Geactualiseerd op 15 maart 2021
Wat is het verschil tussen LDAP en SAML SSO (single sign-on)? Verifiëren LDAP en SAML niet beide gebruikers naar toepassingen?
Zowel LDAP als SAML zijn authenticatieprotocollen en worden vaak voor applicaties gebruikt, maar de twee worden voor heel verschillende use-cases gebruikt. In werkelijkheid hoeven organisaties echter niet vaak te kiezen tussen LDAP of SAML, maar moeten zij veeleer de meest optimale manier evalueren om beide protocollen binnen hun IT-omgeving te gebruiken. Voor de meeste organisaties betekent het gebruik van een breed scala aan authenticatieprotocollen dat ze toegang krijgen tot meer soorten IT-resources, die uiteindelijk hun bedrijfsdoelstellingen beter kunnen ondersteunen. De kunst is natuurlijk om dat te doen zonder de overhead voor uw IT-team te vergroten.
Een korte geschiedenisles
Voordat we in de verschillen tussen de twee authenticatieprotocollen duiken, is het het beste om eerst te begrijpen wat ze zijn en hoe ze zijn geëvolueerd tot waar ze nu zijn. LDAP en SAML zijn slechts twee van misschien een half dozijn belangrijke verificatieprotocollen, en misschien een dozijn die vrij algemeen worden gebruikt.
Een kort overzicht van LDAP
LDAP (Lightweight Directory Access Protocol) werd in het begin van de jaren negentig gemaakt door onze goede vriend Tim Howes en zijn collega’s en werd al snel een van de fundamentele verificatieprotocollen die door IT-netwerken worden gebruikt. LDAP-servers, zoals OpenLDAP™ en 389 Directory, worden vaak gebruikt als identiteitsbron van de waarheid, ook bekend als een identity provider (IdP) of directory service. Deze mogelijkheid, gekoppeld aan een ander authenticatieprotocol genaamd Kerberos en mogelijkheden voor systeembeheer met behulp van beleidsregels en opdrachtuitvoering, vormde de ruggengraat voor de traditionele, on-prem directoryservice naar keuze, Microsoft® Active Directory®.
Het belangrijkste gebruik van LDAP is tegenwoordig het authenticeren van gebruikers die zijn opgeslagen in de IdP voor on-prem-toepassingen of andere Linux®-serverprocessen. Op LDAP gebaseerde toepassingen zijn onder meer OpenVPN, Jenkins, Kubernetes, Docker, Jira en vele anderen.
Traditioneel zijn IT-organisaties gedwongen hun eigen LDAP-infrastructuur on-prem op te zetten, samen met de ondersteunende diensten die nodig zijn om het LDAP-platform veilig en operationeel te houden. LDAP is een lichtgewicht protocol, draait efficiënt op systemen en geeft IT-organisaties veel controle over authenticatie en autorisatie. Het implementeren ervan is echter een lastig technisch proces, dat IT-beheerders veel werk oplevert met taken als hoge beschikbaarheid, prestatiebewaking en beveiliging.
Een kort overzicht van SAML
SAML daarentegen werd in het begin van de jaren 2000 gecreëerd met als exclusief doel identiteiten aan webtoepassingen te koppelen. Het protocol was gebaseerd op het feit dat er binnen een organisatie al een identity provider zou bestaan (destijds werd uitgegaan van Microsoft Active Directory). Het SAML protocol was er niet op gericht om de IdP te vervangen, maar om deze te gebruiken om de geldigheid van de identiteit van een gebruiker te bevestigen.
Die bevestiging zou door een dienstverlener – of webapplicatie – worden gebruikt via een beveiligde XML uitwisseling. Het resultaat was dat een on-prem identiteit, traditioneel opgeslagen in Active Directory (AD), kon worden uitgebreid tot webtoepassingen. Leveranciers gebruikten SAML om software te maken waarmee een gebruikersidentiteit van AD kon worden uitgebreid naar een groot aantal webapplicaties, waarmee de eerste generatie Identity-as-a-Service (IDaaS)-single sign-on (SSO)-oplossingen werd gecreëerd. Voorbeelden van toepassingen die SAML-verificatie ondersteunen zijn Salesforce®, Slack, Trello, GitHub, Atlassian-oplossing, en duizenden anderen.
JumpCloud Single Sign-On
Honderden connectors om ervoor te zorgen dat u zonder wrijving toegang kunt verlenen tot cloud-applicaties
In de loop der jaren is SAML uitgebreid met functionaliteit om gebruikers ook toegang te verlenen tot webapplicaties. Op SAML gebaseerde oplossingen zijn van oudsher gekoppeld aan een centrale directory service-oplossing.
Het verschil tussen LDAP en SAML SSO
LDAP en SAML SSO zijn zeer verschillend als het gaat om hun invloedssfeer. LDAP, natuurlijk, is vooral gericht op het vergemakkelijken van on-prem authenticatie en andere server processen. SAML breidt gebruikersreferenties uit naar de cloud en andere webapplicaties.
Hoewel de verschillen vrij significant zijn, zijn LDAP en SAML SSO in de kern van hetzelfde soort. Ze hebben in feite dezelfde functie: gebruikers helpen verbinding te maken met hun IT-resources. Daarom worden ze vaak samen gebruikt door IT-organisaties en zijn ze nietjes geworden van de identiteitsbeheerindustrie.
De kosten van LDAP en SAML SSO
Hoewel ze effectief zijn, kunnen gemeenschappelijke methoden voor LDAP- en SAML SSO-implementaties kostbaar zijn voor de tijd en het budget van een onderneming. LDAP, zoals eerder vermeld, is berucht om zijn technische opzet en vereist een scherp beheer om het goed te configureren. SAML SSO wordt vaak in de cloud gehost, maar de prijsmodellen van deze IDaaS-oplossingen kunnen hoog zijn, om nog maar te zwijgen van de vereiste voor een IdP die extra kosten met zich meebrengt.
Gelukkig ondersteunt een nieuwe generatie identiteitsaanbieders deze verschillende protocollen binnen één gecentraliseerde cloud-gebaseerde oplossing. In plaats van te worden geconfronteerd met de ontmoedigende taak van het beheren van een breed scala aan authenticatieplatforms en -protocollen, vertrouwen meer dan 100.000 IT-organisaties op JumpCloud Directory Platform om het volledige identiteitsbeheer vanuit één venster te realiseren.
LDAP, SAML SSO en meer met DaaS
Door LDAP, SAML en meer vanuit de cloud te hosten, verifieert een Directory-as-a-Service (DaaS)-platform gebruikersidentiteiten veilig op vrijwel elk apparaat (Windows, Mac®, Linux), applicatie (lokaal of in de cloud), netwerk, bestandsserver (op basis van LDAP Samba op lokaal niveau of op basis van SAML in de cloud) en meer met behulp van één enkele set referenties. Dat betekent minder wachtwoorden om te onthouden, minder tijd om in te loggen, en meer keuzevrijheid voor werknemers.
Naast LDAP en SAML kunnen IT-organisaties gebruikmaken van GPO-achtige functies (group policy object) om beveiligingsmaatregelen af te dwingen, zoals FDE (full disk encryption), MFA (multi-factor authentication) en vereisten voor de complexiteit van wachtwoorden voor gebruikersgroepen en Mac-, Windows- en Linux-systemen. Beheerders kunnen JumpCloud’s Cloud RADIUS ook gebruiken om de netwerkbeveiliging aan te scherpen met VLAN-tagging en meer.
De kosten van DaaS-platforms
Het volledige JumpCloud Directory Platform is gratis beschikbaar voor de eerste 10 gebruikers en 10 apparaten in uw organisatie. Daarna schaalt het prijsmodel mee met uw organisatie, met bulkkortingen voor grotere organisaties, onderwijsinstellingen, non-profits en MSP’s (Managed Service Providers). Wij bieden ook een optie per protocol (LDAP, SAML of RADIUS) tegen een gereduceerd tarief.
Als u ons cloud directory-platform in actie wilt zien voordat u het koopt, kunt u het vandaag gratis uitproberen voor 10 gebruikers en 10 apparaten. U kunt ook een live demo van het product plannen, of een opgenomen demo hier bekijken. Als u nog vragen hebt, kunt u ons altijd bellen of een bericht sturen. U kunt ook contact opnemen met onze 24×7 premium in-app chatondersteuning tijdens de eerste 10 dagen van uw gebruik van het platform en onze technici zullen u helpen.