Aktualizováno 15. března 2021
Jaký je rozdíl mezi LDAP a SAML SSO (single sign-on)? Neprovádí LDAP i SAML ověřování uživatelů k aplikacím?
Ačkoli LDAP i SAML jsou ověřovací protokoly a často se používají pro aplikace, využívají se oba pro velmi odlišné případy použití. Ve skutečnosti však organizace často nemusí volit mezi používáním LDAP nebo SAML, ale spíše vyhodnocovat nejoptimálnější způsob využití obou protokolů v rámci svého IT prostředí. Většině organizací využití široké škály autentizačních protokolů ve skutečnosti umožňuje přístup k více typům prostředků IT, které mohou v konečném důsledku lépe podporovat jejich obchodní cíle. Trik je samozřejmě v tom, jak toho dosáhnout, aniž by se zvýšila režie týmu IT.
Krátká lekce historie
Než se ponoříme do rozdílů mezi oběma ověřovacími protokoly, je nejlepší nejprve pochopit, co jsou oba protokoly zač a jak se vyvíjely až tam, kde jsou nyní. Pro zajímavost, LDAP a SAML jsou jen dva z možná půl tuctu hlavních ověřovacích protokolů a možná tuctu, které jsou poměrně široce používané.
Krátký přehled LDAP
LDAP (Lightweight Directory Access Protocol) byl vytvořen na začátku 90. let naším dobrým přítelem Timem Howesem a jeho kolegy a rychle se stal jedním ze základních ověřovacích protokolů používaných v sítích IT. Servery LDAP – například OpenLDAP™ a 389 Directory – se často používají jako zdroj pravdivé identity, známý také jako poskytovatel identity (IdP) nebo adresářová služba. Tato schopnost ve spojení s dalším ověřovacím protokolem zvaným Kerberos a schopnostmi správy systému pomocí zásad a spouštění příkazů vytvořila páteř pro tradiční volbu adresářové služby on-prem, Microsoft® Active Directory®.
Hlavním využitím LDAP je dnes ověřování uživatelů uložených v IdP pro aplikace on-prem nebo jiné procesy serveru Linux®. Mezi aplikace založené na LDAP patří OpenVPN, Jenkins, Kubernetes, Docker, Jira a mnoho dalších.
Tradičně byly IT organizace nuceny vybudovat vlastní infrastrukturu LDAP on-prem spolu s pomocnými službami potřebnými k zajištění bezpečnosti a provozu platformy LDAP. Jako odlehčený protokol funguje LDAP v systémech efektivně a poskytuje IT organizacím velkou kontrolu nad ověřováním a autorizací. Jeho implementace je však náročný technický proces, který vytváří značné množství práce předem pro správce IT s úkoly, jako je vysoká dostupnost, monitorování výkonu, zabezpečení a další.
Krátký přehled SAML
SAML byl naproti tomu vytvořen na začátku roku 2000 výhradně za účelem federace identit do webových aplikací. Protokol byl založen na tom, že v organizaci již bude existovat poskytovatel identit (v té době se předpokládala služba Microsoft Active Directory). Protokol SAML neusiloval o nahrazení poskytovatele identit, ale spíše o jeho využití k potvrzení platnosti identity uživatele.
Toto tvrzení by využil poskytovatel služeb – nebo webová aplikace – prostřednictvím zabezpečené výměny XML. Výsledkem bylo, že identita on-prem, tradičně uložená v Active Directory (AD), mohla být rozšířena na webové aplikace. Dodavatelé použili protokol SAML k vytvoření softwaru, který mohl rozšířit jednu identitu uživatele ze služby AD na řadu webových aplikací, čímž vznikla první generace řešení jednotného přihlašování (SSO) – Identity-as-a-Service (IDaaS). Mezi příklady aplikací, které podporují ověřování SAML, patří Salesforce®, Slack, Trello, GitHub, řešení Atlassian a tisíce dalších.
JumpCloud Single Sign-On
Stovky konektorů, které vám zajistí bezproblémové udělování přístupu ke cloudovým aplikacím
V průběhu let bylo SAML rozšířeno o funkce pro poskytování přístupu uživatelů také k webovým aplikacím. Řešení založená na protokolu SAML byla v minulosti spojena se základním řešením adresářové služby.
Rozdíl mezi LDAP a SAML SSO
Pokud jde o oblasti jejich vlivu, jsou LDAP a SAML SSO tak odlišné, jak jen mohou být. LDAP je samozřejmě zaměřen především na usnadnění ověřování on-prem a dalších serverových procesů. SAML rozšiřuje uživatelská pověření do cloudu a dalších webových aplikací.
Ačkoli jsou rozdíly poměrně značné, v jádru jsou LDAP a SAML SSO stejného druhu. Ve skutečnosti plní stejnou funkci – pomáhají uživatelům připojit se ke zdrojům IT. Z tohoto důvodu je organizace IT často používají ve spolupráci a staly se základními prvky v oblasti správy identit.
Náklady na LDAP a SAML SSO
Ačkoli jsou efektivní, běžné metody implementace LDAP a SAML SSO mohou být pro podnik časově i rozpočtově nákladné. Jak již bylo zmíněno, protokol LDAP je notoricky známý tím, že jeho instalace je technicky náročná a správná konfigurace vyžaduje nadšenou správu. Služba SAML SSO je často hostována v cloudu, ale cenové modely těchto řešení IDaaS mohou být vysoké, nemluvě o požadavku na IdP, který zvyšuje další náklady.
Nová generace poskytovatelů identit naštěstí podporuje tyto různé protokoly uvnitř jednoho centralizovaného cloudového řešení. Namísto toho, aby čelily náročnému úkolu spravovat širokou škálu autentizačních platforem a protokolů, více než 100 tisíc IT organizací důvěřuje platformě JumpCloud Directory Platform, která zajišťuje kompletní správu identit z jednoho okna.
LDAP, SAML SSO a další služby s DaaS
Platforma Directory-as-a-Service (DaaS), která hostuje LDAP, SAML a další služby z cloudu, bezpečně ověřuje identity uživatelů prakticky na libovolném zařízení (Windows, Mac®, Linux), v aplikaci (on-prem nebo v cloudu), v síti, na souborovém serveru (on-prem na bázi LDAP Samba nebo v cloudu na bázi SAML) a další pomocí jediné sady pověření. To znamená méně hesel k zapamatování, méně času stráveného přihlašováním a větší svobodu volby pro zaměstnance.
Kromě LDAP a SAML mohou IT organizace využívat funkce podobné objektům zásad skupiny (GPO) k vynucení bezpečnostních opatření, jako je šifrování celého disku (FDE), vícefaktorové ověřování (MFA) a požadavky na složitost hesel nad skupinami uživatelů a systémy Mac, Windows a Linux. Správci mohou také využívat Cloud RADIUS od JumpCloudu ke zpřísnění zabezpečení sítě pomocí značení VLAN a dalších funkcí.
Cena platformy DaaS
Celá adresářová platforma JumpCloud je k dispozici zdarma pro prvních 10 uživatelů a 10 zařízení ve vaší organizaci. Nad tento rámec se cenový model škáluje podle toho, jak rostete, s hromadnými slevami pro větší organizace, vzdělávací organizace, neziskové organizace a poskytovatele spravovaných služeb (MSP). Nabízíme také možnost pro každý protokol (LDAP, SAML nebo RADIUS) za sníženou cenu.
Pokud si chcete naši cloudovou adresářovou platformu před zakoupením vyzkoušet v akci, vyzkoušejte si ji zdarma ještě dnes pro 10 uživatelů a 10 zařízení. Můžete si také naplánovat živou ukázku produktu nebo se podívat na její záznam zde. Pokud máte další otázky, neváhejte nám zavolat nebo poslat zprávu. Během prvních 10 dnů používání platformy se můžete také spojit s naší prémiovou podporou na chatu 24×7 a naši inženýři vám pomohou.