Apa itu layanan direktori?

Bersama-sama, layanan direktori dan IAM memungkinkan organisasi untuk mengontrol akun pengguna, autentikasi, kontrol akses, izin, dan aspek penting lainnya dari keamanan jaringan.

Dengan munculnya internet, komputasi cloud dan pekerjaan jarak jauh, layanan direktori telah menjadi penting untuk cara organisasi memanfaatkan arsitektur komputasi terdistribusi untuk meningkatkan proses bisnis inti. Layanan direktori bertindak seperti buku telepon untuk sumber daya jaringan, menyimpan informasi tentang pengguna, perangkat, dan sumber daya lainnya sehingga mereka dapat terhubung dengan cepat dan aman.

Tidak seperti basis data relasional tradisional yang mengatur informasi dalam baris dan kolom, layanan direktori dirancang secara hierarkis. Menggunakan namespace, metode mengklasifikasikan sumber daya jaringan sehingga mudah diidentifikasi, struktur hierarkis layanan direktori memungkinkan jutaan pengguna dan perangkat untuk bertukar informasi melalui jaringan.

Layanan direktori dirancang di sekitar model klien/server, pengaturan jaringan standar di mana satu program adalah “klien” dan yang lainnya adalah “server.” Dalam basis data layanan direktori, klien biasanya berupa pengguna, perangkat, atau aplikasi.

Klien mencari sumber daya yang terkandung dalam basis data layanan direktori. Sementara itu, basis data melakukan proses autentikasi untuk melihat apakah basis data memiliki izin yang diperlukan untuk mengakses sumber daya—proses yang dikenal sebagai “autentikasi.”

Proses autentikasi merupakan inti dari fungsionalitas layanan direktori karena proses ini menentukan apakah pengguna atau perangkat dapat mengakses sumber daya yang diminta. Autentikasi dilakukan dalam tiga langkah: pengecekan kredensial, verifikasi, dan izin.

1. Kredensial: Pengguna atau perangkat mengirimkan kredensialnya untuk mengakses sumber daya yang diminta. Contoh umum kredensial termasuk nama pengguna, kata sandi, dan data biometrik yang dapat digunakan untuk menetapkan identitas pengguna.
2. Verifikasi: Server direktori yang digunakan bergantung pada beberapa protokol umum untuk memverifikasi pengguna adalah siapa atau apa yang mereka klaim. Setelah identitas pengguna dibuat, server direktori menyediakan tiket autentikasi atau token yang dapat ditunjukkan ke aplikasi lain yang ditemui pengguna.
3. Izin: Setelah identitas dan kredensial pengguna diverifikasi, basis data layanan direktori memeriksa informasi yang disediakan terhadap daftar kontrol akses internal (ACL) untuk menentukan sumber daya mana yang dapat mereka akses.

Selain proses autentikasi, server direktori mungkin juga bergantung pada protokol umum lainnya untuk mengkonfirmasi identitas pengguna dan menetapkan sumber daya mana yang dapat mereka akses:

• Lightweight Directory Access Protocol (LDAP): Protokol dasar yang mengatur data direktori, LDAP memungkinkan aplikasi untuk melakukan kueri basis data layanan direktori dan mengelola identitas pengguna melalui jaringan Transmission Control Protocol/Internet Protocol (TCP/IP) seperti internet.

• Kerberos: Kerberos adalah protokol autentikasi berbasis tiket yang mengeluarkan tiket atau token terbatas waktu. Aplikasi dapat menggunakan kembali tiket dan token ini untuk memverifikasi identitas pengguna daripada mengharuskan mereka memasukkan kembali kata sandi. Kerberos banyak digunakan oleh beberapa layanan direktori terbesar dan penyedia cloud di dunia, termasuk Microsoft Active Directory (Azure Active Directory), Red Hat® Enterprise Linux®, AWS, Google Cloud dan macOS.

• Security Assertion Markup Language (SAML): SAML adalah protokol berbasis XML yang memungkinkan masuk tunggal (SSO), sistem autentikasi yang memungkinkan pengguna untuk masuk ke beberapa aplikasi dengan satu set kredensial.

• Sistem Nama Domain (DNS): Domain Name System (DNS) adalah protokol yang mengubah nama domain ramah manusia seperti google.com dan facebook.com menjadi alamat Internet Protocol (IP) yang dibutuhkan komputer untuk mengidentifikasi satu sama lain di jaringan. DNS sering dimasukkan ke dalam layanan direktori untuk mencocokkan nama yang dapat dibaca manusia dengan sumber daya jaringan sehingga mereka dapat lebih mudah diidentifikasi.  

Beberapa komponen kunci sangat penting untuk fungsionalitas layanan direktori, memungkinkan pengguna, perangkat, dan aplikasi resmi untuk mengakses informasi direktori. Berikut adalah pandangan lebih dekat pada masing-masing komponen.

• Server direktori: Server direktori adalah server fisik atau Virtual Servers yang menyimpan data sehingga dapat diakses dan dikelola dalam layanan direktori. Server direktori mengandalkan protokol umum seperti LDAP, LDAPS dan DNS untuk mengelola informasi tentang sumber daya jaringan dalam struktur hierarkis yang mudah diakses oleh pengguna, perangkat, dan aplikasi yang berwenang.

• Klien direktori: Klien direktori adalah aplikasi yang memungkinkan operasi seperti autentikasi pengguna dan manajemen identitas dilakukan pada server direktori. Seperti server direktori, klien direktori bergantung pada protokol layanan direktori umum untuk fungsinya.

• Pohon Informasi Direktori (DIT): DIT adalah organisasi hierarkis informasi dalam layanan direktori. Mereka terdiri dari entri individu yang mewakili pengguna, grup, aplikasi, dan perangkat. Struktur DIT yang kuat memungkinkan data direktori diakses dengan cepat dan aman oleh pengguna resmi, fungsi layanan direktori inti.

• Skema: Skema direktori adalah cara lain untuk mendefinisikan informasi dalam basis data layanan direktori. Sementara DIT bersifat hierarkis, skema menentukan bagaimana objek direktori individual disimpan dalam layanan direktori dan properti uniknya, memastikan data didefinisikan secara konsisten di seluruh basis data.

• Alat replikasi: Alat replikasi, juga dikenal sebagai instans server replikasi, adalah proses perangkat lunak yang memungkinkan informasi direktori direplikasi. Replikasi informasi direktori menyediakan beberapa kemampuan utama layanan direktori, seperti toleransi kesalahan dan pemulihan bencana (DR).

Perusahaan modern bergantung pada layanan direktori untuk berbagai kemampuan. Dari meningkatkan keamanan dan kepatuhan, hingga membantu mencapai ketersediaan tinggi—berikut ini adalah manfaat perusahaan teratas dari layanan direktori.

Alih-alih mengharuskan pengguna untuk mengautentikasi beberapa kali saat mereka pindah melalui bagian basis data yang berbeda, layanan direktori fokus pada pendekatan yang berbeda. Mereka memungkinkan pengguna untuk mengautentikasi sekali dan menggunakan token atau tiket untuk menetapkan identitas mereka ke depan.

Pendekatan ini mengurangi kebutuhan untuk membuat dan menyimpan beberapa kata sandi dan memungkinkan kebijakan autentikasi yang sama diberlakukan di seluruh basis data.

Layanan direktori memungkinkan administrator untuk memusatkan dan mengotomatiskan pendekatan mereka terhadap izin dan peran. Misalnya, mereka dapat menambahkan pengguna atau aplikasi ke grup dan mengotomatiskan proses memberi mereka akses ke sumber daya yang sama dengan pengguna lain dalam grup itu.

Pendekatan ini menyederhanakan dan merampingkan tugas administrasi dan mengurangi kemungkinan kesalahan manusia dalam proses manual.

Layanan direktori modern dilengkapi dengan beberapa alat enkripsi terkuat yang tersedia, memastikan bahwa komunikasi dan berbagi sumber daya tetap aman dan mengurangi kemungkinan pelanggaran data.

Juga, banyak protokol umum yang diandalkan oleh layanan direktori (misalnya, TLS, SSL, MFA dan SAML) sudah mematuhi standar keamanan data yang paling ketat, seperti HIPAA dan SOC 2.

Layanan direktori dirancang untuk memproses jutaan permintaan autentikasi pada saat yang sama tanpa mempengaruhi kinerjanya, menjadikannya sistem yang sangat tersedia.

Dengan mendistribusikan replika data direktori yang diakses pengguna secara luas, mereka dapat secara konsisten menghindari waktu henti bahkan saat mengelola beban kerja yang lebih berat dari biasanya.

Layanan direktori dapat dengan mudah diintegrasikan ke dalam on premises dan berbasis cloud, memanfaatkan sumber daya fisik dan virtual dan memadukannya dengan lancar.

Antarmuka pemrograman aplikasi (API) membantu tim dengan mudah mengintegrasikan layanan direktori dengan sistem umum seperti basis data SDM, sistem manajemen hubungan pelanggan (CRM) dan aplikasi web yang banyak digunakan.

Seperti sistem terdistribusi modern dan kompleks lainnya, layanan direktori berjuang untuk mengatasi peningkatan besar-besaran dalam data jaringan yang dibawa oleh teknologi baru seperti kecerdasan buatan (AI) dan Internet of Things (IoT).

Dengan lebih banyak aplikasi, pengguna dan perangkat yang mengakses dan berbagi informasi daripada di masa lalu, bahkan layanan direktori paling canggih pun menghadapi tantangan baru.

Mempertahankan konsistensi data (yaitu, keadaan data di mana semua salinan atau instans tetap sama) selalu menjadi tantangan dalam layanan direktori.

Karena basis data menjadi lebih besar dan lebih kompleks untuk memenuhi kebutuhan teknologi baru, menjaga replika data tetap mutakhir lebih sulit dan dapat memengaruhi kinerja sistem.  

Memberikan akses tanpa gangguan ke layanan direktori untuk semua berbagai pengguna dan aplikasi yang membutuhkan dukungan itu adalah tugas yang kompleks dan padat sumber daya.

Toleransi kesalahan—kemampuan untuk tetap beroperasi bahkan ketika komponen dan sistem gagal—memerlukan pengujian prosedural yang kuat dan redundansi atau sistem akan gagal, mengakibatkan waktu henti.

Layanan direktori merupakan target yang menarik bagi pelaku kejahatan dan ancaman siber karena mengandung informasi berharga yang sangat penting bagi proses bisnis inti organisasi yang didukungnya.

Para penyerang menerapkan berbagai macam serangan yang ditargetkan—termasuk ransomware dan pencurian identitas—untuk mendapatkan akses tanpa izin ke data direktori dan menggunakannya untuk merugikan suatu perusahaan.

Layanan direktori banyak digunakan di tingkat perusahaan dan mendukung berbagai kasus penggunaan. Berikut adalah beberapa yang paling populer.

Layanan direktori mendukung Manajemen Identitas dan Akses (IAM) melalui proses autentikasi yang mulus (misalnya, masuk tunggal (SSO)), kemampuan kepatuhan otomatis, dan pendekatan terpusat untuk mengelola identitas digital. IAM adalah proses keamanan siber yang memastikan tim dapat menggunakan aplikasi cloud untuk berkolaborasi secara efisien dan aman.

Menurut laporan baru-baru ini, ukuran pasar IAM global bernilai hampir USD 18 miliar pada tahun 2023. Terlebih lagi, pasar diproyeksikan tumbuh lebih dari USD 61 miliar pada tahun 2032, menghasilkan tingkat pertumbuhan tahunan gabungan (CAGR) sebesar 15,3%.¹

Autentikasi multi-faktor (MFA) adalah metode untuk memverfikasi identitas pengguna melalui berbagai bentuk bukti, seperti kata sandi dan informasi biometrik.

Layanan direktori menggunakan MFA untuk memberi organisasi lapisan perlindungan ekstra ketika pengguna bekerja dari jarak jauh di beberapa perangkat, seperti komputer pribadi, tablet, dan smartphone. MFA berbasis direktori membantu melindungi beban kerja sensitif dan informasi dari aktor jahat dan memastikan kepatuhan terhadap kebijakan direktori.

Layanan direktori memungkinkan organisasi untuk mengonfigurasi lingkungan komputasi sumber terbuka —ekosistem komputasi di mana perangkat lunak yang mendasarinya gratis dan tersedia bagi siapa saja untuk digunakan dan dikembangkan.

Misalnya, OpenLDAP adalah server direktori sumber terbuka dan FreeIPA adalah alat IAM sumber terbuka. Keduanya memungkinkan layanan direktori sumber terbuka untuk organisasi yang menjalankan Linux, sistem operasi (OS) sumber terbuka yang paling populer di dunia.

Sebagian besar perusahaan modern memanfaatkan cloud sebagai bagian dari perjalanan transformasi digital mereka, upaya berkelanjutan untuk mengintegrasikan teknologi digital ke setiap area organisasi mereka. Layanan direktori mendukung lingkungan hybrid cloud dan multicloud, arsitektur TI yang menggabungkan berbagai jenis sumber daya cloud untuk mengoptimalkan infrastruktur TI.

Sebagai contoh, solusi layanan direktori tingkat lanjut dapat mengamankan instans cloud privat dan publik untuk memungkinkan autentikasi yang cepat dan konsisten bagi pengguna dan aplikasi.

Layanan direktori membantu perusahaan mengoptimalkan sumber daya jaringan penting seperti grup pengguna, printer, dan server file melalui integrasi dengan DNS dan sistem jaringan lainnya.

Manajer TI mengandalkan layanan direktori untuk mengkonfigurasi dan menerapkan sumber daya pada jaringan dengan sedikit usaha, terlepas dari kompleksitas dan jumlah pengguna. Layanan direktori menyediakan hub terpusat untuk mengelola sumber daya jaringan, menyederhanakan administrasi dan memberi pengguna akses instan ke sumber daya yang mereka butuhkan melalui SSO dan bentuk autentikasi lainnya.

Munculnya AI—terutama AI generatif (gen AI)—tidak hanya membantu mengotomatiskan proses yang sebelumnya membutuhkan input manual, tetapi juga secara mendasar mengubah aspek layanan direktori. Misalnya, dalam arsitektur hybrid cloud saja, IBM Institute of Business Value (IBV) melaporkan bahwa 68% pengguna telah memformalkan kebijakan atau pendekatan untuk penggunaan AI generatif.

Sebelumnya dianggap sebagai basis data statis, layanan direktori modern dengan kemampuan didukung AI menjadi lebih pintar, lebih adaptif, dan bahkan otonom. Berikut adalah tiga contoh kemampuan yang didukung AI yang mengubah layanan direktori.