目录即服务(DaaS)和身份即服务(IDaaS)作为两种常见的云服务由于名称的相似性,很容易产生混淆。两者之间的区别也绝不仅仅在于小小的字母“I”。而要详细比较这两者之间的异同之前,需要先对各自的概念进行明确的定义。
1. 相似性
DaaS 是基于云的目录服务,支持对用户、设备和 IT 应用程序进行身份验证、授权和管理。DaaS 的核心租户是企业的单一目录存储,具有一定的安全性,同时也是企业管理用户及访问资产的权威来源。企业可以根据自身情况通过目录服务将目录作为单点登录(SSO)源,其中 DaaS 解决方案就可以利用 LDAP、SAML 2.0、Oauth 2.0 等多种协议对设备和应用进行访问控制和管理。
IDaaS 是由第三方服务商构建、托管和管理的身份验证基础架构。IDaaS 可以被看作是基于云的单点登录(SSO)平台,即用即付,不一定需要特定的本地软件。一般来说,IDaaS 解决方案基于 SAML 协议,主要针对 SaaS 应用。
DaaS 和 IDaaS 有很多相似之处:
-
都是即用即付模式的云服务
-
都不需要部署本地软件
-
都支持对用户的身份验证和授权
虽然两种服务有很多相似之处,但两者解决的问题不同,因此无法互相替代。
2. 差异性
1) 目录功能
两者最明显的区别在于,DaaS 是权威的目录服务,能够管理多种设备类型,而 IDaaS 能够简化对外部、第三方 SaaS 应用的访问。在 DaaS 中,云目录是用户信息的权威来源,可以将 LDAP 或微软 Active Directory(AD)一起替代。相比之下,IDaaS 通常是 AD 等企业现有目录的镜像,再将其扩展到云应用。
2)单点登录(SSO)功能
第二个区别是两者处理单点登录(SSO)的方式。IDaaS 旨在为用户创建针对 Web 应用(Salesforce, Dropbox)的单点登录(SSO)功能。DaaS 一般不关注企业外部的单点登录(SSO)问题,而是通过 LDAP、Kerberos 等协议解决内部单点登录(SSO)问题。虽然部分单点登录(SSO)可能是目录的产物,但其重点在于为用户提供安全的集中数据源。事实上,IDaaS 方案可以基于 DaaS 方案,并利用用户存储支持用户对关键 Web 应用的访问。
3)设备管理
第三个区别在于对内部设备的管理能力。DaaS 方案能够管理内部设备,包括 Windows、Mac 和 Linux 机器以及云基础设施,并在内部设备上进行维护、执行任务、提升安全和其他事务。而 IDaaS 明显侧重于特权用户的整合和管理以及普通员工的应用登录。
4)对 IT 应用和服务器的连接方式
第四个区别在于两者如何连接 IT 应用和服务器。大多数面向企业内部的 IT 应用和服务器都通过 LDAP 协议在数据中心和托管云中进行本地管理,这些应用和服务器都需要由 DaaS 管理。相比之下,IDaaS 更侧重于外部/第三方 Web 应用,这类应用通过 SAML 协议创建安全身份验证的工作流。
5)使用的协议
第五个区别在于服务器用于信息交换和身份验证的协议语言。DaaS 以 LDAP 为中心,而 IDaaS 以 SAML 为中心。如果企业需要连接并管理的应用和设备使用 LDAP 协议,可以考虑 DaaS 方案,如果是基于 SAML 协议,就可以采用 IDaaS 方案。企业需要注意,在复杂的访问管理(AM)市场中,目录和单点登录(SSO)会是近几年最高产的两大领域。
虽然 DaaS 和 IDaaS 的名称很相似,但两者还是具有显著差异。企业必须学习如何协同使用这两大系统,从中获得最大程度的效用和安全。如果使用得当,企业可以降低硬件和运维成本,还能完善身份验证、用户管理凭证和用户注销流程。本地目录基础架构的时代已经一去不复返了,现在是响应式云目录的时代。DaaS 和 IDaaS 两大方案就可以帮助企业进一步发展并改进内部系统和基础设施管理。