Alai

Aktualisiert am 15. März 2021

Was ist der Unterschied zwischen LDAP und SAML SSO (Single Sign-On)? Authentifizieren nicht sowohl LDAP als auch SAML Benutzer bei Anwendungen?

Während sowohl LDAP als auch SAML Authentifizierungsprotokolle sind und häufig für Anwendungen verwendet werden, werden die beiden für sehr unterschiedliche Anwendungsfälle eingesetzt. In der Realität müssen sich Unternehmen jedoch oft nicht zwischen der Verwendung von LDAP oder SAML entscheiden, sondern vielmehr den optimalen Weg zur Nutzung beider Protokolle innerhalb ihrer IT-Umgebung evaluieren. Für die meisten Unternehmen bedeutet die Nutzung eines breiten Spektrums von Authentifizierungsprotokollen, dass sie Zugang zu mehr Arten von IT-Ressourcen erhalten, die letztendlich ihre Geschäftsziele besser unterstützen können. Der Trick besteht natürlich darin, dies zu erreichen, ohne den Aufwand für Ihr IT-Team zu erhöhen.

Eine kurze Geschichtsstunde

Bevor wir uns mit den Unterschieden zwischen den beiden Authentifizierungsprotokollen befassen, ist es am besten, zunächst zu verstehen, was die beiden Protokolle sind und wie sie sich zu dem entwickelt haben, was sie heute sind. LDAP und SAML sind nur zwei von vielleicht einem halben Dutzend wichtiger Authentifizierungsprotokolle und vielleicht einem Dutzend, die ziemlich weit verbreitet sind.

Ein kurzer Überblick über LDAP

LDAP (Lightweight Directory Access Protocol) wurde in den frühen 1990er Jahren von unserem guten Freund Tim Howes und seinen Kollegen entwickelt und wurde schnell zu einem der grundlegenden Authentifizierungsprotokolle, die von IT-Netzwerken verwendet werden. LDAP-Server – wie OpenLDAP™ und 389 Directory – werden häufig als Identitätsquelle der Wahrheit verwendet, auch bekannt als Identitätsanbieter (IdP) oder Verzeichnisdienst. Diese Fähigkeit, gepaart mit einem anderen Authentifizierungsprotokoll namens Kerberos und Systemverwaltungsfähigkeiten unter Verwendung von Richtlinien und Befehlsausführung, bildete das Rückgrat für den traditionellen Verzeichnisdienst vor Ort, Microsoft® Active Directory®.

Die Hauptanwendung von LDAP ist heute die Authentifizierung von im IdP gespeicherten Benutzern bei Anwendungen vor Ort oder anderen Linux®-Serverprozessen. Zu den LDAP-basierten Anwendungen gehören OpenVPN, Jenkins, Kubernetes, Docker, Jira und viele andere.

Traditionell waren IT-Organisationen gezwungen, ihre eigene LDAP-Infrastruktur vor Ort einzurichten, zusammen mit den Zusatzdiensten, die erforderlich sind, um die LDAP-Plattform sicher und betriebsbereit zu halten. Als leichtgewichtiges Protokoll läuft LDAP effizient auf Systemen und gibt IT-Organisationen ein hohes Maß an Kontrolle über Authentifizierung und Autorisierung. Seine Implementierung ist jedoch ein mühsamer technischer Prozess, der IT-Administratoren mit Aufgaben wie Hochverfügbarkeit, Leistungsüberwachung, Sicherheit usw. viel Arbeit abverlangt.

Ein kurzer Überblick über SAML

SAML hingegen wurde Anfang der 2000er Jahre mit dem ausschließlichen Ziel entwickelt, Identitäten mit Webanwendungen zu verknüpfen. Das Protokoll basierte auf der Tatsache, dass in einer Organisation bereits ein Identitätsanbieter vorhanden war (damals ging man von Microsoft Active Directory aus). Das SAML-Protokoll zielte nicht darauf ab, den IdP zu ersetzen, sondern nutzte ihn vielmehr, um die Gültigkeit der Identität eines Benutzers zu bestätigen.

Diese Behauptung würde von einem Dienstanbieter – oder einer Webanwendung – über einen sicheren XML-Austausch genutzt werden. Das Ergebnis war, dass eine On-Prem-Identität, die traditionell in Active Directory (AD) gespeichert wurde, auf Webanwendungen ausgedehnt werden konnte. Anbieter nutzten SAML, um Software zu entwickeln, mit der eine Benutzeridentität aus dem AD auf eine Vielzahl von Webanwendungen ausgeweitet werden konnte, und schufen so die erste Generation von Identity-as-a-Service (IDaaS)-Single-Sign-On (SSO)-Lösungen. Beispiele für Anwendungen, die SAML-Authentifizierung unterstützen, sind Salesforce®, Slack, Trello, GitHub, Atlassian Solution und Tausende andere.

Im Laufe der Jahre wurde SAML erweitert, um Funktionen für die Bereitstellung des Benutzerzugriffs auch auf Webanwendungen hinzuzufügen. SAML-basierte Lösungen wurden in der Vergangenheit mit einer zentralen Verzeichnisdienstlösung gekoppelt.

Der Unterschied zwischen LDAP und SAML SSO

Wenn es um ihre Einflussbereiche geht, sind LDAP und SAML SSO so unterschiedlich wie nur möglich. LDAP ist natürlich hauptsächlich darauf ausgerichtet, die Authentifizierung vor Ort und andere Serverprozesse zu erleichtern. SAML erweitert die Benutzeranmeldeinformationen auf die Cloud und andere Webanwendungen.

Während die Unterschiede ziemlich signifikant sind, sind LDAP und SAML SSO in ihrem Kern gleich. Sie erfüllen im Grunde die gleiche Funktion – sie helfen Benutzern, sich mit ihren IT-Ressourcen zu verbinden. Aus diesem Grund werden sie von IT-Organisationen häufig gemeinsam verwendet und sind zu Grundnahrungsmitteln der Identitätsmanagement-Branche geworden.

Die Kosten von LDAP und SAML SSO

Obwohl sie effektiv sind, können die üblichen Methoden der LDAP- und SAML SSO-Implementierung für ein Unternehmen zeit- und kostenintensiv sein. LDAP ist, wie bereits erwähnt, bekanntermaßen technisch aufwendig zu instanziieren und erfordert eine sorgfältige Verwaltung, um es richtig zu konfigurieren. SAML SSO wird oft in der Cloud gehostet, aber die Preismodelle dieser IDaaS-Lösungen können sehr hoch sein, ganz zu schweigen von den zusätzlichen Kosten, die durch die Notwendigkeit eines IdP entstehen.

Dankenswerterweise unterstützt eine neue Generation von Identitätsanbietern diese verschiedenen Protokolle innerhalb einer zentralisierten, cloudbasierten Lösung. Anstatt sich der entmutigenden Aufgabe zu stellen, eine Vielzahl von Authentifizierungsplattformen und -protokollen zu verwalten, vertrauen mehr als 100.000 IT-Organisationen auf die JumpCloud Directory Platform, um ein komplettes Identitätsmanagement aus einem Guss zu erhalten.

LDAP, SAML SSO und mehr mit DaaS

Durch das Hosten von LDAP, SAML und mehr in der Cloud authentifiziert eine Directory-as-a-Service (DaaS)-Plattform Benutzeridentitäten sicher für praktisch jedes Gerät (Windows, Mac®, Linux), jede Anwendung (vor Ort oder in der Cloud), jedes Netzwerk, jeden Dateiserver (vor Ort LDAP-Samba-basiert oder in der Cloud SAML-basiert) und mehr mit einem einzigen Satz von Anmeldeinformationen. Das bedeutet weniger Passwörter, die man sich merken muss, weniger Zeitaufwand für die Anmeldung und mehr Entscheidungsfreiheit für die Mitarbeiter.

Über LDAP und SAML hinaus können IT-Organisationen GPO-ähnliche Funktionen nutzen, um Sicherheitsmaßnahmen wie Festplattenverschlüsselung (FDE), Multi-Faktor-Authentifizierung (MFA) und Anforderungen an die Passwortkomplexität für Benutzergruppen und Mac-, Windows- und Linux-Systeme durchzusetzen. Administratoren können JumpClouds Cloud RADIUS auch nutzen, um die Netzwerksicherheit mit VLAN-Tagging und mehr zu erhöhen.

Die Kosten von DaaS-Plattformen

Die gesamte JumpCloud Directory Platform ist für die ersten 10 Benutzer und 10 Geräte in Ihrem Unternehmen kostenlos verfügbar. Darüber hinaus passt sich das Preismodell Ihren Bedürfnissen an, mit Mengenrabatten für größere Organisationen, Bildungseinrichtungen, gemeinnützige Organisationen und Managed Service Provider (MSPs). Wir bieten auch eine Option pro Protokoll (LDAP, SAML oder RADIUS) zu einem reduzierten Preis an.

Wenn Sie unsere Cloud-Verzeichnisplattform vor dem Kauf in Aktion sehen möchten, können Sie sie heute kostenlos für 10 Benutzer und 10 Geräte testen. Sie können auch eine Live-Demo des Produkts vereinbaren oder eine aufgezeichnete Demo hier ansehen. Wenn Sie weitere Fragen haben, rufen Sie uns an oder schreiben Sie uns eine Nachricht. Während der ersten 10 Tage der Nutzung der Plattform können Sie sich auch mit unserem 24×7 Premium-Chat-Support in Verbindung setzen und unsere Techniker werden Ihnen helfen.