2021年3月15日更新
LDAPとSAML SSO(シングルサインオン)はどう違うのですか? LDAPもSAMLも、アプリケーションに対してユーザーを認証するものではないのですか?
LDAPとSAMLはどちらも認証プロトコルであり、アプリケーションによく使用されますが、この2つは非常に異なるユースケースで活用されます。 しかし実際には、組織は LDAP または SAML のどちらを使用するかを選択する必要はあまりなく、むしろ IT 環境内で両方のプロトコルを活用する最も最適な方法を評価する必要があります。 ほとんどの企業では、幅広い認証プロトコルを活用することで、より多くの種類の IT リソースにアクセスでき、最終的にビジネス目標をよりよくサポートすることができます。 もちろん、IT チームのオーバーヘッドを増やさずにそれを行うのがコツです。
簡単な歴史の授業
2 つの認証プロトコルの違いに触れる前に、まず、それぞれが何であり、どのように進化して現在に至ったかを理解するのが最善です。 注釈として、LDAP と SAML は、おそらく半ダースの主要な認証プロトコルのうちの 2 つに過ぎず、かなり広く使用されているのはそのうちの 1 ダースです。
LDAP の概要
LDAP (Lightweight Directory Access Protocol) は1990年代初頭に当社の良き友人 Tim Howes と彼の同僚によって作られ、すぐに IT ネットワークで使用する基本認証プロトコルの 1 つとなりました。 LDAP サーバー (OpenLDAP™ や 389 Directory など) は、ID プロバイダー (IdP) またはディレクトリ サービスとして知られている ID のソースとしてよく使用されます。 この機能は、Kerberos と呼ばれる別の認証プロトコル、およびポリシーとコマンド実行を使用したシステム管理機能と対になっており、従来のオンプレミスのディレクトリ サービスである Microsoft® Active Directory® のバックボーンを作成しました。 LDAP ベースのアプリケーションには、OpenVPN、Jenkins、Kubernetes、Docker、Jira、その他多くのものがあります。
従来、IT 組織は、LDAP プラットフォームを安全に運用し続けるために必要な付帯サービスとともに、独自の LDAP インフラをオンプレムに立ち上げざるを得ませんでした。 軽量なプロトコルであるLDAPは、システム上で効率的に動作し、IT組織は認証と認可を大幅に制御することができます。 一方、SAML は 2000 年代初頭に、Web アプリケーションに ID をフェデレートすることを唯一の目的として作成されました。 このプロトコルは、組織内にすでに存在するIDプロバイダー(当時はMicrosoft Active Directoryが想定されていた)があることを前提にインスタンス化された。 SAMLプロトコルは、IdPを置き換えるのではなく、ユーザーのIDの妥当性を主張するためにIdPを使用することを目的としていた。
そのアサーションは、サービス プロバイダまたは Web アプリケーションによって、安全な XML 交換を介して利用されます。 その結果、従来は Active Directory (AD) に格納されていたオンプレミスの ID を Web アプリケーションに拡張できるようになった。 ベンダーは SAML を使用して、1 人のユーザー ID を AD から多数の Web アプリケーションに拡張できるソフトウェアを作成し、第 1 世代の Identity-as-a-Service (IDaaS) – シングルサインオン (SSO) ソリューションを作成した。 SAML認証をサポートするアプリケーションの例としては、Salesforce®、Slack、Trello、GitHub、Atlassianソリューション、その他数千のものがあります。
JumpCloud Single Sign-On
数百ものコネクターにより、クラウド アプリケーションへのアクセスを摩擦なく確実に許可
長年にわたり、SAML は拡張されて、Web アプリケーションへのユーザー アクセスも提供する機能が追加されています。 SAML ベースのソリューションは、歴史的にコア ディレクトリ サービス ソリューションと組み合わせて使用されてきました。
LDAP と SAML SSO の違い
影響する領域に関して言えば、LDAP と SAML SSO はまるで違うものです。 LDAPはもちろん、オンプレミスの認証やその他のサーバー処理を促進することに主眼を置いています。 SAML はユーザー認証情報をクラウドや他の Web アプリケーションに拡張します。
違いはかなり大きいですが、中核では LDAP と SAML SSO は同じ種類です。 これらは、ユーザーが IT リソースに接続するのを支援するという、事実上同じ機能を提供している。 このため、これらはしばしば IT 組織で協力して使用され、ID 管理業界の定番となっています。
LDAP および SAML SSO のコスト
LDAP および SAML SSO の実装は有効ですが、共通の方法は企業の時間と予算に対してコストがかかることがあります。 LDAP は、前述のように、インスタンス化するのが技術的に難しく、適切に構成するために熱心な管理が必要です。 SAML SSOはしばしばクラウドでホストされますが、これらのIDaaSソリューションの価格モデルは、IdPの要件が追加コストを追加することは言うまでもなく、高額になることがあります。
ありがたいことに、新世代の ID プロバイダーは、1 つの集中型クラウドベースのソリューション内でこれらの異なるプロトコルをサポートしています。 幅広い認証プラットフォームとプロトコルを管理するという困難なタスクに直面するのではなく、1枚のガラスから完全なアイデンティティ管理を達成するために、100k以上のIT組織がJumpCloud Directory Platformを信頼しています。
LDAP, SAML SSO などの DaaS
LDAP, SAML などをクラウドからホストすることにより、Directory-as-a-Service (DaaS) プラットフォームは、単一の認証情報を使用して、事実上あらゆるデバイス (Windows, Mac®, Linux) 、アプリケーション(オンプレまたはクラウド)、ネットワーク、ファイルサーバー(オンプレの LDAP Samba またはクラウド SAML ベース)などのユーザー ID の認証を安全に行うことが可能です。 つまり、覚えるべきパスワードやサインインにかかる時間を減らし、従業員の選択の自由を広げることができます。
LDAP と SAML 以外にも、IT 組織はグループ ポリシー オブジェクト (GPO) に似た機能を活用して、ユーザー グループや Mac、Windows、Linux システムに対して、フル ディスク暗号化 (FDE) や多要素認証 (MFA) 、パスワード複雑度の要件などのセキュリティ対策を強制することが可能です。 管理者は、JumpCloud のクラウド RADIUS を使用して、VLAN タグ付けなどのネットワーク セキュリティを強化することもできます。
DaaS プラットフォームのコスト
組織内の最初の 10 ユーザーと 10 デバイスに対して JumpCloud Directory プラットフォーム全体を無料で利用できます。 それ以降は、大規模な組織、教育機関、非営利団体、およびマネージド サービス プロバイダー (MSP) に対して一括割引が適用され、規模に応じた価格設定となっています。 また、プロトコル (LDAP、SAML、または RADIUS) ごとに、割引価格で提供します。
購入前にクラウド ディレクトリ プラットフォームの動作を確認したい場合は、10 ユーザーと 10 デバイスについて、本日無料で体験してください。 また、製品のライブ デモを予約したり、録画したデモをここで見ることもできます。 その他ご不明な点がございましたら、お気軽にお電話またはメールにてお問い合わせください。 また、プラットフォームを使い始めてから10日間は、24時間365日のプレミアムアプリ内チャットサポートに接続することができ、当社のエンジニアがお手伝いします
。