ADFS和NingDS两种统一身份认证，哪种方案更适合现代中小企业？（上）

为了让企业的 IT 系统完成驱动业务生产力的使命，公司决策者必须优先考虑 IT 的安全工作，因为安全是所有技术的基础。

而要选择采用哪种统一身份认证方案并不简单，需要考虑很多因素，其中最重要的一点是所用的平台是否遵循端到端的零信任方法框架。

近期，“零信任”这一概念在产品营销中随处可见，其概念也经常被误用。关于零信任最简单的一种理解是：零信任是一个如何实现 IT 安全的概念，具体涉及身份、工作负载、设备、网络和数据。统一身份认证系统涵盖了这些领域，在验证用户和设备身份方面发挥着关键作用，有力保障安全访问。

NingDS身份目录云和微软的 Active Directory 联合服务（ADFS）是两种常见的统一身份认证系统，可在跨域环境中将身份对接到 IT 资源。本文对比了 ADFS 和 NingDS，直观展现两种系统的异同，帮助企业正确选择更适合的统一认证方案，以实现零信任 IT 安全策略。

一、ADFS vs NingDS

比起用户体验，ADFS 和 NingDS 最大的区别主要体现在底层架构上。

微软 AD 由Windows 2000 引入，目的是在防火墙后进行身份认证、授权和管理。过去二十年里，IT 行业发生了翻天覆地的变化，其中基于 SAML 协议的单点登录（SSO）工具作为一种跨域解决方案越来越受欢迎。ADFS 为了广泛支持 SSO，将遗留的 AD 架构进行扩展，以适用于 Web 端。

但是这种实现方式极其复杂：除了负载均衡器等基本的网络基础设施之外，企业还需要部署、配置和管理运维 server farm（服务器集群），才能实现这一点。

微软自己也承认实施这一方案难度很大。

其客户指南中写道：“我们不推荐使用ADFS这一功能，除非您需要集成单点登录和本地密码管理。这一方法需要管理多台服务器，并且仅适用于安全设置和要求较为复杂的区域，部署难度和成本都较高。”

运行ADFS 的域控制器和运行 Web 应用程序代理的其他服务器都是必要组件，缺点是影响安全性以及增加 IT 管理开销。因此微软建议企业单独为 SSO 部署专门的 server farm （服务器集群）。但是，AD 域控制器根本无法用于跨 WAN （广域网）的 SSO，所以 ADFS 本质上增加了服务器的安全风险。

相比之下，NingDS适用于无域企业，无域环境没有遗留系统，没有需要管理的服务器，云 LDAP 目录、IAM 平台和轻量级代理都能支持易于配置的 SSO。此外，NingDS 也包含一个零信任框架，确保不会对“加域”设备随意授予信任。这也是 ADFS 和 NingDS的一个关键区别：AD 中，域控制器本质上是“信任的”；NingDS 则不是。

二、ADFS 违反零信任原则

微软 AD 中存在一种固有的“信任”原则，在初始访问完成后就会为域上的 Windows 设备授予所有访问权限。而为了确认设备是否可信，还需要一个完整的安全工具生态系统进行验证。因此，这种原生的信任关系与零信任原则完全相反。一旦微软的域控制器接受并信任加域设备，这种信任就会延伸，使得该设备能够访问域中的所有资源。

用户认证工作流

NingDS

登录托管设备，开启用户门户会话，每个应用程序都需要用户名和密码（甚至多因素认证MFA）才能访问。

ADFS

登录到域资源（通常是与域绑定的设备），然后自动对用户进行身份认证并授权访问现有的任意 SSO 应用程序。

由此可见，ADFS 对域资源的原生信任不仅违反了零信任原则，而且为加域设备提供了访问所有资源的权限，反而迫使 IT 管理员采用更多工具来加强访问安全。要保护 ADFS 配置中的组件更是大大增加了管理负担。

三、ADFS 防护费时费力

域控制器安全取决于补丁、端点检测和响应（EDR)、硬件安全以及各环节的运维情况，其复杂程度可想而知：每隔一个周二，Windows Server 就会源源不断地出现零日漏洞。中小企业（SME）很难跟上系统维护的步伐。很多野生的系统漏洞也经常被攻击者利用。2021年，零日攻击次数更是创下新高。种种迹象表明，运行服务器的风险比以往任何时候都高，究其原因就在于冷血的黑客组织受到利益驱使而不断攻击中小企业。

这绝非危言耸听，真实案例比比皆是。例如 Cozy Bear，该组织被认为与俄罗斯情报机构相关，去年年底就利用了 ADFS 身份认证栈中的一个漏洞，导致140多家微软经销商成为攻击目标，其中14家数据被盗。由于 ADFS 的高度复杂性，即使是微软认证的专家在安全方面也是捉襟见肘。

你可能会问，“我的关键任务应用程序是否应该自动信任域控制器？” 当然不行。但如果部署 ADFS 是为了启用 SSO，那么这种信任就不可避免，而且是违背零信任的。ADFS 是 Active Directory 的配套方案，为微软生态增加了便利。但这种便利和熟悉并不是企业回避现代化基础设施的理由。

四、有代价的安全

如前所述，AFDS 并非完全不安全的方案。Windows Server 还是可以被锁定，只是中小企业不太可能会对安全运营中心（SOC）中的威胁狩猎等安全活动全部叠加使用。微软通过 Azure AD 提供一系列收费的安全服务，仅 Azure AD 就有三种不同的威胁和安全工具。如果只是为了增强 ADFS 的安全，购买这些工具只会让成本飙升，效果可能还不好。

如果有安全方面的预算，可以聘请专家处理各类安全问题。否则，即便买再多工具或方案也不能有效提升安全。相比之下，基于零信任框架的 NingDS 更能满足企业的现代化安全需求。

（下篇将讲述 NingDS 零信任架构的优势，以及中小企业使用 NingDS 有何好处。）

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制）