Update on March 15, 2021
Care este diferența dintre LDAP și SAML SSO (single sign-on)? Atât LDAP, cât și SAML nu autentifică utilizatorii la aplicații?
În timp ce atât LDAP, cât și SAML sunt protocoale de autentificare și sunt adesea utilizate pentru aplicații, cele două sunt valorificate pentru cazuri de utilizare foarte diferite. În realitate, însă, organizațiile nu trebuie adesea să aleagă între utilizarea LDAP sau SAML, ci mai degrabă să evalueze cel mai optim mod de a valorifica ambele protocoale în cadrul mediului lor IT. Pentru majoritatea organizațiilor, valorificarea unei game largi de protocoale de autentificare le oferă de fapt acces la mai multe tipuri de resurse IT care, în cele din urmă, le pot sprijini mai bine obiectivele de afaceri. Șmecheria, bineînțeles, este de a face acest lucru fără a crește cheltuielile generale pentru echipa IT.
O scurtă lecție de istorie
Înainte de a ne scufunda în diferențele dintre cele două protocoale de autentificare, este mai bine să înțelegem mai întâi ce este fiecare și cum au evoluat până în punctul în care se află acum. Ca o notă, LDAP și SAML sunt doar două dintre cele aproximativ o jumătate de duzină de protocoale majore de autentificare, și poate o duzină care sunt utilizate pe scară destul de largă.
O scurtă prezentare generală a LDAP
LDAP (Lightweight Directory Access Protocol) a fost creat la începutul anilor 1990 de bunul nostru prieten Tim Howes și de colegii săi și a devenit rapid unul dintre protocoalele de autentificare fundamentale utilizate de rețelele IT. Serverele LDAP – cum ar fi OpenLDAP™ și 389 Directory – sunt adesea utilizate ca sursă de identitate de adevăr, cunoscută și sub numele de furnizor de identitate (IdP) sau serviciu de directoare. Această capacitate, combinată cu un alt protocol de autentificare numit Kerberos și cu abilitățile de gestionare a sistemului prin intermediul politicilor și al execuției de comenzi, a creat coloana vertebrală pentru alegerea tradițională a serviciului de directoare on-prem, Microsoft® Active Directory®.
Principala utilizare a LDAP în prezent este autentificarea utilizatorilor stocați în IdP pentru aplicațiile on-prem sau pentru alte procese de pe serverul Linux®. Printre aplicațiile bazate pe LDAP se numără OpenVPN, Jenkins, Kubernetes, Docker, Jira și multe altele.
În mod tradițional, organizațiile IT au fost obligate să își ridice propria infrastructură LDAP on-prem, împreună cu serviciile auxiliare necesare pentru a menține platforma LDAP sigură și operațională. Fiind un protocol ușor, LDAP rulează eficient pe sisteme și oferă organizațiilor IT un control foarte mare asupra autentificării și autorizării. Cu toate acestea, implementarea sa este un proces tehnic anevoios, creând o muncă semnificativă la început pentru administratorii IT cu sarcini precum disponibilitatea ridicată, monitorizarea performanței, securitatea și multe altele.
O scurtă prezentare generală a SAML
SAML, pe de altă parte, a fost creat la începutul anilor 2000 cu scopul exclusiv de a federa identități pentru aplicațiile web. Protocolul a fost instanțat pe baza faptului că în cadrul unei organizații ar exista deja un furnizor de identitate (la acea vreme se presupunea că este vorba de Microsoft Active Directory). Protocolul SAML nu a urmărit să înlocuiască IdP-ul, ci mai degrabă să îl folosească pentru a afirma validitatea identității unui utilizator.
Această afirmație ar fi valorificată de un furnizor de servicii – sau de o aplicație web – prin intermediul unui schimb XML securizat. Rezultatul a fost că o identitate on-prem, stocată în mod tradițional în Active Directory (AD), ar putea fi extinsă la aplicațiile web. Furnizorii au folosit SAML pentru a crea software care ar putea extinde o identitate de utilizator din AD la o serie de aplicații web, creând prima generație de soluții Identity-as-a-Service (IDaaS) – soluții de autentificare unică (SSO). Printre exemplele de aplicații care acceptă autentificarea SAML se numără Salesforce®, Slack, Trello, GitHub, soluția Atlassian și mii de altele.
JumpCloud Single Sign-On
Sute de conectori pentru a vă asigura că puteți acorda acces la aplicațiile cloud fără fricțiuni
De-a lungul anilor, SAML a fost extins pentru a adăuga funcționalitate pentru a furniza accesul utilizatorilor și la aplicațiile web. Din punct de vedere istoric, soluțiile bazate pe SAML au fost asociate cu o soluție de bază de servicii de directoare.
Diferența dintre LDAP și SAML SSO
Când vine vorba de domeniile lor de influență, LDAP și SAML SSO sunt cât se poate de diferite. LDAP, bineînțeles, este axat în principal pe facilitarea autentificării on-prem și a altor procese de server. SAML extinde acreditările utilizatorilor la cloud și la alte aplicații web.
În timp ce diferențele sunt destul de semnificative, în esența lor, LDAP și SAML SSO sunt de aceeași factură. Ele îndeplinesc efectiv aceeași funcție – aceea de a ajuta utilizatorii să se conecteze la resursele lor IT. Din acest motiv, ele sunt adesea folosite în cooperare de către organizațiile IT și au devenit elemente de bază ale industriei de gestionare a identității.
Costurile LDAP și SAML SSO
Deși sunt eficiente, metodele comune de implementare a LDAP și SAML SSO pot fi costisitoare pentru timpul și bugetul unei întreprinderi. LDAP, după cum s-a menționat anterior, este cunoscut ca fiind tehnic pentru a fi instanțat și necesită un management asiduu pentru a fi configurat în mod corespunzător. SAML SSO este adesea găzduit în cloud, dar modelele de preț ale acestor soluții IDaaS pot fi abrupte, ca să nu mai vorbim de faptul că cerința unui IdP adaugă costuri suplimentare.
Din fericire, o nouă generație de furnizori de identitate suportă aceste protocoale diferite în cadrul unei soluții centralizate bazate pe cloud. În loc să se confrunte cu sarcina descurajantă de a gestiona o gamă largă de platforme și protocoale de autentificare, peste 100k de organizații IT au încredere în JumpCloud Directory Platform pentru a realiza gestionarea completă a identității dintr-un singur panou de sticlă.
LDAP, SAML SSO și multe altele cu DaaS
Prin găzduirea LDAP, SAML și multe altele din cloud, o platformă Directory-as-a-Service (DaaS) autentifică în siguranță identitățile utilizatorilor pe aproape orice dispozitiv (Windows, Mac®, Linux), aplicație (on-prem sau cloud), rețea, server de fișiere (bazat pe LDAP Samba on-prem sau bazat pe SAML în cloud) și multe altele folosind un singur set de acreditări. Aceasta înseamnă mai puține parole de reținut, mai puțin timp petrecut la autentificare și mai multă libertate de alegere pentru angajați.
Dincolo de LDAP și SAML, organizațiile IT pot utiliza funcții similare cu cele ale obiectelor de politici de grup (GPO) pentru a impune măsuri de securitate, cum ar fi criptarea completă a discului (FDE), autentificarea multifactorială (MFA) și cerințele de complexitate a parolelor asupra grupurilor de utilizatori și sistemelor Mac, Windows și Linux. Administratorii pot folosi, de asemenea, Cloud RADIUS de la JumpCloud pentru a întări securitatea rețelei cu etichetarea VLAN și multe altele.
Costul platformelor DaaS
Întreaga platformă JumpCloud Directory este disponibilă gratuit pentru primii 10 utilizatori și 10 dispozitive din organizația dumneavoastră. Dincolo de aceasta, modelul de tarifare se scalează pe măsură ce o faceți, cu reduceri de masă pentru organizațiile mari, organizațiile din domeniul educației, organizațiile non-profit și furnizorii de servicii gestionate (MSP). De asemenea, oferim o opțiune per protocol (LDAP, SAML sau RADIUS) la o rată redusă.
Dacă doriți să vedeți platforma noastră de directoare în cloud în acțiune înainte de a o cumpăra, încercați-o gratuit astăzi, pentru 10 utilizatori și 10 dispozitive. De asemenea, puteți programa o demonstrație live a produsului sau puteți viziona una înregistrată aici. Dacă aveți întrebări suplimentare, nu ezitați să ne sunați sau să ne trimiteți o notă. De asemenea, vă puteți conecta la suportul nostru premium 24×7 prin chat în aplicație în primele 10 zile de utilizare a platformei, iar inginerii noștri vă vor ajuta.
.