيانات عملية "مصادقة" للتحقق من إذا ما كان يملك الأذونات اللازمة للوصول إلى المورد.

تُعد عملية المصادقة جوهر وظيفة خدمات الدليل؛ لأنها تحدد إذا ما كان المستخدم أو الجهاز يمكنه الوصول إلى المورد المطلوب. يتم إجراء عملية المصادقة على ثلاث خطوات: الاعتماد والتحقق والأذونات.

1. الاعتماد: يقوم المستخدم أو الجهاز بتقديم بيانات اعتماده للوصول إلى المورد المطلوب. تشمل الأمثلة الشائعة على بيانات الاعتماد أسماء المستخدمين وكلمات المرور والبيانات البيومترية التي يمكن استخدامها للتحقق من هوية المستخدم.
2. التحقق: يعتمد خادم الدليل على عدة بروتوكولات شائعة للتحقق من صحة هوية المستخدم أو الجهاز. بمجرد تأكيد هوية المستخدم، يوفر خادم الدليل تذكرة مصادقة أو رمزًا مميزًا يمكن تقديمه للتطبيقات الأخرى التي يستخدمها.
3. الأذونات: بعد التحقق من هوية المستخدم وبيانات اعتماده، تعمل قاعدة بيانات خدمات الدليل على فحص المعلومات المقدَّمة مقابل قوائم التحكم في الوصول الداخلية (ACLs) لتحديد الموارد التي يمكنهم الوصول إليها.

بالإضافة إلى عملية المصادقة، قد يعتمد خادم الدليل على بروتوكولات شائعة أخرى لتأكيد هوية المستخدم وتحديد الموارد التي يمكنه الوصول إليها:

• البروتوكول الخفيف للوصول للأدلة (LDAP): هو البروتوكول الأساسي الذي يتحكَّم في بيانات الدليل، ويُتيح للتطبيقات الاستعلام في قواعد بيانات خدمات الدليل وإدارة هويات المستخدمين عبر شبكات Transmission Control Protocol/Internet Protocol (TCP/IP) مثل الإنترنت.

• Kerberos: هو بروتوكول مصادقة يعتمد على التذاكر، ويُصدر تذاكر أو رموزًا مميزة لها فترة زمنية محددة. يمكن للتطبيقات إعادة استخدام هذه التذاكر والرموز المميزة للتحقق من هوية المستخدم بدلًا من طلب إدخال كلمة المرور مرة أخرى. يتم استخدام Kerberos على نطاق واسع من قِبل بعض أكبر مزوِّدي خدمات الدليل والحوسبة السحابية في العالم، بما في ذلك Microsoft Active Directory (Azure Active Directory) وRed Hat Enterprise Linux وAWS وGoogle Cloud وmacOS.

• لغة ترميز تأكيد الأمان (SAML): هي بروتوكول قائم على XML يُتيح تسجيل الدخول الموحَّد (SSO)، وهو نظام مصادقة يمكِّن المستخدمين من تسجيل الدخول إلى عدة تطبيقات باستخدام مجموعة واحدة من بيانات الاعتماد.

• نظام أسماء النطاقات (DNS): نظام أسماء النطاقات (DNS) هو بروتوكول يحوِّل أسماء النطاقات سهلة الاستخدام مثل google.com وfacebook.com إلى عناوين بروتوكول الإنترنت (IP) التي تحتاجها أجهزة الكمبيوتر للتعرف على بعضها على الشبكة. غالبًا ما يتم دمج نظام أسماء النطاقات (DNS) في خدمات الدليل لمطابقة الأسماء القابلة للقراءة من قِبل البشر مع موارد الشبكة، لتسهيل التعرُّف عليها. 

تُعَد العديد من العناصر الرئيسية ضرورية لوظائف خدمات الدليل، ما يُتيح للمستخدمين والأجهزة والتطبيقات المصرّح لها الوصول إلى معلومات الدليل. وفيما يلي نظرة فاحصة على كل عنصر.

• خادم الدليل: هو خادم فعلي أو افتراضي يخزِّن البيانات ليتم الوصول إليها وإدارتها في خدمة الدليل. تعتمد خوادم الدليل على بروتوكولات شائعة مثل LDAP وLDAPS وDNS لإدارة معلومات موارد الشبكة في هيكل هرمي يسهل الوصول إليه من قِبل المستخدمين والأجهزة والتطبيقات المصرّح لها.

• عملاء الدليل: هو تطبيق يُتيح تنفيذ عمليات مثل مصادقة المستخدم وإدارة الهوية على خادم الدليل. مثل خوادم الدليل، يعتمد عملاء الدليل على بروتوكولات خدمات الدليل الشائعة لتنفيذ وظائفهم.

• شجرة معلومات الدليل (DIT): هي التنظيم الهرمي للمعلومات داخل خدمة الدليل. وتتكوّن من سجلات فردية تمثِّل المستخدمين والمجموعات والتطبيقات والأجهزة. تتيح بنية DIT القوية إمكانية الوصول إلى بيانات الدليل بسرعة وأمان من قِبل المستخدمين المصرح لهم، وهي إحدى وظائف خدمات الدليل الأساسية.

• المخطط: مخططات الدليل هي طريقة أخرى لتحديد المعلومات داخل قاعدة بيانات خدمات الدليل. بينما تكون شجرة معلومات الدليل (DIT) هرمية، تحدِّد المخططات كيفية تخزين كائنات الدليل الفردية في خدمة الدليل وخصائصها الفريدة، ما يضمن تعريف البيانات بطريقة متسقة عبر قاعدة البيانات بأكملها.

• أدوات التكرار: تُعرَف أيضًا بمثيلات خوادم التكرار، وهي عمليات برمجية تمكِّن من نسخ معلومات الدليل وتكرارها. يوفر تكرار معلومات الدليل قدرات رئيسية لخدمات الدليل، مثل تحمُّل الأعطال والتعافي من الكوارث (DR).

تعتمد المؤسسات الحديثة على خدمات الدليل لمجموعة واسعة من القدرات. من تعزيز الأمان والامتثال، إلى المساعدة على تحقيق توفُّر عالٍ - إليك نظرة على أهم الفوائد من خدمات الدليل للمؤسسات.

بدلًا من مطالبة المستخدمين بالمصادقة عدة مرات أثناء تنقلهم عبر أجزاء مختلفة من قاعدة البيانات، تركِّز خدمات الدليل على نهج مختلف. وتمكِّن المستخدمين من المصادقة مرة واحدة فقط، ثم استخدام رمز مميز أو تذكرة لإثبات هويتهم لاحقًا.

يقلل هذا النهج الحاجة إلى إنشاء وتخزين كلمات مرور متعددة، ويسمح بفرض سياسات المصادقة نفسها على قاعدة البيانات بأكملها.

تمكِّن خدمات الدليل المسؤولين من توحيد وأتمتة إدارة الأذونات والأدوار. على سبيل المثال، يمكنهم إضافة مستخدم أو تطبيق إلى مجموعة وأتمتة عملية منحه الوصول إلى الموارد نفسها التي يتمتع بها باقي الأعضاء في تلك المجموعة.

يعمل هذا النهج على تبسيط مهام الإدارة وتسهيلها، كما يقلل احتمالية حدوث الأخطاء البشرية في العمليات اليدوية.

تم تجهيز خدمات الدليل الحديثة ببعضٍ من أقوى أدوات التشفير المتاحة، ما يضمن استمرار أمن الاتصالات ومشاركة الموارد وتقليل احتمالية حدوث اختراق للبيانات.

كما أن العديد من البروتوكولات الشائعة التي تعتمد عليها خدمات الدليل (على سبيل المثال، TLS وSSL وMFA وSAML) تتوافق بالفعل مع أكثر المعايير صرامة لأمن البيانات، مثل HIPAA وSOC 2.

تم تصميم خدمات الدليل لمعالجة الملايين من طلبات المصادقة في الوقت نفسه دون التأثير في أدائها، ما يجعلها أنظمة عالية التوفر.

من خلال التوزيع الواسع لنسخ بيانات الدليل التي يصل إليها المستخدمون، يمكنهم تجنُّب فترات التعطُّل باستمرار حتى أثناء إدارة أعباء عمل أثقل من المعتاد.

يمكن دمج خدمات الدليل بسهولة في البيئات المحلية والسحابية، مع الاستفادة من الموارد المادية والافتراضية ودمجها بسلاسة.

تساعد واجهات برمجة التطبيقات (APIs) الفِرق على دمج خدمات الدليل بسهولة مع الأنظمة الشائعة مثل قواعد بيانات الموارد البشرية، وأنظمة إدارة علاقات العملاء (CRM) وتطبيقات الويب المستخدمة على نطاق واسع.

مثل الأنظمة الموزعة الحديثة والمعقدة الأخرى، تكافح خدمات الدليل للتعامل مع الزيادة الهائلة في بيانات الشبكة الناتجة عن التقنيات الجديدة مثل الذكاء الاصطناعي وإنترنت الأشياء.

مع تزايد عدد التطبيقات والمستخدمين والأجهزة التي تَصِل إلى المعلومات وتشاركها مقارنةً بالماضي، تواجه حتى أكثر خدمات الدليل تطورًا تحديات جديدة.

الحفاظ على اتساق البيانات (أي الحالة التي تظل فيها جميع النسخ أو المثيلات متطابقة) كان دائمًا تحديًا في خدمات الدليل.

مع تزايد حجم قواعد البيانات وتعقيدها لتلبية احتياجات التقنيات الجديدة، يصبح تحديث النسخ المتماثلة للبيانات أكثر صعوبة، وقد يؤثِّر ذلك في أداء النظام. 

يُعَد توفير الوصول المستمر إلى خدمات الدليل لجميع المستخدمين والتطبيقات المختلفة الذين يحتاجون للدعم مهمة معقدة وتتطلب موارد كبيرة.

إن تحمُّل الأعطال -القدرة على البقاء قيد التشغيل حتى عند تعطُّل العناصر والأنظمة- يتطلب اختبارًا إجرائيًا قويًا وتكرارًا، وإلا فإن الأنظمة ستفشل، ما يؤدي إلى تعطُّل النظام.

تُعَد خدمات الدليل أهدافًا جذابة للمهاجمين والتهديدات الإلكترونية؛ لأنها تحتوي على معلومات ثمينة تُعَد ضرورية للعمليات الأساسية للمؤسسات التي تدعمها.

يشنّ المهاجمون مجموعة واسعة من الهجمات الموجَّهة، بما في ذلك هجمات برامج الفدية وسرقة الهوية، للحصول على وصول غير مصرّح به إلى بيانات الدليل واستخدامها للإضرار بالمؤسسة.

يتم استخدام خدمات الدليل على نطاق واسع على مستوى المؤسسة وتدعم مجموعة كبيرة من حالات الاستخدام. وفيما يلي بعض من أبرز هذه الحالات.

تدعم خدمات الدليل إدارة الهوية والوصول (IAM) من خلال عمليات مصادقة سلسة (مثل تسجيل الدخول الموحَّد (SSO))، وقدرات الامتثال المؤتمت، والنهج المركزي لإدارة الهويات الرقمية. تُعَد إدارة الهوية والوصول (IAM) عملية الأمن الإلكتروني التي تضمن للفِرق استخدام التطبيقات السحابية للتعاون بكفاءة وأمان.

وفقًا لتقرير حديث، بلغت قيمة سوق إدارة الهوية والوصول العالمي نحو 18 مليار دولار أمريكي في عام 2023. علاوةً على ذلك، من المتوقع أن ينمو ليصل إلى أكثر من 61 مليار دولار أمريكي بحلول عام 2032، محققًا معدل نمو سنوي مركَّبًا (CAGR) بنسبة 15.3%.¹

المصادقة متعددة العوامل (MFA) هي طريقة للتحقق من هوية المستخدم من خلال أشكال متعددة من الإثبات، مثل كلمات المرور والمعلومات البيومترية.

تستخدم خدمات الدليل المصادقة متعددة العوامل لتوفير طبقات إضافية من الحماية للمؤسسات عندما يعمل المستخدمون عن بُعد على أجهزة متعددة، مثل أجهزة الكمبيوتر الشخصية والأجهزة اللوحية والهواتف الذكية. تساعد المصادقة متعددة العوامل القائمة على الدليل في حماية أعباء العمل والمعلومات الحساسة من الجهات الخبيثة وتضمن الامتثال لسياسات الدليل.

تُتيح خدمات الدليل للمؤسسات تكوين بيئات الحوسبة مفتوحة المصدر - وهي أنظمة بيئية للحوسبة حيث تكون البرامج الأساسية مجانية ومتاحة لأي شخص لاستخدامها والبناء عليها.

على سبيل المثال، OpenLDAP هو خادم دليل مفتوح المصدر وFreeIPA هي أداة مفتوحة المصدر لإدارة الهوية والوصول. وكلاهما يُتيح خدمات الدليل مفتوحة المصدر للمؤسسات التي تعمل على Linux، أكثر أنظمة التشغيل مفتوحة المصدر شهرة في العالم.

تستفيد معظم المؤسسات الحديثة من الحوسبة السحابية كجزء من رحلتها في التحول الرقمي، وهو جهد مستمر لدمج التكنولوجيا الرقمية في جميع مجالات المؤسسة. تدعم خدمات الدليل كلًّا من البيئات السحابية الهجينة والسحابية المتعددة، وهي بنى تحتية لتكنولوجيا المعلومات تجمع بين أنواع مختلفة من موارد السحابة لتحسين البنية التحتية لتكنولوجيا المعلومات.

على سبيل المثال، يمكن لحلول خدمات الدليل المتقدمة تأمين كلٍّ من نسخ السحابة الخاصة والعامة، لتمكين مصادقة سريعة ومتسقة للمستخدمين والتطبيقات.

تساعد خدمات الدليل المؤسسات على تحسين موارد الشبكة الحيوية مثل مجموعات المستخدمين والطابعات وخوادم الملفات من خلال التكامل مع نظام أسماء النطاقات (DNS) وأنظمة الشبكة الأخرى.

يعتمد مديرو تكنولوجيا المعلومات على خدمات الدليل لتكوين ونشر الموارد على الشبكة بأقل جهد ممكن، بغض النظر عن مدى تعقيدها وعدد المستخدمين. توفِّر خدمات الدليل مركزًا موحَّدًا لإدارة موارد الشبكة، ما يؤدي إلى تبسيط الإدارة ويمنح المستخدمين وصولًا فوريًا إلى الموارد التي يحتاجونها من خلال تسجيل الدخول الموحَّد (SSO) وأشكال أخرى من المصادقة.

إن صعود الذكاء الاصطناعي -وخاصةً الذكاء الاصطناعي التوليدي- لا يساعد فقط على أتمتة العمليات التي كانت تتطلب سابقًا إدخالًا يدويًا، ولكنه يغير أيضًا بشكل جذري جوانب خدمات الدليل. على سبيل المثال، في بنى الحوسبة السحابية الهجينة وحدها، أفاد معهد IBM Institute of Business Value (IBV) أن 68% من المستخدمين قد وضعوا بالفعل سياسة أو نهجًا رسميًا لاستخدام الذكاء الاصطناعي التوليدي.

أصبحت خدمات الدليل الحديثة، التي كانت تُعَد في السابق قواعد بيانات ثابتة، والتي تتمتع بقدرات مدعومة بالذكاء الاصطناعي، أكثر ذكاءً وتكيفًا، بل وحتى مستقلة. وفيما يلي ثلاثة أمثلة على القدرات المدعومة بالذكاء الاصطناعي والتي تُحدِث تحوُّلًا في خدمات الدليل.