Atualizado em 15 de março de 2021
Qual é a diferença entre LDAP e SAML SSO (single sign-on)? Tanto o LDAP quanto o SAML não autenticam os usuários às aplicações?
Embora ambos LDAP e SAML sejam protocolos de autenticação e sejam frequentemente usados para aplicações, os dois são alavancados para casos de uso muito diferentes. Na realidade, no entanto, as organizações muitas vezes não precisam escolher entre usar LDAP ou SAML, mas sim avaliar a melhor maneira de alavancar ambos os protocolos dentro de seu ambiente de TI. Para a maioria das organizações, alavancar uma ampla gama de protocolos de autenticação realmente lhes dá acesso a mais tipos de recursos de TI que podem, em última análise, suportar melhor seus objetivos de negócios. O truque, claro, é fazer isso sem aumentar as despesas gerais para sua equipe de TI.
Uma breve lição de história
Antes de mergulharmos nas diferenças entre os dois protocolos de autenticação, é melhor primeiro entender o que cada um deles é e como eles evoluíram para onde estão agora. Como nota, LDAP e SAML são apenas dois dos talvez meia dúzia de protocolos principais de autenticação, e talvez uma dúzia que são bastante utilizados.
Um breve resumo do LDAP
LDAP (Lightweight Directory Access Protocol) foi criado no início dos anos 90 pelo nosso bom amigo Tim Howes e seus colegas e rapidamente se tornou um dos protocolos de autenticação fundamentais utilizados pelas redes de TI. Os servidores LDAP – como OpenLDAP™ e 389 Director – são frequentemente utilizados como fonte de identidade de verdade, também conhecido como um fornecedor de identidade (IdP) ou serviço de directório. Esta capacidade, juntamente com outro protocolo de autenticação chamado Kerberos e habilidades de gerenciamento de sistema usando políticas e execução de comandos, criou o backbone para a tradicional escolha de serviço de diretório on-prem, Microsoft® Active Directory®.
O principal uso do LDAP hoje é autenticar usuários armazenados no IdP para aplicações on-prem ou outros processos de servidores Linux®. As aplicações baseadas no LDAP incluem OpenVPN, Jenkins, Kubernetes, Docker, Jira e muitos outros.
Tradicionalmente, as organizações de TI foram forçadas a suportar sua própria infra-estrutura LDAP on-prem, juntamente com os serviços auxiliares necessários para manter a plataforma LDAP segura e operacional. Como um protocolo leve, o LDAP funciona eficientemente em sistemas, e dá às organizações de TI um grande controle sobre autenticação e autorização. A sua implementação, no entanto, é um processo técnico árduo, criando um trabalho significativo para os administradores de TI com tarefas como alta disponibilidade, monitoramento de desempenho, segurança e mais.
Uma breve visão geral do SAML
SAML, por outro lado, foi criado no início dos anos 2000 com o propósito exclusivo de federar identidades a aplicações web. O protocolo foi instanciado sobre o fato de que haveria um provedor de identidade já existente dentro de uma organização (na época, a suposição era Microsoft Active Directory). O protocolo SAML não procurava substituir o IdP, mas sim usá-lo para afirmar a validade da identidade de um usuário.
Que a afirmação seria alavancada por um provedor de serviços – ou aplicação web – através de uma troca segura de XML. O resultado foi que uma identidade on-prem, tradicionalmente armazenada no Active Directory (AD), poderia ser estendida a aplicações web. Os fornecedores usaram SAML para criar software que pudesse estender uma identidade de usuário do AD para uma série de aplicações web, criando a primeira geração de soluções de Identidade como Serviço (IDaaS) – single sign-on (SSO). Exemplos de aplicações que suportam autenticação SAML incluem Salesforce®, Slack, Trello, GitHub, solução Atlassian, e milhares de outras.
JumpCloud Single Sign-On
Centenas de conectores para garantir que você possa conceder acesso a aplicativos em nuvem sem atrito
Todos os anos, o SAML tem sido estendido para adicionar funcionalidade para fornecer acesso do usuário a aplicativos web também. As soluções baseadas em SAML têm sido historicamente emparelhadas com uma solução de serviço de diretório principal.
A diferença entre LDAP e SAML SSO
Quando se trata de suas áreas de influência, LDAP e SAML SSO são tão diferentes quanto eles vêm. O LDAP, naturalmente, está principalmente focado em facilitar a autenticação on-prem e outros processos de servidor. SAML estende as credenciais dos usuários para a nuvem e outras aplicações web.
Embora as diferenças sejam bastante significativas, em sua essência, LDAP e SAML SSO são da mesma natureza. Eles estão efetivamente servindo a mesma função para ajudar os usuários a se conectarem aos seus recursos de TI. Devido a isso, eles são frequentemente usados em cooperação por organizações de TI e se tornaram pilares da indústria de gerenciamento de identidade.
Os custos de LDAP e SAML SSO
Embora sejam eficazes, métodos comuns de implementação de LDAP e SAML SSO podem ser caros para o tempo e orçamento de uma empresa. O LDAP, como mencionado anteriormente, é notoriamente técnico para instanciar e requer uma gestão ágil para configurar adequadamente. O SAML SSO é muitas vezes hospedado em nuvem, mas os modelos de preços destas soluções IDaaS podem ser íngremes, para não mencionar a exigência de um IdP adiciona custos adicionais.
Felizmente, uma nova geração de provedores de identidade está suportando esses diferentes protocolos dentro de uma solução centralizada baseada em nuvem. Em vez de enfrentar a tarefa assustadora de gerenciar uma ampla gama de plataformas e protocolos de autenticação, mais de 100k organizações de TI confiam na JumpCloud Directory Platform para realizar o gerenciamento completo de identidade a partir de um painel de vidro.
LDAP, SAML SSO, e Mais com DaaS
Alojando LDAP, SAML, e mais da nuvem, uma plataforma Directório como Serviço (DaaS) autentica de forma segura as identidades dos utilizadores para praticamente qualquer dispositivo (Windows, Mac®, Linux), aplicação (on-prem ou nuvem), rede, servidor de ficheiros (on-prem LDAP baseado em Samba- ou baseado em SAML na nuvem), e mais utilizando um único conjunto de credenciais. Isso significa menos senhas para lembrar, menos tempo gasto no login e mais liberdade de escolha para os funcionários.
Além do LDAP e do SAML, as organizações de TI podem aproveitar funções semelhantes às do objeto de política de grupo (GPO) para impor medidas de segurança, tais como criptografia completa de disco (FDE), autenticação de múltiplos fatores (MFA) e requisitos de complexidade de senha sobre grupos de usuários e sistemas Mac, Windows e Linux. Os administradores também podem usar o JumpCloud’s Cloud RADIUS para reforçar a segurança da rede com a marcação de VLAN e mais.
O custo das plataformas DaaS
A plataforma JumpCloud Directory Platform inteira está disponível gratuitamente para os primeiros 10 usuários e 10 dispositivos em sua organização. Além disso, o modelo de preços é escalonado como você faz, com descontos em massa para organizações maiores, organizações educacionais, sem fins lucrativos e provedores de serviços gerenciados (MSPs). Nós também oferecemos uma opção por protocolo (LDAP, SAML ou RADIUS) a uma taxa reduzida.
Se você gostaria de ver nossa plataforma de diretório em nuvem em ação antes de comprar, experimente-a gratuitamente hoje, para 10 usuários e 10 dispositivos. Você também pode agendar uma demonstração ao vivo do produto, ou assistir a uma gravação aqui. Se você tiver alguma pergunta adicional, sinta-se à vontade para nos ligar ou enviar uma nota. Você também pode se conectar com nosso suporte de bate-papo premium 24×7 durante os primeiros 10 dias de uso de sua plataforma e nossos engenheiros o ajudarão.