主要观点：在身份治理与管理（IGA）中，连接器用于保持应用程序间用户账户、角色和访问权限的同步。若不部署连接器，对于不支持 SCIM 的遗留和云应用，或不允许入站连接的第三方供应商系统，会出现治理黑洞。解决方案是将目录视为真相来源，通过连接应用程序已用于授权的 LDAP 目录来实现身份治理，无需直接连接应用程序。

关键信息：

• 存在多种难以部署传统连接器的应用场景，如遗留大型机应用、特定 SaaS 平台、本地应用等，会导致未管理、未治理和未审计的访问风险。
• 解决方案是将 LDAP 目录作为连接器，IGA 系统通过管理目录中的组 membership 来控制访问，数据流程包括 provisioning、translation、execution、consumption 和 de-provisioning 等步骤。
• 以 CRMBridge 为例，阐述了实施该模式的步骤，包括在 IGA 中建模 LDAP 目录和应用程序、定期同步 LDAP 目录、进行 provisioning 和 de-provisioning 等。
• 该模式的好处包括可治理“不可连接”应用、简化架构、松耦合、集中审计跟踪等，但也存在有限的属性范围、孤立账户、目录模式处理和同步延迟等挑战。

重要细节：

• IGA 系统可通过连接 LDAP 目录来实现对各种应用的治理，无需了解应用的内部逻辑。
• 在实施过程中，要注意管理 LDAP 组结构，避免出现集群和混淆，同时要平衡同步频率和合规安全政策的延迟。
• 对于存在的挑战，可通过严格的政策、定期的账户核对等方式来解决。

结论：当无法部署传统连接器时，可采用 LDAP 目录驱动的实现方式，将 IGA 系统扩展到难以集成和孤立的应用，有效解决治理问题，创建更强大的身份环境。