Office 365 如何集成 LDAP 目錄服務？

　　不少 IT 管理員都對如何將 LDAP 目錄服務集成 Office 365 很感興趣，特別是希望能將 Office 365 的身份憑證拓展到其他場景，例如 OpenVPN 或支持 Kubernetes 或 Docker 的亞馬遜 AWS 云計算平臺。

　　在解答這一問題之前，有必要了解 Office 365 的底層身份管理架構，也就是微軟的 Azure Active Directory (Azure AD 或 AAD)，它在某些方面拓展了傳統 AD 的目錄功能。因此微軟可能會告訴你 Office 365 并不需要對接 LDAP 目錄服務，但也只是微軟宣傳其生態系統的一種說法。如果管理員確實存在 LDAP 需求，可以參考下文中的用例。

　　1. LDAP 等目錄服務如何對接 Office 365?

　　在 Office 365 中集成 LDAP 目錄服務實現不同類型的跨平臺用例其實是非常有趣的做法。在這一構想中，Office 365 身份憑證可以用于幾乎任何 IT 資源的認證，從而減少密碼疲勞和可能存在的弱密碼重復使用問題。

　　采用 LDAP 目錄服務的根本原因是讓終端用戶只需持有一組憑證即可訪問日常使用的 IT 資源

　　，包括：

　　Windows、macOS 或 Linux 等操作系統

　　AWS、GCP、本地數據中心等云上和本地服務器

　　基于 LDAP 和 SAML 協議的 Web 應用和本地應用

　　NAS 設備、Samba 文件服務器、Dropbox、G Drive 等物理和虛擬文件服務器

　　基于 RADIUS 協議的有線和無線網絡設施

　　各類資源都將連接到一個統一的身份源，以多種方式進行安全認證，例如傳統的用戶名/密碼登錄、SSH 密鑰、多因素認證(MFA)等。

　　2. 微軟 Azure AD 的局限性

　　然而，無論是只用 Azure AD 還是與本地 AD 聯合使用都不能實現上述單一憑證的設想?？紤]到這一點，在選擇跨平臺的兼容性網絡準入方案時，企業應盡量選擇中立的第三方解決方案，從而支持不同廠商和協議的設備在不同位置都能進行訪問。

　　寧盾 NDS 身份目錄服務正是第三方解決方案中的一種，NDS 是標準 LDAP 服務，除支持私有化部署外，還有基于 SaaS 訂閱模式的 NingDS 云身份目錄，正如 AD 和 Azure AD 一樣。IT 管理員可以借助 NDS 身份目錄服務實現 Office 365 和 LDAP 對接，甚至可以進一步覆蓋用戶的全部 IT 資源(網絡、VPN、云桌面、堡壘機等)，有效優化用戶的統一登錄和認證體驗，也方便管理員集中管理資源和身份憑證，實現用戶快速預配和注銷，一舉兩得。

　　3. 系統管理和用戶管理合二為一

　　NDS 身份目錄服務在身份管理層面似乎無可挑剔。那么系統管理層面又如何呢?NDS 也確實涵蓋了這一點。作為一個全面的目錄服務方案，NDS 可以通過類似 GPOs 的策略來強制執行系統安全計劃。而 NDS 更具吸引力的是以 SaaS 形式交付，無需和本地目錄一樣進行日常維護，開箱即用，按需付費，而且無需 IT 管理員安裝部署、運維。