Uppdaterad den 15 mars 2021
Vad är skillnaden mellan LDAP och SAML SSO (single sign-on)? Autentiserar inte både LDAP och SAML användare till applikationer?
Saml och LDAP är visserligen båda autentiseringsprotokoll och används ofta för tillämpningar, men de två används för mycket olika användningsområden. I verkligheten behöver organisationer dock inte ofta välja mellan att använda LDAP eller SAML, utan snarare utvärdera det mest optimala sättet att utnyttja båda protokollen i sin IT-miljö. För de flesta organisationer ger utnyttjandet av ett brett utbud av autentiseringsprotokoll dem faktiskt tillgång till fler typer av IT-resurser som i slutändan kan stödja deras affärsmål bättre. Tricket är förstås att göra det utan att öka IT-personalen.
En kort historielektion
Innan vi går in på skillnaderna mellan de två autentiseringsprotokollen är det bäst att först förstå vad de båda protokollen är och hur de har utvecklats till vad de är nu. LDAP och SAML är bara två av kanske ett halvt dussin större autentiseringsprotokoll, och kanske ett dussin som används i ganska stor utsträckning.
En kort översikt över LDAP
LDAP (Lightweight Directory Access Protocol) skapades i början av 1990-talet av vår gode vän Tim Howes och hans kollegor och blev snabbt ett av de grundläggande autentiseringsprotokoll som används av IT-nätverk. LDAP-servrar – t.ex. OpenLDAP™ och 389 Directory – används ofta som en identitetskälla för sanning, även kallad identitetsleverantör (IdP) eller katalogtjänst. Denna förmåga, tillsammans med ett annat autentiseringsprotokoll som kallas Kerberos och systemhanteringsförmåga med hjälp av policyer och kommandoutförande, skapade ryggraden för det traditionella valet av katalogtjänst på plats, Microsoft® Active Directory®.
Den huvudsakliga användningen av LDAP i dag är att autentisera användare som finns lagrade i IdP:n till program på plats eller andra Linux®-serverprocesser. LDAP-baserade applikationer inkluderar OpenVPN, Jenkins, Kubernetes, Docker, Jira och många andra.
Traditionellt har IT-organisationer varit tvungna att bygga upp sin egen LDAP-infrastruktur på plats, tillsammans med de tilläggstjänster som krävs för att hålla LDAP-plattformen säker och operativ. LDAP är ett lättviktigt protokoll som körs effektivt på system och ger IT-organisationer stor kontroll över autentisering och auktorisering. Att implementera det är dock en mödosam teknisk process, som skapar betydande arbete i förväg för IT-administratörer med uppgifter som hög tillgänglighet, prestandaövervakning, säkerhet med mera.
En kort översikt över SAML
SAML, å andra sidan, skapades i början av 2000-talet med det exklusiva syftet att federera identiteter till webbapplikationer. Protokollet inrättades på grundval av det faktum att det skulle finnas en identitetsleverantör som redan fanns inom en organisation (på den tiden var antagandet Microsoft Active Directory). SAML-protokollet syftade inte till att ersätta IdP:n, utan använde den snarare för att bekräfta giltigheten av en användares identitet.
Denna bekräftelse skulle utnyttjas av en tjänsteleverantör – eller en webbapplikation – via ett säkert XML-utbyte. Resultatet blev att en identitet på plats, som traditionellt lagras i Active Directory (AD), kunde utökas till webbapplikationer. Leverantörerna använde SAML för att skapa programvara som kunde utvidga en användaridentitet från AD till en mängd webbapplikationer, vilket skapade den första generationen av IDaaS-lösningar (Identity-as-a-Service) och SSO-lösningar (Single Sign-On). Exempel på tillämpningar som stöder SAML-autentisering är Salesforce®, Slack, Trello, GitHub, Atlassian-lösningen och tusentals andra.
JumpCloud Single Sign-On
Hundratals anslutningar för att se till att du kan bevilja åtkomst till molntillämpningar utan problem
Under årens lopp har SAML utökats för att lägga till funktionalitet för att tillhandahålla användaraccess även till webbapplikationer. SAML-baserade lösningar har historiskt sett varit kopplade till en grundläggande katalogtjänstlösning.
Skillnaden mellan LDAP och SAML SSO
När det gäller deras inflytandeområden är LDAP och SAML SSO så olika som de kan komma. LDAP är naturligtvis främst inriktat på att underlätta autentisering på plats och andra serverprocesser. SAML utvidgar användarens autentiseringsuppgifter till molnet och andra webbapplikationer.
Och även om skillnaderna är ganska betydande är LDAP och SAML SSO i grunden av samma slag. De fyller i praktiken samma funktion – att hjälpa användare att ansluta sig till sina IT-resurser. På grund av detta används de ofta i samarbete av IT-organisationer och har blivit viktiga delar av identitetshanteringsbranschen.
Kostnaderna för LDAP och SAML SSO
Och även om de är effektiva kan vanliga metoder för LDAP- och SAML SSO-implementationer vara kostsamma för ett företags tid och budget. LDAP är, som tidigare nämnts, notoriskt tekniskt komplicerat att installera och kräver en intensiv förvaltning för att konfigureras på rätt sätt. SAML SSO är ofta molnhostad, men prismodellerna för dessa IDaaS-lösningar kan vara höga, för att inte tala om att kravet på en IdP ger ytterligare kostnader.
Troligtvis stöder en ny generation av identitetsleverantörer dessa olika protokoll inom en centraliserad molnbaserad lösning. Istället för att stå inför den skrämmande uppgiften att hantera ett stort antal autentiseringsplattformar och protokoll, litar över 100k IT-organisationer på JumpCloud Directory Platform för att åstadkomma fullständig identitetshantering från en enda glasruta.
LDAP, SAML SSO med mera med DaaS
En Directory-as-a-Service-plattform (DaaS) är värd för LDAP, SAML med mera från molnet och autentiserar på ett säkert sätt användaridentiteter till praktiskt taget vilken enhet som helst (Windows, Mac®, Linux), program (på plats eller i molnet), nätverk, filserver (LDAP Samba-baserad på plats eller SAML-baserad i molnet) med mera med hjälp av en enda uppsättning autentiseringsuppgifter. Det innebär färre lösenord att komma ihåg, mindre tid för inloggning och större valfrihet för de anställda.
Bortom LDAP och SAML kan IT-organisationer utnyttja grupprincipobjekt (GPO)-liknande funktioner för att genomdriva säkerhetsåtgärder som fullständig diskkryptering (FDE), flerfaktorsautentisering (MFA) och krav på lösenordskomplexitet för användargrupper och Mac-, Windows- och Linux-system. Administratörer kan också använda JumpClouds Cloud RADIUS för att skärpa nätverkssäkerheten med VLAN-taggning med mera.
Kostnaden för DaaS-plattformar
Hela JumpCloud Directory-plattformen är tillgänglig gratis för de första 10 användarna och 10 enheterna i din organisation. Utöver det skalar prismodellen i takt med att du gör det, med mängdrabatter för större organisationer, utbildningsorganisationer, ideella organisationer och leverantörer av hanterade tjänster (MSP). Vi erbjuder också ett alternativ per protokoll (LDAP, SAML eller RADIUS) till ett reducerat pris.
Om du vill se vår molnkatalogplattform i aktion innan du köper, kan du prova den gratis idag, för 10 användare och 10 enheter. Du kan också boka en live-demo av produkten eller titta på en inspelad demo här. Om du har några ytterligare frågor är du välkommen att ringa oss eller skicka ett meddelande. Du kan också ansluta dig till vår 24×7 premium in-app chat support under de första 10 dagarna du använder plattformen så hjälper våra ingenjörer dig.