Mise à jour le 15 mars 2021
Quelle est la différence entre LDAP et SAML SSO (single sign-on) ? LDAP et SAML n’authentifient-ils pas tous deux les utilisateurs auprès des applications ?
Bien que LDAP et SAML soient tous deux des protocoles d’authentification et soient souvent utilisés pour les applications, les deux sont exploités pour des cas d’utilisation très différents. En réalité, cependant, les organisations n’ont pas souvent besoin de choisir entre l’utilisation de LDAP ou de SAML, mais plutôt d’évaluer la manière la plus optimale de tirer parti des deux protocoles dans leur environnement informatique. Pour la plupart des entreprises, l’utilisation d’un large éventail de protocoles d’authentification leur permet d’accéder à un plus grand nombre de types de ressources informatiques qui, en fin de compte, peuvent mieux soutenir leurs objectifs commerciaux. L’astuce, bien sûr, est de le faire sans augmenter les frais généraux de votre équipe informatique.
Une brève leçon d’histoire
Avant de nous plonger dans les différences entre les deux protocoles d’authentification, il est préférable de comprendre d’abord ce que chacun est et comment ils ont évolué pour arriver là où ils sont maintenant. En guise de note, LDAP et SAML ne sont que deux des peut-être une demi-douzaine de protocoles d’authentification majeurs, et peut-être une douzaine qui sont assez largement utilisés.
Un bref aperçu de LDAP
LDAP (Lightweight Directory Access Protocol) a été créé au début des années 1990 par notre bon ami Tim Howes et ses collègues et est rapidement devenu l’un des protocoles d’authentification fondamentaux utilisés par les réseaux informatiques. Les serveurs LDAP, tels que OpenLDAP™ et 389 Directory, sont souvent utilisés comme source d’identité de vérité, également appelée fournisseur d’identité (IdP) ou service d’annuaire. Cette capacité, associée à un autre protocole d’authentification appelé Kerberos et à des capacités de gestion de système utilisant des politiques et l’exécution de commandes, a créé l’épine dorsale du choix traditionnel de service d’annuaire sur site, Microsoft® Active Directory®.
La principale utilisation de LDAP aujourd’hui consiste à authentifier les utilisateurs stockés dans l’IdP auprès d’applications sur site ou d’autres processus de serveur Linux®. Les applications basées sur LDAP comprennent OpenVPN, Jenkins, Kubernetes, Docker, Jira et bien d’autres.
Traditionnellement, les organisations informatiques ont été contraintes de monter leur propre infrastructure LDAP sur site, ainsi que les services auxiliaires nécessaires pour maintenir la plateforme LDAP sécurisée et opérationnelle. En tant que protocole léger, LDAP fonctionne efficacement sur les systèmes et donne aux services informatiques un grand contrôle sur l’authentification et l’autorisation. Sa mise en œuvre, cependant, est un processus technique ardu, créant un travail important en amont pour les administrateurs informatiques avec des tâches telles que la haute disponibilité, la surveillance des performances, la sécurité, et plus encore.
Un bref aperçu de SAML
SAML, d’autre part, a été créé au début des années 2000 dans le but exclusif de fédérer les identités aux applications web. Le protocole a été instancié sur le fait qu’il y aurait un fournisseur d’identité déjà existant au sein d’une organisation (à l’époque l’hypothèse était Microsoft Active Directory). Le protocole SAML ne cherchait pas à remplacer l’IdP, mais plutôt à l’utiliser pour affirmer la validité de l’identité d’un utilisateur.
Cette affirmation serait exploitée par un fournisseur de services – ou une application web – via un échange XML sécurisé. Le résultat était qu’une identité sur site, traditionnellement stockée dans Active Directory (AD), pouvait être étendue aux applications web. Les fournisseurs ont utilisé SAML pour créer des logiciels capables d’étendre l’identité d’un utilisateur d’AD à une multitude d’applications Web, créant ainsi la première génération de solutions IDaaS (Identity-as-a-Service) – single sign-on (SSO). Parmi les exemples d’applications qui prennent en charge l’authentification SAML, citons Salesforce®, Slack, Trello, GitHub, la solution Atlassian et des milliers d’autres.
JumpCloud Single Sign-On
Des centaines de connecteurs pour vous assurer que vous pouvez accorder l’accès aux applications cloud sans friction
Au fil des ans, SAML a été étendu pour ajouter des fonctionnalités permettant de provisionner l’accès des utilisateurs aux applications web également. Les solutions basées sur SAML ont historiquement été couplées avec une solution de service d’annuaire de base.
La différence entre LDAP et SAML SSO
Lorsqu’il s’agit de leurs zones d’influence, LDAP et SAML SSO sont aussi différents les uns que les autres. LDAP, bien sûr, est principalement axé sur la facilitation de l’authentification sur site et d’autres processus de serveur. SAML étend les informations d’identification des utilisateurs au cloud et à d’autres applications web.
Bien que les différences soient assez significatives, au fond, LDAP et SAML SSO sont du même acabit. Ils remplissent effectivement la même fonction : aider les utilisateurs à se connecter à leurs ressources informatiques. Pour cette raison, ils sont souvent utilisés en coopération par les organisations informatiques et sont devenus des agrafes de l’industrie de la gestion des identités.
Les coûts de LDAP et SAML SSO
Bien qu’elles soient efficaces, les méthodes courantes de mise en œuvre de LDAP et SAML SSO peuvent être coûteuses en temps et en budget pour une entreprise. LDAP, comme mentionné précédemment, est notoirement technique à instancier et nécessite une gestion pointue pour être correctement configuré. SAML SSO est souvent hébergé dans le cloud, mais les modèles de tarification de ces solutions IDaaS peuvent être abrupts, sans compter que la nécessité d’un IdP ajoute des coûts supplémentaires.
Heureusement, une nouvelle génération de fournisseur d’identité prend en charge ces différents protocoles au sein d’une solution centralisée basée sur le cloud. Plutôt que de faire face à la tâche décourageante de gérer un large éventail de plateformes et de protocoles d’authentification, plus de 100k organisations informatiques font confiance à JumpCloud Directory Platform pour accomplir une gestion complète des identités à partir d’un seul panneau de verre.
LDAP, SAML SSO, et plus encore avec DaaS
En hébergeant LDAP, SAML, et plus encore à partir du cloud, une plateforme Directory-as-a-Service (DaaS) authentifie en toute sécurité les identités des utilisateurs sur pratiquement tous les appareils (Windows, Mac®, Linux), applications (sur site ou dans le cloud), réseaux, serveurs de fichiers (sur site basés sur LDAP Samba ou dans le cloud basés sur SAML), et plus encore en utilisant un seul ensemble d’informations d’identification. Cela signifie moins de mots de passe à retenir, moins de temps passé à se connecter et plus de liberté de choix pour les employés.
Au delà de LDAP et SAML, les organisations informatiques peuvent exploiter des fonctions de type objet de politique de groupe (GPO) pour appliquer des mesures de sécurité telles que le chiffrement intégral du disque (FDE), l’authentification multifactorielle (MFA) et les exigences de complexité des mots de passe sur les groupes d’utilisateurs et les systèmes Mac, Windows et Linux. Les administrateurs peuvent également utiliser le Cloud RADIUS de JumpCloud pour renforcer la sécurité du réseau avec le marquage VLAN et plus encore.
Le coût des plateformes DaaS
L’ensemble de la plateforme d’annuaire JumpCloud est disponible gratuitement pour les 10 premiers utilisateurs et 10 appareils de votre organisation. Au-delà, le modèle de tarification s’échelonne comme vous le faites, avec des remises en gros pour les grandes organisations, les organisations d’éducation, les organisations à but non lucratif et les fournisseurs de services gérés (MSP). Nous proposons également une option par protocole (LDAP, SAML ou RADIUS) à un tarif réduit.
Si vous souhaitez voir notre plateforme d’annuaire en nuage en action avant d’acheter, essayez-la gratuitement aujourd’hui, pour 10 utilisateurs et 10 appareils. Vous pouvez également programmer une démonstration en direct du produit, ou en regarder une enregistrée ici. Si vous avez d’autres questions, n’hésitez pas à nous appeler ou à nous envoyer un message. Vous pouvez également vous connecter à notre support premium in-app 24×7 par chat pendant les 10 premiers jours d’utilisation de votre plateforme et nos ingénieurs vous aideront.