Opdateret den 15. marts 2021
Hvad er forskellen mellem LDAP og SAML SSO (single sign-on)? Godkender ikke både LDAP og SAML brugere til applikationer?
Mens både LDAP og SAML er autentificeringsprotokoller og ofte anvendes til applikationer, udnyttes de to til meget forskellige brugssituationer. I virkeligheden skal organisationer dog ikke ofte vælge mellem at bruge LDAP eller SAML, men snarere evaluere den mest optimale måde at udnytte begge protokoller på i deres it-miljø. For de fleste organisationer giver udnyttelsen af en bred vifte af autentificeringsprotokoller dem faktisk adgang til flere typer it-ressourcer, som i sidste ende kan understøtte deres forretningsmål bedre. Tricket er naturligvis at gøre det uden at øge it-teamets overhead.
En kort historisk lektion
Hvor vi dykker ned i forskellene mellem de to godkendelsesprotokoller, er det bedst først at forstå, hvad de hver især er, og hvordan de har udviklet sig til, hvor de er nu. LDAP og SAML er blot to af måske et halvt dusin større autentifikationsprotokoller, og måske et dusin, der er ret udbredt.
En kort oversigt over LDAP
LDAP (Lightweight Directory Access Protocol) blev oprettet i begyndelsen af 1990’erne af vores gode ven Tim Howes og hans kolleger og blev hurtigt en af de grundlæggende autentifikationsprotokoller, der anvendes af it-netværk. LDAP-servere – f.eks. OpenLDAP™ og 389 Directory – anvendes ofte som en identitetskilde, også kendt som en identitetsudbyder (IdP) eller katalogtjeneste. Denne evne, kombineret med en anden godkendelsesprotokol kaldet Kerberos og systemadministrationsevner ved hjælp af politikker og udførelse af kommandoer, skabte rygraden for det traditionelle valg af katalogtjeneste på stedet, Microsoft® Active Directory®.
Den vigtigste anvendelse af LDAP i dag er at godkende brugere, der er gemt i IdP’en, til lokale programmer eller andre Linux®-serverprocesser. LDAP-baserede applikationer omfatter OpenVPN, Jenkins, Kubernetes, Docker, Jira og mange andre.
Traditionelt har it-organisationer været tvunget til at opbygge deres egen LDAP-infrastruktur on-prem sammen med de hjælpetjenester, der er nødvendige for at holde LDAP-platformen sikker og operationel. Som en letvægtsprotokol kører LDAP effektivt på systemer og giver it-organisationer stor kontrol over autentificering og autorisering. Implementeringen af den er imidlertid en besværlig teknisk proces, der skaber betydeligt arbejde på forhånd for it-administratorer med opgaver som høj tilgængelighed, overvågning af ydeevne, sikkerhed m.m.
En kort oversigt over SAML
SAML blev på den anden side oprettet i begyndelsen af 2000’erne med det eksklusive formål at samle identiteter til webapplikationer. Protokollen blev instantieret på det faktum, at der ville være en identitetsudbyder, der allerede eksisterede i en organisation (på det tidspunkt var antagelsen Microsoft Active Directory). SAML-protokollen havde ikke til formål at erstatte IdP’en, men snarere at bruge den til at bekræfte gyldigheden af en brugers identitet.
Denne bekræftelse ville blive udnyttet af en tjenesteudbyder – eller webapplikation – via en sikker XML-udveksling. Resultatet var, at en on-prem-identitet, der traditionelt er gemt i Active Directory (AD), kunne udvides til webapplikationer. Leverandørerne brugte SAML til at skabe software, der kunne udvide en brugeridentitet fra AD til et væld af webapplikationer, hvilket skabte den første generation af Identity-as-a-Service (IDaaS)-single sign-on (SSO)-løsninger. Eksempler på applikationer, der understøtter SAML-godkendelse, omfatter Salesforce®, Slack, Trello, GitHub, Atlassian-løsning og tusindvis af andre.
JumpCloud Single Sign-On
Hundredvis af konnektorer, der sikrer, at du kan give adgang til cloud-applikationer uden gnidninger
I årenes løb er SAML blevet udvidet til at tilføje funktionalitet til også at tilvejebringe brugeradgang til webapplikationer. SAML-baserede løsninger er historisk set blevet parret med en kernekatalogtjeneste-løsning.
Forskellen mellem LDAP og SAML SSO
Når det kommer til deres indflydelsesområder, er LDAP og SAML SSO så forskellige, som de kan være. LDAP er naturligvis mest fokuseret på at lette on-prem autentificering og andre serverprocesser. SAML udvider brugeroplysningerne til skyen og andre webapplikationer.
Mens forskellene er ret betydelige, er LDAP og SAML SSO i bund og grund af samme type. De tjener faktisk den samme funktion – at hjælpe brugerne med at oprette forbindelse til deres it-ressourcer. På grund af dette bruges de ofte i samarbejde af it-organisationer og er blevet hæfteklammer i identitetsstyringsindustrien.
Udgifterne ved LDAP og SAML SSO
Og selv om de er effektive, kan de almindelige metoder til LDAP- og SAML SSO-implementeringer være dyre for en virksomheds tid og budget. LDAP er som tidligere nævnt notorisk teknisk at instantiere og kræver en ivrig ledelse for at blive konfigureret korrekt. SAML SSO er ofte cloud-hosted, men prismodellerne for disse IDaaS-løsninger kan være høje, for ikke at nævne at kravet om en IdP tilføjer yderligere omkostninger.
Godt nok understøtter en ny generation af identitetsudbydere disse forskellige protokoller inden for en centraliseret cloud-baseret løsning. I stedet for at stå over for den skræmmende opgave med at administrere en bred vifte af autentificeringsplatforme og protokoller, stoler over 100k it-organisationer på JumpCloud Directory Platform til at udføre komplet identitetsstyring fra én rude af glas.
LDAP, SAML SSO og meget mere med DaaS
Gennem hosting af LDAP, SAML og meget mere fra skyen autentificerer en Directory-as-a-Service (DaaS)-platform (Directory-as-a-Service) sikkert brugeridentiteter til stort set alle enheder (Windows, Mac®, Linux), applikationer (on-prem eller cloud), netværk, filservere (on-prem LDAP Samba-baseret eller cloud SAML-baseret) og meget mere ved hjælp af et enkelt sæt legitimationsoplysninger. Det betyder færre adgangskoder at huske, mindre tid brugt på at logge ind og større valgfrihed for medarbejderne.
Bortset fra LDAP og SAML kan it-organisationer udnytte gruppepolitikobjekt (GPO)-lignende funktioner til at håndhæve sikkerhedsforanstaltninger som f.eks. fuld disk-kryptering (FDE), multi-faktor-autentifikation (MFA) og krav til adgangskodekompleksitet over brugergrupper og Mac-, Windows- og Linux-systemer. Administratorer kan også bruge JumpClouds Cloud RADIUS til at stramme op på netværkssikkerheden med VLAN-tagging og meget mere.
Kostprisen for DaaS-platforme
Hele JumpCloud Directory Platform er tilgængelig gratis for de første 10 brugere og 10 enheder i din organisation. Derefter skalerer prismodellen efterhånden som du gør det, med mængderabatter for større organisationer, uddannelsesorganisationer, nonprofitorganisationer og managed service providers (MSP’er). Vi tilbyder også en løsning pr. protokol (LDAP, SAML eller RADIUS) til en reduceret pris.
Hvis du gerne vil se vores cloud directory-platform i aktion, før du køber den, kan du prøve den gratis i dag for 10 brugere og 10 enheder. Du kan også planlægge en live-demo af produktet, eller se en optaget demo her. Hvis du har yderligere spørgsmål, er du velkommen til at give os et opkald eller sende en besked. Du kan også oprette forbindelse til vores 24×7 premium in-app chat-support i løbet af de første 10 dage af din platformbrug, og vores ingeniører vil hjælpe dig.