Aggiornato il 15 marzo 2021
Qual è la differenza tra LDAP e SAML SSO (single sign-on)? Sia LDAP che SAML non autenticano gli utenti alle applicazioni?
Mentre sia LDAP che SAML sono protocolli di autenticazione e sono spesso usati per le applicazioni, i due sono sfruttati per casi d’uso molto diversi. In realtà, però, le organizzazioni spesso non devono scegliere tra l’uso di LDAP o di SAML, ma piuttosto valutare il modo più ottimale per sfruttare entrambi i protocolli nel loro ambiente IT. Per la maggior parte delle organizzazioni, sfruttare un’ampia gamma di protocolli di autenticazione permette loro di accedere a più tipi di risorse IT che, in definitiva, possono supportare meglio i loro obiettivi aziendali. Il trucco, naturalmente, è quello di farlo senza aumentare il sovraccarico per il tuo team IT.
Una breve lezione di storia
Prima di tuffarci nelle differenze tra i due protocolli di autenticazione, è meglio capire prima cosa sono e come si sono evoluti fino a dove sono ora. Come nota, LDAP e SAML sono solo due di una mezza dozzina di protocolli di autenticazione principali, e forse una dozzina che sono abbastanza usati.
Una breve panoramica di LDAP
LDAP (Lightweight Directory Access Protocol) è stato creato nei primi anni ’90 dal nostro buon amico Tim Howes e dai suoi colleghi e divenne rapidamente uno dei protocolli di autenticazione fondamentali usati dalle reti IT. I server LDAP, come OpenLDAP™ e 389 Directory, sono spesso utilizzati come fonte di verità dell’identità, nota anche come identity provider (IdP) o servizio di directory. Questa capacità, abbinata a un altro protocollo di autenticazione chiamato Kerberos e alle capacità di gestione del sistema tramite le politiche e l’esecuzione di comandi, ha creato la spina dorsale per il tradizionale servizio di directory on-prem scelto, Microsoft® Active Directory®.
L’uso principale di LDAP oggi è quello di autenticare gli utenti memorizzati nell’IdP alle applicazioni on-prem o ad altri processi server Linux®. Le applicazioni basate su LDAP includono OpenVPN, Jenkins, Kubernetes, Docker, Jira e molte altre.
Tradizionalmente, le organizzazioni IT sono state costrette a creare la propria infrastruttura LDAP on-prem, insieme ai servizi accessori necessari per mantenere la piattaforma LDAP sicura e operativa. Essendo un protocollo leggero, LDAP funziona in modo efficiente sui sistemi e dà alle organizzazioni IT un grande controllo sull’autenticazione e l’autorizzazione. L’implementazione, tuttavia, è un processo tecnico arduo, che crea un lavoro significativo in anticipo per gli amministratori IT con compiti come l’alta disponibilità, il monitoraggio delle prestazioni, la sicurezza e altro.
Una breve panoramica di SAML
SAML, d’altra parte, è stato creato nei primi anni 2000 con lo scopo esclusivo di federare le identità alle applicazioni web. Il protocollo è stato istanziato sul fatto che ci sarebbe stato un provider di identità già esistente all’interno di un’organizzazione (all’epoca il presupposto era Microsoft Active Directory). Il protocollo SAML non cercava di sostituire l’IdP, ma piuttosto di usarlo per affermare la validità dell’identità di un utente.
Questa affermazione sarebbe stata sfruttata da un fornitore di servizi – o da un’applicazione web – attraverso uno scambio XML sicuro. Il risultato era che un’identità on-prem, tradizionalmente memorizzata in Active Directory (AD), poteva essere estesa alle applicazioni web. I fornitori hanno usato SAML per creare un software che potesse estendere un’identità utente da AD a una serie di applicazioni web, creando la prima generazione di soluzioni Identity-as-a-Service (IDaaS) -single sign-on (SSO). Esempi di applicazioni che supportano l’autenticazione SAML includono Salesforce®, Slack, Trello, GitHub, Atlassian solution e migliaia di altre.
JumpCloud Single Sign-On
Centinaia di connettori per garantire l’accesso alle applicazioni cloud senza attrito
Nel corso degli anni, SAML è stato esteso per aggiungere funzionalità per fornire l’accesso degli utenti anche alle applicazioni web. Le soluzioni basate su SAML sono state storicamente accoppiate con una soluzione di servizi di directory di base.
La differenza tra LDAP e SAML SSO
Quando si tratta delle loro aree di influenza, LDAP e SAML SSO sono molto diversi. LDAP, naturalmente, è principalmente focalizzato a facilitare l’autenticazione on-prem e altri processi del server. SAML estende le credenziali dell’utente al cloud e ad altre applicazioni web.
Mentre le differenze sono abbastanza significative, nel loro nucleo, LDAP e SAML SSO sono dello stesso tipo. Servono effettivamente la stessa funzione: aiutare gli utenti a connettersi alle loro risorse IT. Per questo motivo, sono spesso usati in cooperazione dalle organizzazioni IT e sono diventati punti fermi dell’industria della gestione delle identità.
I costi di LDAP e SAML SSO
Anche se sono efficaci, i metodi comuni di implementazione di LDAP e SAML SSO possono essere costosi per il tempo e il budget di un’azienda. LDAP, come menzionato in precedenza, è notoriamente tecnico da istanziare e richiede una gestione appassionata per configurare correttamente. SAML SSO è spesso ospitato nel cloud, ma i modelli di prezzo di queste soluzioni IDaaS possono essere ripidi, per non parlare del requisito di un IdP che aggiunge costi aggiuntivi.
Fortunatamente, una nuova generazione di identity provider sta supportando questi diversi protocolli all’interno di una soluzione centralizzata basata sul cloud. Piuttosto che affrontare l’arduo compito di gestire una vasta gamma di piattaforme e protocolli di autenticazione, oltre 100.000 organizzazioni IT si affidano a JumpCloud Directory Platform per realizzare una gestione completa delle identità da un unico pannello di vetro.
LDAP, SAML SSO e altro con DaaS
Ospitando LDAP, SAML e altro dal cloud, una piattaforma Directory-as-a-Service (DaaS) autentica in modo sicuro le identità degli utenti praticamente a qualsiasi dispositivo (Windows, Mac®, Linux), applicazione (on-prem o cloud), rete, file server (on-prem basato su LDAP Samba o cloud basato su SAML) e altro utilizzando un unico set di credenziali. Questo significa meno password da ricordare, meno tempo speso a firmare e più libertà di scelta per i dipendenti.
Oltre a LDAP e SAML, le organizzazioni IT possono sfruttare funzioni simili a quelle dei criteri di gruppo (GPO) per imporre misure di sicurezza come la crittografia completa del disco (FDE), l’autenticazione a più fattori (MFA) e i requisiti di complessità delle password su gruppi di utenti e sistemi Mac, Windows e Linux. Gli amministratori possono anche usare il Cloud RADIUS di JumpCloud per rafforzare la sicurezza della rete con tag VLAN e altro.
Il costo delle piattaforme DaaS
L’intera piattaforma JumpCloud Directory è disponibile gratuitamente per i primi 10 utenti e 10 dispositivi nella vostra organizzazione. Al di là di questo, il modello di prezzo è scalabile, con sconti per grandi organizzazioni, organizzazioni educative, non-profit e fornitori di servizi gestiti (MSP). Offriamo anche un’opzione per protocollo (LDAP, SAML o RADIUS) a una tariffa ridotta.
Se vuoi vedere la nostra piattaforma di directory cloud in azione prima di acquistare, provala gratuitamente oggi stesso, per 10 utenti e 10 dispositivi. Puoi anche programmare una demo dal vivo del prodotto o guardarne una registrata qui. Se hai altre domande, non esitare a chiamarci o a inviarci una nota. Puoi anche connetterti con il nostro supporto chat in-app premium 24×7 durante i primi 10 giorni di utilizzo della piattaforma e i nostri ingegneri ti aiuteranno.