Updated on March 15, 2021
Jaka jest różnica między LDAP a SAML SSO (single sign-on)? Czy zarówno LDAP jak i SAML nie uwierzytelniają użytkowników do aplikacji?
Pomimo, że zarówno LDAP jak i SAML są protokołami uwierzytelniania i są często używane w aplikacjach, oba są wykorzystywane w bardzo różnych przypadkach użycia. W rzeczywistości jednak, organizacje nie muszą często wybierać pomiędzy używaniem LDAP lub SAML, ale raczej oceniają najbardziej optymalny sposób wykorzystania obu protokołów w swoim środowisku IT. Dla większości organizacji, wykorzystanie szerokiej gamy protokołów uwierzytelniania w rzeczywistości daje im dostęp do większej ilości typów zasobów IT, które ostatecznie mogą lepiej wspierać ich cele biznesowe. Sztuką jest oczywiście zrobienie tego bez zwiększania kosztów ogólnych dla zespołu IT.
Krótka lekcja historii
Zanim zagłębimy się w różnice między dwoma protokołami uwierzytelniania, najlepiej najpierw zrozumieć, czym są i jak ewoluowały, aby znaleźć się tam, gdzie są teraz. Uwaga, LDAP i SAML to tylko dwa z być może pół tuzina głównych protokołów uwierzytelniania, a być może tuzin, które są dość szeroko stosowane.
Krótki przegląd LDAP
LDAP (Lightweight Directory Access Protocol) został stworzony na początku lat 90. przez naszego dobrego przyjaciela Tima Howesa i jego kolegów i szybko stał się jednym z podstawowych protokołów uwierzytelniania używanych w sieciach IT. Serwery LDAP – takie jak OpenLDAP™ i 389 Directory – są często używane jako źródło prawdy o tożsamości, znane również jako dostawca tożsamości (IdP) lub usługa katalogowa. Ta zdolność, w połączeniu z innym protokołem uwierzytelniania o nazwie Kerberos i możliwościami zarządzania systemem za pomocą polityk i wykonywania poleceń, stworzyła szkielet dla tradycyjnej usługi katalogowej dostępnej w siedzibie firmy, Microsoft® Active Directory®.
Głównym zastosowaniem LDAP jest dziś uwierzytelnianie użytkowników przechowywanych w IdP w aplikacjach dostępnych w siedzibie firmy lub innych procesach serwera Linux®. Aplikacje oparte na LDAP obejmują OpenVPN, Jenkins, Kubernetes, Docker, Jira i wiele innych.
Tradycyjnie, organizacje IT były zmuszone do tworzenia własnej infrastruktury LDAP on-prem, wraz z usługami pomocniczymi wymaganymi do utrzymania platformy LDAP bezpiecznej i operacyjnej. Jako lekki protokół, LDAP działa wydajnie w systemach i daje organizacjom IT dużą kontrolę nad uwierzytelnianiem i autoryzacją. Wdrożenie go jest jednak żmudnym procesem technicznym, wymagającym od administratorów IT znacznego nakładu pracy przy zadaniach takich jak wysoka dostępność, monitorowanie wydajności, bezpieczeństwo i inne.
Krótki przegląd SAML
SAML, z drugiej strony, został stworzony we wczesnych latach 2000 z wyłącznym celem federacji tożsamości do aplikacji internetowych. Protokół został stworzony w oparciu o fakt, że dostawca tożsamości istniał już w organizacji (w tamtym czasie zakładano, że będzie to Microsoft Active Directory). Protokół SAML nie miał na celu zastąpienia IdP, ale raczej wykorzystanie go do potwierdzenia ważności tożsamości użytkownika.
Ta asercja byłaby wykorzystywana przez dostawcę usług – lub aplikację internetową – poprzez bezpieczną wymianę XML. W rezultacie tożsamość on-prem, tradycyjnie przechowywana w Active Directory (AD), mogła zostać rozszerzona na aplikacje internetowe. Producenci wykorzystali SAML do stworzenia oprogramowania, które mogło rozszerzyć jedną tożsamość użytkownika z AD na wiele aplikacji internetowych, tworząc pierwszą generację rozwiązań Identity-as-a-Service (IDaaS)-single sign-on (SSO). Przykłady aplikacji, które obsługują uwierzytelnianie SAML, to Salesforce®, Slack, Trello, GitHub, rozwiązanie Atlassian i tysiące innych.
JumpCloud Single Sign-On
Setki konektorów zapewniających przyznawanie dostępu do aplikacji w chmurze bez tarć
Z biegiem lat SAML został rozszerzony o funkcjonalność umożliwiającą zapewnianie użytkownikom dostępu również do aplikacji internetowych. Rozwiązania oparte na SAML były historycznie sparowane z podstawowym rozwiązaniem usługi katalogowej.
Różnica między LDAP i SAML SSO
Jeśli chodzi o obszary wpływu, LDAP i SAML SSO są tak różne, jak tylko się pojawią. LDAP, oczywiście, skupia się głównie na ułatwianiu uwierzytelniania on-prem i innych procesów serwerowych. SAML rozszerza poświadczenia użytkownika na chmurę i inne aplikacje internetowe.
Pomimo że różnice są dość znaczące, w swoim rdzeniu LDAP i SAML SSO są tego samego rodzaju. Skutecznie pełnią tę samą funkcję – pomagają użytkownikom łączyć się z ich zasobami IT. Z tego powodu są one często używane we współpracy przez organizacje IT i stały się podstawowymi elementami branży zarządzania tożsamością.
Koszty LDAP i SAML SSO
Mimo że są skuteczne, wspólne metody wdrażania LDAP i SAML SSO mogą być kosztowne dla czasu i budżetu przedsiębiorstwa. LDAP, jak już wcześniej wspomniano, jest notorycznie techniczny do zainstalowania i wymaga intensywnego zarządzania, aby prawidłowo skonfigurować. SAML SSO jest często hostowany w chmurze, ale modele cenowe tych rozwiązań IDaaS mogą być drogie, nie wspominając już o wymogu posiadania IdP, który dodaje dodatkowe koszty.
Na szczęście, nowa generacja dostawców tożsamości obsługuje te różne protokoły w ramach jednego scentralizowanego rozwiązania opartego na chmurze. Zamiast stawiać czoła zniechęcającemu zadaniu zarządzania szeroką gamą platform uwierzytelniania i protokołów, ponad 100k organizacji IT zaufało JumpCloud Directory Platform, aby osiągnąć kompletne zarządzanie tożsamością z jednej szyby.
LDAP, SAML SSO i więcej z DaaS
By hostować LDAP, SAML i więcej z chmury, platforma Directory-as-a-Service (DaaS) bezpiecznie uwierzytelnia tożsamość użytkownika do praktycznie każdego urządzenia (Windows, Mac®, Linux), aplikacji (on-prem lub cloud), sieci, serwera plików (on-prem LDAP Samba-based lub cloud SAML-based) i więcej przy użyciu jednego zestawu poświadczeń. Oznacza to mniej haseł do zapamiętania, mniej czasu poświęconego na logowanie i większą swobodę wyboru dla pracowników.
Poza LDAP i SAML, organizacje IT mogą wykorzystać funkcje podobne do obiektów polityki grupowej (GPO), aby wymusić środki bezpieczeństwa, takie jak pełne szyfrowanie dysku (FDE), uwierzytelnianie wieloczynnikowe (MFA) i wymagania dotyczące złożoności haseł dla grup użytkowników i systemów Mac, Windows i Linux. Administratorzy mogą również użyć JumpCloud’s Cloud RADIUS do zwiększenia bezpieczeństwa sieci z tagowaniem VLAN i nie tylko.
Koszt platform DaaS
Cała platforma JumpCloud Directory jest dostępna za darmo dla pierwszych 10 użytkowników i 10 urządzeń w Twojej organizacji. Poza tym, model cenowy skaluje się wraz z Tobą, z masowymi zniżkami dla większych organizacji, organizacji edukacyjnych, non-profit i dostawców usług zarządzanych (MSP). Oferujemy również opcję na protokół (LDAP, SAML lub RADIUS) po obniżonej stawce.
Jeśli chcesz zobaczyć naszą platformę katalogową w chmurze w akcji przed zakupem, wypróbuj ją za darmo już dziś, dla 10 użytkowników i 10 urządzeń. Możesz również zaplanować demonstrację produktu na żywo lub obejrzeć nagranie tutaj. Jeśli masz jakieś dodatkowe pytania, zadzwoń do nas lub wyślij wiadomość. Możesz również połączyć się z naszym czatem premium 24×7 w ciągu pierwszych 10 dni korzystania z platformy, a nasi inżynierowie Ci pomogą.