Frissítve: 2021. március 15.
Mi a különbség az LDAP és a SAML SSO (egyszeri bejelentkezés) között? Az LDAP és a SAML nem egyaránt hitelesíti a felhasználókat az alkalmazásokhoz?
Míg mind az LDAP, mind a SAML hitelesítési protokoll, és gyakran használják alkalmazásokhoz, a kettőt nagyon különböző felhasználási esetekben használják ki. A valóságban azonban a szervezeteknek gyakran nem kell választaniuk az LDAP vagy a SAML használata között, hanem inkább azt kell értékelniük, hogy az informatikai környezetükben melyik a legoptimálisabb módja mindkét protokoll kihasználásának. A legtöbb szervezet számára a hitelesítési protokollok széles skálájának kihasználása valójában többféle IT-erőforráshoz biztosít hozzáférést, amelyek végső soron jobban támogathatják üzleti célkitűzéseiket. A trükk persze az, hogy mindezt úgy érjék el, hogy közben ne növeljék az IT-csapat terheit.
Rövid történelmi lecke
Mielőtt belemerülnénk a két hitelesítési protokoll közötti különbségekbe, először is érdemes megérteni, hogy mi is az egyes protokollok lényege, és hogyan fejlődtek a jelenlegi helyzetükig. Megjegyzendő, hogy az LDAP és a SAML csak kettő a talán féltucatnyi jelentős hitelesítési protokoll közül, és talán egy tucat, amelyet meglehetősen széles körben használnak.
A rövid áttekintés az LDAP-ról
ALDAP (Lightweight Directory Access Protocol) az 1990-es évek elején született jó barátunk, Tim Howes és kollégái által, és gyorsan az informatikai hálózatok által használt hitelesítési protokollok egyik alapjává vált. Az LDAP-kiszolgálókat – mint például az OpenLDAP™ és a 389 Directory – gyakran használják az igazság identitásforrásaként, más néven identitásszolgáltatóként (IdP) vagy címtárszolgáltatásként. Ez a képesség, párosulva egy másik, Kerberos nevű hitelesítési protokollal és a házirendeket és parancsok végrehajtását használó rendszerirányítási képességekkel, megteremtette a hagyományos, helyben választott címtárszolgáltatás, a Microsoft® Active Directory® gerincét.
Az LDAP fő felhasználási területe ma az IdP-ben tárolt felhasználók hitelesítése helyben lévő alkalmazások vagy más Linux® szerverfolyamatok számára. Az LDAP-alapú alkalmazások közé tartozik az OpenVPN, a Jenkins, a Kubernetes, a Docker, a Jira és sok más.
Tradicionálisan az IT-szervezetek kénytelenek voltak saját LDAP-infrastruktúrájukat helyben felállítani, az LDAP-platform biztonságának és működésének fenntartásához szükséges kiegészítő szolgáltatásokkal együtt. Könnyű protokollként az LDAP hatékonyan fut a rendszereken, és az IT-szervezetek számára nagyfokú ellenőrzést biztosít a hitelesítés és az engedélyezés felett. A bevezetése azonban nehézkes technikai folyamat, amely jelentős előzetes munkát jelent az IT-adminisztrátorok számára olyan feladatokkal, mint a magas rendelkezésre állás, a teljesítményfigyelés, a biztonság és egyéb feladatok.
A SAML rövid áttekintése
A SAML-t ezzel szemben a 2000-es évek elején hozták létre azzal a kizárólagos céllal, hogy identitásokat kapcsoljon össze webes alkalmazásokhoz. A protokollt arra a tényre alapozták, hogy egy szervezeten belül már létezik egy identitásszolgáltató (akkoriban a feltételezés a Microsoft Active Directory volt). A SAML protokoll nem az IdP helyettesítésére törekedett, hanem inkább arra használta, hogy a felhasználó személyazonosságának érvényességét igazolja.
Ezt az állítást egy szolgáltató – vagy webes alkalmazás – egy biztonságos XML cserén keresztül használná fel. Az eredmény az lett, hogy a hagyományosan az Active Directoryban (AD) tárolt helyszíni identitás kiterjeszthető a webes alkalmazásokra. A gyártók a SAML segítségével olyan szoftvereket hoztak létre, amelyek egy felhasználói identitást az AD-ből számos webes alkalmazásra tudtak kiterjeszteni, létrehozva ezzel az Identity-as-a-Service (IDaaS) – SSO (Single Sign-on) megoldások első generációját. A SAML-hitelesítést támogató alkalmazások közé tartozik például a Salesforce®, a Slack, a Trello, a GitHub, az Atlassian megoldás és még több ezer más.
JumpCloud Single Sign-On
Több száz csatlakozó biztosítja a felhőalkalmazásokhoz való súrlódásmentes hozzáférést
A SAML az évek során kibővült a webes alkalmazásokhoz való felhasználói hozzáférés biztosításához szükséges funkciókkal is. A SAML-alapú megoldásokat hagyományosan egy alapvető címtárszolgáltatási megoldással párosították.
Az LDAP és a SAML SSO közötti különbség
A hatásköreiket tekintve az LDAP és a SAML SSO a lehető legnagyobb mértékben különbözik egymástól. Az LDAP természetesen leginkább a helyszíni hitelesítés és egyéb kiszolgálási folyamatok megkönnyítésére összpontosít. A SAML kiterjeszti a felhasználói hitelesítő adatokat a felhőre és más webes alkalmazásokra.
Míg a különbségek meglehetősen jelentősek, alapvetően az LDAP és a SAML SSO ugyanolyan jellegűek. Gyakorlatilag ugyanazt a funkciót szolgálják – segítenek a felhasználóknak csatlakozni az informatikai erőforrásaikhoz. Emiatt az IT-szervezetek gyakran együttműködve használják őket, és a személyazonosság-kezelési iparág alapköveivé váltak.
Az LDAP és a SAML SSO költségei
Az LDAP és a SAML SSO bevezetésének általános módszerei – bár hatékonyak – költséges lehet egy vállalat idejére és költségvetésére nézve. Az LDAP, mint korábban említettük, köztudottan technikai jellegű, és a megfelelő konfiguráláshoz lelkes menedzsmentre van szükség. A SAML SSO gyakran felhőben hosztolt, de az ilyen IDaaS-megoldások árképzési modelljei meredekek lehetnek, nem beszélve arról, hogy az IdP követelménye további költségeket jelent.
Szerencsére az identitásszolgáltatók új generációja támogatja ezeket a különböző protokollokat egy központi felhőalapú megoldáson belül. Ahelyett, hogy a hitelesítési platformok és protokollok széles skálájának kezelésének ijesztő feladatával szembesülnének, több mint 100 ezer IT-szervezet bízik a JumpCloud Directory Platformban, hogy a teljes személyazonosság-kezelést egyetlen üvegablakból valósítsa meg.
LDAP, SAML SSO és még több a DaaS-szel
A felhőből üzemeltetett LDAP, SAML és még sok más megoldás révén a Directory-as-a-Service (DaaS) platform biztonságosan hitelesíti a felhasználói azonosítókat gyakorlatilag bármilyen eszköz (Windows, Mac®, Linux), alkalmazás (helyben vagy felhőben), hálózat, fájlszerver (helyben LDAP Samba-alapú vagy felhőben SAML-alapú) stb. számára egyetlen hitelesítő adatokkal. Ez kevesebb megjegyzendő jelszót, kevesebb bejelentkezéssel töltött időt és nagyobb választási szabadságot jelent az alkalmazottak számára.
Az LDAP és a SAML mellett az informatikai szervezetek a csoportházirend-objektumhoz (GPO) hasonló funkciókat használhatnak olyan biztonsági intézkedések érvényesítésére, mint a teljes lemeztitkosítás (FDE), a többfaktoros hitelesítés (MFA) és a jelszó összetettségére vonatkozó követelmények a felhasználói csoportok és a Mac, Windows és Linux rendszerek esetében. A rendszergazdák a JumpCloud Cloud RADIUS-t is használhatják a hálózati biztonság szigorítására VLAN-címkézéssel és egyebekkel.
A DaaS-platformok költségei
A teljes JumpCloud Directory Platform ingyenesen elérhető a szervezet első 10 felhasználója és 10 eszköze számára. Ezen túl az árképzési modell az Ön fejlődésével együtt skálázódik, a nagyobb szervezetek, oktatási szervezetek, non-profit szervezetek és menedzselt szolgáltatók (MSP-k) számára tömeges kedvezményekkel. Emellett protokollonkénti opciót (LDAP, SAML vagy RADIUS) is kínálunk kedvezményes áron.
Ha vásárlás előtt szeretné megnézni felhőalapú címtárplatformunkat működés közben, próbálja ki még ma ingyenesen, 10 felhasználó és 10 eszköz esetén. A termék élő bemutatóját is ütemezheti, vagy megnézhet egy felvett bemutatót itt. Ha további kérdései vannak, hívjon minket bátran, vagy küldjön üzenetet. A platform használatának első 10 napja alatt a 24×7-es prémium alkalmazáson belüli chat-támogatásunkkal is kapcsolatba léphet, és mérnökeink segíteni fognak Önnek.