Actualizado el 15 de marzo de 2021
¿Cuál es la diferencia entre LDAP y SAML SSO (single sign-on)? No es que tanto LDAP como SAML autentifican a los usuarios en las aplicaciones?
Aunque tanto LDAP como SAML son protocolos de autenticación y se utilizan a menudo para aplicaciones, los dos se aprovechan para casos de uso muy diferentes. En realidad, sin embargo, las organizaciones no suelen tener que elegir entre usar LDAP o SAML, sino evaluar la forma más óptima de aprovechar ambos protocolos dentro de su entorno de TI. Para la mayoría de las organizaciones, aprovechar una amplia gama de protocolos de autenticación en realidad les da acceso a más tipos de recursos de TI que, en última instancia, pueden respaldar mejor sus objetivos empresariales. El truco, por supuesto, es hacerlo sin aumentar la sobrecarga de su equipo de TI.
Una breve lección de historia
Antes de sumergirnos en las diferencias entre los dos protocolos de autenticación, es mejor entender primero qué es cada uno y cómo han evolucionado hasta llegar a donde están ahora. Como nota, LDAP y SAML son sólo dos de la media docena de protocolos de autenticación más importantes, y tal vez una docena que son bastante utilizados.
Una breve visión general de LDAP
LDAP (Lightweight Directory Access Protocol) fue creado a principios de la década de 1990 por nuestro buen amigo Tim Howes y sus colegas y rápidamente se convirtió en uno de los protocolos de autenticación fundamentales utilizados por las redes de TI. Los servidores LDAP -como OpenLDAP™ y 389 Directory- se utilizan a menudo como fuente de identidad de la verdad, también conocido como proveedor de identidad (IdP) o servicio de directorio. Esta capacidad, emparejada con otro protocolo de autenticación llamado Kerberos y con las capacidades de gestión del sistema mediante políticas y ejecución de comandos, creó la columna vertebral de la opción tradicional de servicio de directorio on-prem, Microsoft® Active Directory®.
El principal uso de LDAP hoy en día es autenticar a los usuarios almacenados en el IdP para las aplicaciones on-prem u otros procesos del servidor Linux®. Las aplicaciones basadas en LDAP incluyen OpenVPN, Jenkins, Kubernetes, Docker, Jira y muchas otras.
Tradicionalmente, las organizaciones de TI se han visto obligadas a levantar su propia infraestructura LDAP on-prem, junto con los servicios auxiliares necesarios para mantener la plataforma LDAP segura y operativa. Al ser un protocolo ligero, LDAP se ejecuta eficazmente en los sistemas y ofrece a las organizaciones de TI un gran control sobre la autenticación y la autorización. Sin embargo, su implementación es un proceso técnico arduo, que supone un importante trabajo inicial para los administradores de TI con tareas como la alta disponibilidad, la supervisión del rendimiento y la seguridad, entre otras.
Una breve descripción de SAML
SAML, por otro lado, se creó a principios de la década de 2000 con el propósito exclusivo de federar identidades a las aplicaciones web. El protocolo se instanció sobre el hecho de que habría un proveedor de identidad ya existente dentro de una organización (en ese momento la suposición era Microsoft Active Directory). El protocolo SAML no pretendía sustituir al IdP, sino utilizarlo para afirmar la validez de la identidad de un usuario.
Esa afirmación sería aprovechada por un proveedor de servicios -o aplicación web- a través de un intercambio XML seguro. El resultado fue que una identidad on-prem, tradicionalmente almacenada en Active Directory (AD), podía extenderse a las aplicaciones web. Los proveedores utilizaron SAML para crear software que pudiera extender una identidad de usuario de AD a una serie de aplicaciones web, creando la primera generación de soluciones de Identidad como Servicio (IDaaS) -single sign-on (SSO). Algunos ejemplos de aplicaciones que soportan la autenticación SAML son Salesforce®, Slack, Trello, GitHub, la solución Atlassian y miles de otras.
JumpCloud Single Sign-On
Cientos de conectores para garantizar que pueda conceder acceso a las aplicaciones en la nube sin fricciones
A lo largo de los años, SAML se ha ampliado para añadir la funcionalidad de aprovisionar el acceso de los usuarios a las aplicaciones web también. Las soluciones basadas en SAML se han emparejado históricamente con una solución de servicio de directorio principal.
La diferencia entre LDAP y SAML SSO
Cuando se trata de sus áreas de influencia, LDAP y SAML SSO son tan diferentes como pueden serlo. LDAP, por supuesto, se centra principalmente en facilitar la autenticación on-prem y otros procesos del servidor. SAML extiende las credenciales de los usuarios a la nube y a otras aplicaciones web.
Aunque las diferencias son bastante significativas, en su esencia, LDAP y SAML SSO son de la misma clase. Cumplen efectivamente la misma función: ayudar a los usuarios a conectarse a sus recursos de TI. Debido a esto, a menudo se utilizan en cooperación por las organizaciones de TI y se han convertido en elementos básicos de la industria de gestión de identidades.
Los costes de LDAP y SAML SSO
Aunque son eficaces, los métodos comunes de implementación de LDAP y SAML SSO pueden ser costosos para el tiempo y el presupuesto de una empresa. LDAP, como se mencionó anteriormente, es notoriamente técnico para instanciar y requiere una gestión aguda para configurar adecuadamente. SAML SSO suele estar alojado en la nube, pero los modelos de precios de estas soluciones IDaaS pueden ser elevados, por no mencionar que el requisito de un IdP añade costes adicionales.
Afortunadamente, una nueva generación de proveedores de identidad está soportando estos diferentes protocolos dentro de una solución centralizada basada en la nube. En lugar de enfrentarse a la desalentadora tarea de gestionar una amplia gama de plataformas y protocolos de autenticación, más de 100k organizaciones de TI confían en la Plataforma de Directorio JumpCloud para llevar a cabo la gestión completa de la identidad desde un solo panel de vidrio.
LDAP, SAML SSO y más con DaaS
Al alojar LDAP, SAML y más desde la nube, una plataforma Directory-as-a-Service (DaaS) autentica de forma segura las identidades de los usuarios en prácticamente cualquier dispositivo (Windows, Mac®, Linux), aplicación (on-prem o cloud), red, servidor de archivos (on-prem basado en LDAP Samba o cloud basado en SAML) y más utilizando un único conjunto de credenciales. Eso significa menos contraseñas que recordar, menos tiempo dedicado a iniciar sesión y más libertad de elección para los empleados.
Además de LDAP y SAML, las organizaciones de TI pueden aprovechar las funciones similares a las de los objetos de política de grupo (GPO) para aplicar medidas de seguridad como el cifrado de disco completo (FDE), la autenticación multifactorial (MFA) y los requisitos de complejidad de las contraseñas en grupos de usuarios y sistemas Mac, Windows y Linux. Los administradores también pueden utilizar el RADIUS en la nube de JumpCloud para reforzar la seguridad de la red con el etiquetado de VLAN y mucho más.
El coste de las plataformas DaaS
Toda la plataforma JumpCloud Directory está disponible de forma gratuita para los primeros 10 usuarios y 10 dispositivos de su organización. Más allá de eso, el modelo de precios escala a medida que usted lo hace, con descuentos por volumen para organizaciones más grandes, organizaciones educativas, sin fines de lucro y proveedores de servicios administrados (MSP). También ofrecemos una opción por protocolo (LDAP, SAML o RADIUS) a una tarifa reducida.
Si desea ver nuestra plataforma de directorio en la nube en acción antes de comprarla, pruébela gratis hoy mismo, para 10 usuarios y 10 dispositivos. También puede programar una demostración en vivo del producto, o ver una grabada aquí. Si tiene alguna pregunta adicional, no dude en llamarnos o enviarnos una nota. También puedes conectarte con nuestro soporte de chat premium in-app 24×7 durante los primeros 10 días de uso de la plataforma y nuestros ingenieros te ayudarán.