什么是目录服务？

目录服务与 IAM 相结合，使组织能够控制用户账户、身份验证、访问控制、权限以及其他关键的网络安全方面。

随着互联网、云计算和远程办公的兴起，目录服务对于组织利用分布式计算架构来增强核心业务流程变得至关重要。目录服务如同网络资源的“电话簿”，存储着用户、设备及其他资源的信息，以便它们能够快速、安全地连接。

与传统按行和列组织信息的关系数据库不同，目录服务是按层次结构设计的。通过使用命名空间（一种对网络资源进行分类以便轻松识别的方法），目录服务的层次结构使得数百万用户和设备能够在网络上交换信息。

目录服务围绕客户端/服务器模型设计，这是一种标准的网络设置，其中一个程序是“客户端”，另一个是“服务器”。在目录服务数据库中，客户端通常是用户、设备或应用程序。

客户端在目录服务数据库中搜索其包含的资源。同时，数据库会进行身份验证流程，以确认其是否拥有访问该资源所需的权限——这一过程称为“身份验证”。

身份验证流程是目录服务功能的核心，因为它确定用户或设备能否访问其请求的资源。身份验证分三步进行：凭据提供、验证和权限授予。

1. 凭据提供：用户或设备提交用于访问所请求资源的凭据。常见的凭据类型包括用户名、密码及可用于确认用户身份的生物特征数据。
2. 验证：目录服务器依赖几种常见协议来验证用户是否与其声称的身份一致。一旦用户身份得到确认，目录服务器会提供一个身份验证票据或词元，用户可将其出示给后续访问的其他应用程序。
3. 权限授予：在用户身份和凭据通过验证后，目录服务数据库会根据其内部访问控制列表 (ACL) 核对所提供的信息，以确定用户能够访问哪些资源。

除了身份验证流程，目录服务器还可能依赖其他常见协议来确认用户身份并确定其可访问的资源：

• 轻量级目录访问协议 (LDAP)：作为管理目录数据的基础协议，LDAP 允许应用程序通过传输控制协议/互联网协议 (TCP/IP) 网络（如互联网）查询目录服务数据库并管理用户身份。

• Kerberos：Kerberos 是一种基于票据的身份验证协议，可签发有时效限制的票据或词元。应用程序可重复使用这些票据和令牌来验证用户身份，而无需用户重新输入密码。Kerberos 获全球顶级目录服务与云平台（如 Microsoft Active Directory (Azure Active Directory)、Red Hat Enterprise Linux、AWS、Google Cloud 和 macOS）广泛采用。

• 安全断言标记语言 (SAML)：SAML 是一种基于 XML 的协议，支持单点登录系统 (SSO)，允许用户使用一套凭据登录多个应用程序。

• 域名系统 (DNS)：域名系统 (DNS) 是一种将人类易读的域名（如 google.com 和 facebook.com）转换为计算机在网络中相互识别所需的 IP 地址的协议。DNS 常被融入目录服务中，以便将可读名称与网络资源相匹配，从而使其更易于识别。  

目录服务的功能依赖于几个关键组件，它们使授权用户、设备和应用程序能够访问目录信息。以下是对每个组件的详细解析。

• 目录服务器：目录服务器是一台物理或虚拟服务器，用于存储数据，以便在目录服务中进行访问和管理。目录服务器依赖 LDAP、LDAPS 和 DNS 等常见协议，以层次化结构管理网络资源信息，便于授权用户、设备和应用程序访问。

• 目录客户端：目录客户端是一种应用程序，它使诸如用户身份验证和身份管理等操作能在目录服务器上执行。与目录服务器类似，目录客户端的功能也依赖于常见的目录服务协议。

• 目录信息树 (DIT)：DIT 是目录服务中信息的层次化组织形式。它由代表用户、群组、应用程序和设备的独立条目构成。一个稳固的 DIT 结构能使授权用户快速、安全地访问目录数据，这是目录服务的核心功能。

• 模式：目录模式是定义目录服务数据库内信息的另一种方式。DIT 是层次化的，而模式则定义了单个目录对象如何存储在目录服务中及其独特属性，确保数据在整个数据库中以一致的方式定义。

• 复制工具：复制工具，也称为复制服务器实例，是能够实现目录信息复制的软件进程。目录信息的复制提供了目录服务的多项关键能力，例如容错性和灾难恢复 (DR)。

现代企业依赖目录服务实现广泛的能力。从增强安全性和合规性，到助力实现高可用性——以下是目录服务为企业带来的主要优势。

目录服务采用了一种不同的方法：无需用户在不同部分多次进行身份验证。而是允许用户一次性完成身份验证，并使用词元或票据来确立其后续身份。

这种方法减少了创建和存储多个密码的必要性，并使得相同的身分验证策略能够在整个数据库中强制执行。

目录服务允许管理员集中化和自动化其权限与角色的管理方式。例如，管理员可以将用户或应用程序添加到一个群组中，并自动授予他们与该群组中其他用户相同的资源访问权限。

这种方式简化并优化了管理任务，降低了人工流程中人为错误的发生概率。

现代目录服务配备了目前最强大的加密工具，确保通信和资源共享的安全性，降低数据泄露的可能性。

此外，目录服务所依赖的许多常见协议（例如 TLS、SSL、MFA 和 SAML）已符合最严格的数据安全标准，如 HIPAA 和 SOC 2。

目录服务旨在同时处理数百万个身份验证请求而不影响其性能，使其成为高可用性系统。

通过广泛分发用户正在访问的目录数据副本，即使处理高于常规的工作负载，也能持续避免停机。

目录服务可以轻松集成到本地和云端环境中，同时利用物理和虚拟资源，并无缝融合两者。

应用程序编程接口 (API) 帮助团队轻松将目录服务与人力资源数据库、客户关系管理 (CRM) 系统以及广泛使用的 Web 应用程序等常见系统集成。

与其他现代复杂的分布式系统一样，目录服务正努力应对由人工智能 (AI) 和物联网 (IoT) 等新技术带来的网络数据量激增。

随着访问和共享信息的应用程序、用户和设备数量远超以往，即使最先进的目录服务也面临着新的挑战。

在目录服务中，维护数据一致性（即所有数据副本或实例保持一致的状态）一直是一项挑战。

随着数据库为满足新技术需求而变得更大、更复杂，保持数据副本的最新状态变得更为困难，并可能影响系统性能。  

为所有需要支持的不同用户和应用提供对目录服务的不间断访问，是一项复杂且资源密集的任务。

容错性——即在组件和系统发生故障时仍能保持运行的能力——需要严格的流程测试和冗余机制，否则系统将发生故障并导致停机。

目录服务因其包含对支持组织的核心业务流程至关重要的宝贵信息，而成为恶意行为者和网络威胁的诱人目标。

攻击者会发起各种针对性攻击（包括勒索软件和身份盗窃），以未经授权的方式获取目录数据，并利用其危害企业。

目录服务在企业层面被广泛使用，并支持大量应用场景。以下是一些最常见的应用场景。

目录服务通过无缝的身份验证流程（例如单点登录 (SSO)）、自动化合规能力以及集中式数字身份管理方法来支持身份和访问管理 (IAM)。IAM 是一项网络安全流程，确保团队能够安全高效地使用云应用程序进行协作。

根据近期报告，2023 年全球 IAM 市场规模价值近 180 亿美元。此外，预计到 2032 年将增长至超过 610 亿美元，年复合增长率 (CAGR) 达到 15.3%。¹

多重身份验证 (MFA) 是一种通过多种验证形式（如密码和生物特征信息）来确认用户身份的方法。

目录服务运用 MFA，为在个人电脑、平板电脑和智能手机等多种设备上远程工作的用户提供额外的保护层。基于目录的 MFA 有助于保护敏感工作负载和信息免受恶意行为者的侵害，并确保符合目录策略。

目录服务使组织能够配置开源计算环境——即底层软件免费且可供任何人使用和构建的计算生态系统。

例如，OpenLDAP 是一个开源目录服务器，FreeIPA 则是一个开源的 IAM 工具。两者都能为运行 Linux（全球最流行的开源操作系统 (OS)）的组织提供开源目录服务。

大多数现代企业都将云作为其数字化转型进程的一部分，这是一个将数字技术持续融入组织各个领域的持续努力。目录服务同时支持混合云和多云环境，这些 IT 架构通过组合不同类型的云资源来优化 IT 基础设施。

例如，先进的目录服务解决方案能够同时保护私有云和公有云实例，从而为用户和应用程序提供快速、一致的身份验证。

目录服务通过整合 DNS 及其他网络系统，帮助企业优化用户组、打印机和文件服务器等关键网络资源。

无论网络复杂性和用户数量如何，IT 管理员都能依赖目录服务以较少的努力在网络上配置和部署资源。目录服务为管理网络资源提供了一个集中枢纽，简化了管理流程，并通过 SSO 等其他身份验证形式让用户即时访问所需资源。

AI 的兴起—— 特别是生成式 AI——不仅有助于自动化以往需要人工输入的流程，而且正在从根本上改变目录服务的多个方面。例如，仅就混合云架构而言， IBM 商业价值研究院 (IBV)  报告显示，68% 的用户已为生成式 AI 的使用制定了正式政策或方法。

曾被视为静态数据库的现代目录服务，凭借人工智能驱动的能力正变得更为智能、更具适应性，甚至自主化。以下是正在变革目录服务的三个人工智能驱动能力示例。