Sowohl das Lightweight Directory Access Protocol als auch die Security Assertion Markup Language (LDAP und SAML) sind weit verbreitete Zugriffs- und Authentifizierungsprotokolle, die häufig für Anwendungen und in verschiedenen Organisationen verwendet werden, jedoch für unterschiedliche Anwendungsfälle eingesetzt werden. Trotzdem sollten Organisationen nicht gezwungen werden, sich für LDAP oder SAML zu entscheiden. Die meisten Unternehmen können auf eine breitere Palette von IT-Ressourcen zugreifen, wenn sie eine Kombination von Authentifizierungsprotokollen verwenden, was ihnen letztendlich hilft, ihre Geschäftsziele besser zu erreichen.
Im Folgenden werden wir LDAP und SAML untersuchen, die beiden vergleichen und die Vor- und Nachteile dieser Protokolle untersuchen.
Was ist LDAP-Authentifizierung?
Typischerweise wird das Lightweight Directory Access Protocol verwendet, um Authentifizierungsinformationen wie den Anmelde- und das Passwort zu verfolgen, die später verwendet werden, um den Zugang zu einem anderen Protokoll oder einem Systemservice zu ermöglichen. Eine LDAP-Datenbank oder ein Verzeichnis kann von einem Benutzer nicht ohne vorherige Authentifizierung (Nachweis der eigenen Identität) zugänglich gemacht werden. Die Datenbank enthält in der Regel Informationen über Benutzer, Gruppen und Berechtigungsdaten und sendet angeforderte Daten an verbundene Anwendungen.
LDAP-Authentifizierung bedeutet, dass die bereitgestellten Benutzernamen und Passwörter validiert werden, indem eine Verbindung zu einem Verzeichnisdienst hergestellt wird, der das LDAP-Protokoll verwendet. OpenLDAP, MS Active Directory und OpenDJ sind einige Verzeichnisserver, die LDAP auf diese Weise nutzen.
Hier ist eine schrittweise Erklärung des Authentifizierungsverfahrens:
- Der Client (ein System oder eine Anwendung, die LDAP-fähig ist) sendet eine Anfrage zum Zugriff auf Daten innerhalb einer LDAP-Datenbank.
- Der Client gibt dem LDAP-Server Anmeldedetails des Benutzers (Benutzername und Passwort) an.
- Der LDAP-Server vergleicht die Anmeldeinformationen des Benutzers mit den wesentlichen Benutzeridentitätsinformationen, die in seiner LDAP-Datenbank gespeichert sind.
- Der Client kann auf die angeforderten Informationen zugreifen, wenn die bereitgestellten Anmeldeinformationen mit der gespeicherten Kernbenutzeridentität übereinstimmen. Der Zugang zur LDAP-Datenbank wird verweigert, wenn die Anmeldeinformationen falsch sind.
LDAP-Authentifizierung folgt dem Client/Server-Modell. In diesem Fall ist der Client typischerweise ein LDAP-fähiges System oder eine Anwendung, das bzw. die Daten von einer verbundenen LDAP-Datenbank anfordert, während der Server offensichtlich der LDAP-Server ist.
Die Serverseite von LDAP ist eine Datenbank mit einem flexiblen Schema. Mit anderen Worten, LDAP kann eine Reihe von Attributen wie Adresse, Telefonnummer, Gruppenzugehörigkeiten und mehr speichern, zusätzlich zu Anmelde- und Passwortdaten. Das Speichern grundlegender Benutzeridentitäten ist daher ein häufiger Anwendungsfall für LDAP.
Dadurch kann die IT LDAP-fähige Systeme und Anwendungen (beispielsweise) mit einer entsprechenden LDAP-Verzeichnisdatenbank verbinden, die als maßgebliche Quelle für die Benutzerzugriffsauthentifizierung dient.
Was macht LDAP-Authentifizierung zwischen einem Client und einem Server?
Wie funktioniert die LDAP-Authentifizierung zwischen einem Client und einem Server? Im Wesentlichen sendet ein Client eine Anfrage nach Daten, die in einer LDAP-Datenbank gespeichert sind, zusammen mit den Anmeldeinformationen des Benutzers an einen LDAP-Server. Der LDAP-Server authentifiziert dann die Anmeldeinformationen des Benutzers gegenüber seiner primären Benutzeridentität, die in der LDAP-Datenbank gespeichert ist. Der Client erhält Zugang und erhält die erforderlichen Informationen (Attribute, Gruppenmitgliedschaften oder andere Daten), wenn die vom Benutzer bereitgestellten Anmeldeinformationen mit den Anmeldeinformationen übereinstimmen, die mit seiner Kernbenutzeridentität in der LDAP-Datenbank verknüpft sind. Der Client wird daran gehindert, auf die LDAP-Datenbank zuzugreifen, wenn die bereitgestellten Anmeldeinformationen nicht übereinstimmen.
Ist SAML eine Alternative zu LDAP?
Häufig erhalten wir eine ähnliche Frage: Wir möchten von LDAP zur SAML-Authentifizierung wechseln, ohne dabei auf Funktionalität zu verzichten. Ist das möglich?
Leider nein. LDAP kann nicht direkt durch SAML ersetzt werden. Dies liegt daran, dass SAML entwickelt wurde, um mit Cloud-basierten Servern und Anwendungen zu interagieren, während LDAP für die lokale Authentifizierung entwickelt wurde. Sie bieten sehr unterschiedliche Methoden zur Absicherung des Authentifizierungsprozesses. Um dies besser zu verstehen, ist es wichtig, einen Überblick darüber zu bekommen, was diese Zugriffsprotokolle leisten.
Was ist LDAP?
LDAP ist ein Beispiel für ein Verzeichniszugriffsprotokoll. In seiner grundlegendsten Form ist LDAP (Lightweight Directory Access Protocol) ein Protokoll, das zur Suche nach Elementen in einem Verzeichnis verwendet werden kann. LDAP ist ein Backend-Protokoll, das zwischen einem Server (wie LiquidFiles) und einem LDAP-Server/Verzeichnis (wie Active Directory) stattfindet.
LDAP kann auch zur Authentifizierung verwendet werden, und wenn sich jemand am Server (in diesem Fall LiquidFiles) authentifiziert, versucht der Server, sich beim LDAP-Verzeichnis anzumelden und gewährt dem Benutzer Zugriff, wenn dies erfolgreich ist.
Der Hauptunterschied zu SAML besteht darin, dass - der Server wird sich bemühen, sich zu authentifizieren. Zwischen dem Webbrowser/Outlook-Plugin oder einem anderen Client und LiquidFiles findet nichts LDAP-bezogenes statt. LDAP findet zwischen dem Server (LiquidFiles) und dem LDAP-Server/Verzeichnis statt.
Was ist SAML?
SAML (Security Assertion Markup Language) ist ein Frontend-Protokoll, das für Webbrowser entwickelt wurde, um Single Sign-On (SSO) für Webanwendungen zu ermöglichen. SAML fehlen Funktionen zur Benutzersuche und ist ohne Browser nicht funktionsfähig.
Wie funktioniert SAML?
Technisch gesehen funktioniert SAML, indem der Webbrowser zum SAML-Server umgeleitet wird, der dann den Benutzer authentifiziert und den Browser mit einer signierten Antwort zurückschickt.
Der Server (LiquidFiles) überprüft die Signatur mithilfe des Zertifikatfingerabdrucks des SAML-Servers, und wenn dies erfolgreich ist, wird dem Benutzer Zugang gewährt.
Im Gegensatz zu LDAP findet bei der Authentifizierung mit SAML nichts zwischen dem Server (LiquidFiles) und dem SAML-Server statt. Das einzige, was passiert, ist, dass der Webbrowser zwischen dem Server (LiquidFiles) und dem SAML-Server umgeleitet wird, bevor er zur vollständigen Authentifizierung zum Server zurückkehrt.
SAML funktioniert, indem Benutzer-, Anmelde- und Attributinformationen zwischen dem Identitätsanbieter und den Dienstanbietern gesendet werden. Jeder Benutzer muss sich nur einmal beim Single Sign-On mit dem Identitätsanbieter anmelden, und dann kann der Identitätsanbieter bei jedem Zugriffsversuch eines Dienstanbieters SAML-Eigenschaften bereitstellen. Der Dienstanbieter fordert Authentifizierung und Autorisierung beim Identitätsanbieter an. Der Benutzer muss sich nur einmal anmelden, da beide Systeme die gleiche Sprache sprechen - SAML.
Die Konfiguration für SAML muss von jedem Identitätsanbieter und Dienstanbieter genehmigt werden. Damit die SAML-Authentifizierung funktioniert, müssen beide Seiten die exakte Konfiguration haben.
LDAP vs SAML
Sowohl LDAP als auch SAML haben das Hauptziel, die sichere Benutzerauthentifizierung zu ermöglichen, um Benutzer mit den Ressourcen zu verbinden, die sie benötigen. Sie unterscheiden sich jedoch in den Sicherheitsmaßnahmen des Authentifizierungsprozesses, die sie bieten. Beide haben Vor- und Nachteile. Außerdem werden sich im Laufe der Zeit ihre jeweiligen Verwaltungsanforderungen ändern und sehr unterschiedlich sein.
LDAP vs SAML: Ähnlichkeiten
Obwohl es einige deutliche Unterschiede gibt, sind LDAP und SAML SSO im Kern ähnlich. Beide dienen demselben Zweck, nämlich dem Benutzer den Zugang zu IT-Ressourcen zu erleichtern. Daher werden sie von IT-Unternehmen häufig gemeinsam verwendet und haben sich als Grundpfeiler im Bereich Identity Management etabliert. Organisationen haben SAML-basierte Single Sign-On-Lösungen für Webanwendungen zusätzlich zu ihrem primären Verzeichnisdienst genutzt, da die Nutzung von Webanwendungen signifikant zugenommen hat.
LDAP vs SAML: Unterschiede
LDAP und SAML SSO unterscheiden sich grundlegend in ihren Einflussbereichen. Natürlich beschäftigt sich LDAP hauptsächlich mit der lokalen Authentifizierung und anderen Serverprozessen. SAML erweitert die Benutzeranmeldeinformationen auf die Cloud und andere Webanwendungen.
Ein bedeutender Unterschied, der leicht übersehen werden kann, ist der Fakt, dass die meisten LDAP-Serverimplementierungen darauf abzielen, als maßgeblicher Identitätsanbieter oder als Wahrheitsquelle für eine Identität zu dienen. Oftmals ist SAML jedoch nicht die Wahrheitsquelle, sondern fungiert eher als Proxy für den Verzeichnisdienst und transformiert den Identitäts- und Authentifizierungsprozess in einen SAML-basierten Ablauf um.
Vor- und Nachteile von LDAP
Ein LDAP-Identitätsanbieter für SSO wird von vielen Dienstanbietern unterstützt. Dies ermöglicht es einem Unternehmen, seinen aktuellen LDAP-Verzeichnisdienst zur Verwaltung von Benutzern für SSO zu verwenden.
Ein Nachteil von LDAP ist, dass es nicht dafür entwickelt wurde, in Verbindung mit Webanwendungen verwendet zu werden. LDAP, das in den frühen 1990er Jahren entwickelt wurde, als das Internet gerade erst im Kommen war, eignet sich besser für Einsatzszenarien wie Microsoft Active Directory und On-Premises-Bereitstellungen. Da IT-Administratoren immer mehr neuere Authentifizierungsstandards bevorzugen, geben einige Dienstanbieter die Unterstützung für LDAP auf. Diese potenziellen Übergänge sollten berücksichtigt werden, wenn Sie LDAP vs. SAML SSO-Optionen für Ihr Unternehmen vergleichen.
Vor- und Nachteile von SAML
Der bekannteste Standard für Cloud- und Webanwendungen, SAML 2.0 (die neueste Version), ist vielseitig, leichtgewichtig und wird von den meisten Plattformen unterstützt. Es ist auch eine beliebte Wahl für zentrales Identitätsmanagement.
Trotz eines im Allgemeinen sicheren Protokolls stellen XML-Angriffe und DNS-Spoofing Sicherheitsrisiken für SAML dar. Die Implementierung von Sicherheitsmaßnahmen ist ein entscheidender Schritt, wenn Sie SAML nutzen möchten.
Abschließende Gedanken
Auch wenn LDAP und SAML unterschiedlich funktionieren, schließen sie sich nicht gegenseitig aus und können beide in Ihrer Umgebung implementiert werden. Außerdem sollte daran erinnert werden, dass LDAP und SAML nur zwei der wichtigsten Authentifizierungsprotokolle sind, die verfügbar sind.
Unser Unternehmen hat die letzten 12 Jahre damit verbracht, Lösungen für anspruchsvolle Probleme für Unternehmenskunden zu finden, mit einem klaren Ziel: "Wir entwickeln zuverlässige und praktische Lösungen für Identitäts- und Zugriffsmanagement". Seitdem haben wir positive Bewertungen von Centrify, CyberArk, Cyphort, ISACA, Arzinger, Saife usw. erhalten.
Der Hideez Authentication Service kombiniert alle vorhandenen Authentifizierungsmethoden - Passwörter, Einmalpasswörter, starke Zwei-Faktor-Authentifizierung (FIDO U2F), passwortlose Authentifizierung (FIDO2) und Single Sign-On (SSO) zu einer Lösung, die problemlos in die Unternehmensumgebung integriert werden kann, basierend auf Hideez Enterprise Server unterstützt LDAP und SAML. Ihr IT-Team wird Zeit und Geld sparen und sich sicher sein, dass jeder Benutzer sicher authentifiziert wird und nur Zugriff auf das erhält, was erlaubt ist.
Vereinbaren Sie eine personalisierte Demo, um mehr darüber zu erfahren, welche Rolle Hideez bei der Sicherung Ihrer Geschäftsumgebung spielt.
