ADFS和NingDS两种统一身份认证，哪种更适合现代中小企业？（下）

一、NingDS 助力企业完善零信任体系

NingDS 和 ADFS 在 SSO 工作流方面有着明显区别，原因在于背后的理念不同。在初始步骤上，NingDS 的用户体验和 ADFS 类似：

1、使用用户凭证登录托管设备

2、进行多因素认证（MFA）（启用后提示）

3、输入用户名密码登录门户，访问授权资源

需要注意的是，NingDS 单点登录 SSO 中的认证并不会将设备绑定到固有的可信域资源中，而是假设所有用户在认证之前都是不可信的。这和 PC 登录不同，PC 会向域控制器发出单一的身份认证请求。NingDS 还将多因素认证扩展到 RADIUS 和其他协议，目的是通过开放标准将用户安全连接到更多资源，而不仅仅是以新的方式扩展 NingDS。这种方法就非常接近零信任安全。

回顾一下上文提到的设备信任。当用户被添加到组甚至单个设备时，会自动应用强化策略（也称为基准策略）和其他规则/策略。访问权限还取决于用户属性，这些属性用于对所有组成员身份的自动“检查”，最终决定用户对 IT 资源的 SSO（SAML）访问权限，这便是基于RBAC的条件访问策略。这是 Active Directory 无法提供的功能，因为嵌套组可能会忘记用户或者提高访问权限。相比之下，NingDS 提供了基于条件访问策略，降低了用户授权过度的风险，同时确保用户不会被“忘记”。

二、更安全的云服务

NingDS 身份目录云搭建在腾讯云 IaaS 服务平台上，已通过等级保护二级测评，并通过加密传输确保数据安全，通过主机安全和 Web 应用防火墙提供安全防护。每年还会进行多次渗透测试，实践安全设计开发，并维护漏洞披露计划。这些工作恐怕是中小企业从 ADFS 中无法获得的。

更重要的是，NingDS 允许用户访问资源之前通过设备自带的认证进一步提升零信任安全。例如，管理员可以设置条件访问策略指定哪些应用始终需要多因素认证或不能从特定位置之外访问。NingDS 中的身份和访问管理工具正是现代企业急需的零信任配置，满足国家等保要求，是实施零信任战略中不可或缺的要素。

三、一切尽在掌握

NingDS 使统一身份认证系统中看似高大上的零信任概念变得更加接地气，并且非常适用于远程办公模式。相比之下，ADFS 主要还是基于遗留应用，面临管理成本高和信任滥用问题。不可否认，信任是 Windows 域控制器的基础和原理之一。如果企业重视零信任框架就需要在指定安全计划时考虑相应对策，而不是单纯地接受风险。

NingDS 支持企业自行选择身份源（IdP）。如果想使用 Azure，只需在 NingDS 上设置启用 Azure AD 。当然，企业也可以选择 Google 等身份作为身份源，设置同样简单易操作。

企业也可以直接将 NingDS 设为独立目录，它可以导入外部身份和同步身份。如果启用 AD，用户无需再担心 ADFS 的“域信任”增加安全风险，并且企业无需购买硬件即可在一个或多个域控制器上运行 AD DS，省钱省力省时。NingDS 兼容微软 AD，可与微软域控制器并存，NingDS中的 SSO 工具也可扩展供 AD 使用。

对中小企业而言，NingDS 不仅能节省企业在IT基础设施上的开销，还能让现有 AD 更好用更适合现代化的 IT 环境，减轻运维管理负担，提高生产、办公、运维等效率。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解更多内容，可前往宁盾官网博客解锁更多干货）