Päivitetty 15.3.2021
Mitä eroa on LDAP:n ja SAML SSO:n (single sign-on) välillä? Eivätkö sekä LDAP että SAML tunnista käyttäjiä sovelluksiin?
Kaikki LDAP ja SAML ovat todennusprotokollia ja niitä käytetään usein sovelluksissa, mutta näitä kahta hyödynnetään hyvin erilaisissa käyttötapauksissa. Todellisuudessa organisaatioiden ei kuitenkaan useinkaan tarvitse valita LDAP:n tai SAML:n käytön välillä, vaan pikemminkin arvioida optimaalisin tapa hyödyntää molempia protokollia IT-ympäristössään. Useimmille organisaatioille monenlaisten todennusprotokollien hyödyntäminen antaa itse asiassa pääsyn useampiin erityyppisiin IT-resursseihin, jotka voivat viime kädessä tukea niiden liiketoimintatavoitteita paremmin. Juju on tietenkin siinä, miten tämä onnistuu ilman, että IT-tiimin yleiskustannukset kasvavat.
Lyhyt historian oppitunti
Ennen kuin paneudumme näiden kahden todennusprotokollan välisiin eroihin, on parasta ensin ymmärtää, mitä kumpikin on ja miten ne ovat kehittyneet nykyiseen tilanteeseensa. Muistutuksena mainittakoon, että LDAP ja SAML ovat vain kaksi ehkä puolen tusinan tärkeimmästä todennusprotokollasta, ja ehkä kymmenkunta niistä on melko laajalti käytössä.
Lyhyt katsaus LDAP:iin
LDAP:n (Lightweight Directory Access Protocol, kevyt hakemistojen käyttöprotokolla) loi 1990-luvun alussa hyvä ystävämme Tim Howes kollegoineen, ja siitä muodostui nopeasti yksi perustavanlaatuisista tietotekniikkaverkkoihin käytetyistä todennusprotokollista. LDAP-palvelimia – kuten OpenLDAP™ ja 389 Directory – käytetään usein identiteetin totuuslähteenä, jota kutsutaan myös identiteetin tarjoajaksi (IdP) tai hakemistopalveluksi. Tämä kyky yhdistettynä toiseen todennusprotokollaan nimeltä Kerberos ja järjestelmänhallintaominaisuuksiin, joissa käytetään käytäntöjä ja komentojen suorittamista, loi selkärangan perinteiselle, paikallisen hakemistopalvelun valinnalle, Microsoft® Active Directory®:lle.
LDAP:n pääasiallinen käyttötarkoitus on nykyään IDP:hen tallennettujen käyttäjien todennus paikan päällä oleviin sovelluksiin tai muihin Linux®-palvelinprosesseihin. LDAP-pohjaisia sovelluksia ovat esimerkiksi OpenVPN, Jenkins, Kubernetes, Docker, Jira ja monet muut.
Traditionaalisesti IT-organisaatiot ovat joutuneet pystyttämään oman LDAP-infrastruktuurinsa paikan päällä sekä oheispalvelut, joita tarvitaan LDAP-alustan pitämiseksi turvallisena ja toimivana. Kevyenä protokollana LDAP toimii tehokkaasti järjestelmissä ja antaa IT-organisaatioille paljon valtaa todennukseen ja valtuutukseen. Sen toteuttaminen on kuitenkin työläs tekninen prosessi, joka aiheuttaa IT-hallinnoijille huomattavaa etukäteistyötä muun muassa korkean käytettävyyden, suorituskyvyn valvonnan ja tietoturvan kaltaisten tehtävien parissa.
Lyhyt katsaus SAMLiin
SAML puolestaan luotiin 2000-luvun alussa yksinomaan identiteettien liittämistä verkkosovelluksiin varten. Protokollan perustana oli se, että organisaatiossa olisi jo olemassa identiteettipalveluntarjoaja (tuolloin oletuksena oli Microsoft Active Directory). SAML-protokolla ei pyrkinyt korvaamaan id-palveluntarjoajaa, vaan pikemminkin käyttämään sitä käyttäjän identiteetin oikeellisuuden varmistamiseen.
Palveluntarjoaja – tai verkkosovellus – hyödyntäisi tätä vakuutusta suojatun XML-vaihdon kautta. Tuloksena oli, että perinteisesti Active Directoryyn (AD) tallennettu paikallinen identiteetti voitiin laajentaa web-sovelluksiin. Myyjät käyttivät SAML:ää luodakseen ohjelmistoja, joilla voitiin laajentaa yksi AD:n käyttäjäidentiteetti useisiin verkkosovelluksiin, mikä loi ensimmäisen sukupolven IDaaS-ratkaisut (Identity-as-a-Service) ja SSO-ratkaisut (Single Sign-on). Esimerkkejä SAML-todennusta tukevista sovelluksista ovat Salesforce®, Slack, Trello, GitHub, Atlassian-ratkaisu ja tuhannet muut.
JumpCloud Single Sign-On
Satoja liittimiä, joilla varmistat, että voit myöntää pääsyn pilvisovelluksiin kitkattomasti
Vuosien varrella SAML:ää on laajennettu lisäämällä siihen toiminnallisuuksia, joilla voidaan tarjota käyttäjille pääsy myös verkkosovelluksiin. SAML-pohjaiset ratkaisut on perinteisesti yhdistetty keskeiseen hakemistopalveluratkaisuun.
LDAP:n ja SAML SSO:n ero
LDAP ja SAML SSO ovat vaikutusalueiltaan hyvin erilaisia. LDAP on tietysti keskittynyt enimmäkseen paikallisen autentikoinnin ja muiden palvelinprosessien helpottamiseen. SAML laajentaa käyttäjätunnukset pilveen ja muihin verkkosovelluksiin.
Vaikka erot ovat melko merkittäviä, pohjimmiltaan LDAP ja SAML SSO ovat samantyyppisiä. Ne palvelevat käytännössä samaa tehtävää – auttavat käyttäjiä muodostamaan yhteyden IT-resursseihinsa. Tämän vuoksi IT-organisaatiot käyttävät niitä usein yhteistyössä, ja niistä on tullut identiteetinhallinta-alan peruspilareita.
LDAP- ja SAML SSO:n kustannukset
Niinkin tehokkaita kuin ne ovatkin, LDAP- ja SAML SSO:n yleiset toteutusmenetelmät voivat olla kalliita yrityksen ajalle ja budjetille. LDAP, kuten aiemmin mainittiin, on tunnetusti tekninen toteuttaa ja vaatii innokasta hallintaa, jotta se voidaan konfiguroida oikein. SAML SSO on usein pilvipalveluna, mutta näiden IDaaS-ratkaisujen hinnoittelumallit voivat olla kalliita, puhumattakaan siitä, että vaatimus IdP:stä lisää kustannuksia.
Onneksi uuden sukupolven identiteettipalveluntarjoajat tukevat näitä eri protokollia yhden keskitetyn pilvipohjaisen ratkaisun sisällä. Sen sijaan, että he joutuisivat kohtaamaan pelottavan tehtävän, joka liittyy monenlaisten todentamisalustojen ja -protokollien hallintaan, yli 100 000 IT-organisaatiota luottaa siihen, että JumpCloud Directory Platform toteuttaa täydellisen identiteetinhallinnan yhdestä lasista.
LDAP, SAML SSO ja paljon muuta DaaS:n avulla
DaaS-alusta (Directory-as-a-Service) isännöi LDAP:n, SAML:n ja paljon muuta pilvipalvelusta, ja se todentaa käyttäjäidentiteetit turvallisesti käytännöllisesti katsoen millä tahansa laitteella (Windows-, Mac®- ja Linux-laitteilla), sovelluksella (paikan päällä tai pilvipalvelussa), verkolla, tiedostopalvelimella (LDAP- ja SAMBA-pohjainen paikan päällä tai pilvipalvelun SAML-pohjainen pilvipalvelin), ja niin edelleen, käyttämällä yhtä ainoaa tunnistetietoa. Tämä tarkoittaa vähemmän salasanoja muistettavaksi, vähemmän aikaa kirjautumiseen ja enemmän valinnanvapautta työntekijöille.
LDAP:n ja SAML:n lisäksi IT-organisaatiot voivat hyödyntää ryhmäkäytäntöobjektien (Group Policy Object, GPO) kaltaisia toimintoja turvatoimien, kuten täyden levyn salauksen (Full Disk Encryption, FDE), monitekijätodennuksen (Multi-Factor Authentication, MFA) ja salasanojen monimutkaisuusvaatimusten käyttöönotossa käyttäjäryhmissä ja Mac-, Windows- ja Linux-järjestelmissä. Järjestelmänvalvojat voivat myös käyttää JumpCloudin Cloud RADIUS -palvelua tiukentaakseen verkkoturvallisuutta muun muassa VLAN-tunnisteiden avulla.
DaaS-alustojen kustannukset
Koko JumpCloud Directory Platform on saatavilla ilmaiseksi organisaatiosi 10 ensimmäiselle käyttäjälle ja 10 laitteelle. Tämän jälkeen hinnoittelumalli skaalautuu kanssasi, ja suurille organisaatioille, koulutusorganisaatioille, voittoa tavoittelemattomille yhteisöille ja hallinnoitujen palveluiden tarjoajille (MSP) on tarjolla irtomyyntialennuksia. Tarjoamme myös protokollakohtaisen vaihtoehdon (LDAP, SAML tai RADIUS) alennettuun hintaan.
Jos haluat nähdä pilvihakemistoalustamme toiminnassa ennen ostamista, kokeile sitä ilmaiseksi jo tänään 10 käyttäjälle ja 10 laitteelle. Voit myös sopia suoran esittelyn tuotteesta tai katsoa nauhoitetun esittelyn täältä. Jos sinulla on lisäkysymyksiä, soita meille tai lähetä viesti. Voit myös ottaa yhteyttä 24×7 premium-sovelluksen sisäiseen chat-tukeen alustan käytön ensimmäisten 10 päivän aikana, ja insinöörimme auttavat sinua.