saltar al contenido
Tanto el protocolo ligero de acceso a directorios como el lenguaje de marcado de aserción de seguridad (LDAP y SAML) son protocolos de acceso y autenticación ampliamente utilizados, a menudo para aplicaciones y en una variedad de organizaciones, pero se emplean para casos de uso bastante distintos.A pesar de esto, las organizaciones no deberían verse obligadas a elegir LDAP o SAMLLa mayoría de las empresas pueden acceder a una gama más amplia de recursos de TI cuando utilizan una combinación de protocolos de autenticación, lo que en última instancia les ayuda a alcanzar mejor sus objetivos comerciales.
A continuación, estudiaremos LDAP y SAML, compararemos y contrastaremos los dos, y profundizaremos en las ventajas y desventajas de estos protocolos.
Contenido
¿SAML es una alternativa a LDAP?
<Ventajas y desventajas de LDAP
Ventajas y desventajas de SAML
Qué es la autenticación LDAP
Por lo general, el protocolo ligero de acceso a directorios se utiliza para realizar un seguimiento de la información de autenticación, como el inicio de sesión y la contraseña, que luego se utilizará para permitir el acceso a otro protocolo o servicio del sistema.Un usuario no puede acceder a una base de datos o directorio LDAP sin autenticarse primero (demostrar que es quien dice ser)La base de datos generalmente contiene información sobre usuarios, grupos y datos de permisos y envía los datos solicitados a las aplicaciones conectadas.
La autenticación LDAP implica la validación de los nombres de usuario y contraseñas proporcionados mediante el establecimiento de una conexión con un servicio de directorio que utiliza el protocolo LDAP.OpenLDAP, MS Active Directory y OpenDJ son algunos servidores de directorio que usan LDAP de esta manera
Aquí hay una explicación paso a paso del procedimiento de autenticación:
- El cliente (un sistema o aplicación compatible con LDAP) envía una solicitud para acceder a los datos almacenados en una base de datos LDAP
- El cliente proporciona su servidor LDAP detalles de inicio de sesión del usuario (nombre de usuario y contraseña)
- El servidor LDAP compara las credenciales del usuario con la información esencial de identidad del usuario guardada en su base de datos LDAP
- El cliente puede acceder a la información solicitada si las credenciales proporcionadas coinciden con la identidad del usuario central almacenadaSe denegará el acceso a la base de datos LDAP si las credenciales son incorrectas
Se puede decir que la autenticación LDAP sigue el modelo cliente/servidorEn este caso, el cliente suele ser un sistema o aplicación compatible con LDAP que solicita datos de una base de datos LDAP relacionada, mientras que el servidor es obviamente el servidor LDAP.
El lado del servidor de LDAP es una base de datos con un esquema flexibleEn otras palabras, LDAP puede contener una variedad de atributos, como una dirección, un número de teléfono, relaciones grupales y más, además de los datos de inicio de sesión y contraseña.Como resultado, el almacenamiento de identidades de usuario fundamentales es un caso de uso común para LDAP.
Al hacer esto, TI puede vincular sistemas y aplicaciones habilitados para LDAP (por ejemplo) a una base de datos de directorio LDAP relacionada, que sirve como fuente autorizada para la autenticación de acceso del usuario.
¿Qué hace la autenticación LDAP entre un cliente y un servidor?
¿Cómo funciona la autenticación LDAP entre un cliente y un servidor? En esencia, un cliente envía una solicitud de datos guardados en una base de datos LDAP junto con los detalles de inicio de sesión del usuario a un servidor LDAP.El servidor LDAP luego autentica las credenciales del usuario contra su identidad de usuario principal, que se mantiene en la base de datos LDAP.El cliente tiene acceso y obtiene la información necesaria (atributos, pertenencia a grupos u otros datos) si las credenciales proporcionadas por el usuario coinciden con las credenciales asociadas con su identidad de usuario central que se almacena en la base de datos LDAP.Se impide que el cliente acceda a la base de datos LDAP si las credenciales proporcionadas no coinciden
¿SAML es una alternativa a LDAP?
Con frecuencia recibimos una pregunta similar a esta: queremos cambiar de LDAP a autenticación SAML sin sacrificar ninguna funcionalidad.¿Es eso posible?
Desafortunadamente, noLDAP no se puede reemplazar directamente con SAMLEsto se debe a que SAML se desarrolló para interactuar con servidores y aplicaciones basados en la nube, mientras que LDAP se desarrolló para la autenticación en el sitio.Proporcionan métodos muy diferentes para asegurar el proceso de autenticación.Para entender esto mejor, es importante obtener una descripción general de lo que hacen estos protocolos de acceso.
¿Qué es LDAP?
LDAP es un ejemplo de un protocolo de acceso a directoriosEn su forma más básica, LDAP (Protocolo ligero de acceso a directorios) es un protocolo que se puede usar para buscar elementos en un directorio.LDAP es un protocolo de back-end que ocurre entre un servidor (como LiquidFiles) y un servidor/directorio LDAP (como Active Directory)
LDAP también se puede usar para la autenticación y cuando alguien se autentica en el servidor (LiquidFiles en este caso), el servidor intentará autenticarse en el directorio LDAP y otorgar acceso al usuario si tiene éxito.
La diferencia principal con SAML es que el servidor se esforzará en la autenticación.Entre el navegador web/complemento de Outlook o cualquier otro cliente y LiquidFiles, no ocurre nada relacionado con LDAPLDAP tiene lugar entre el servidor (LiquidFiles) y el servidor/directorio LDAP
¿Qué es SAML?
SAML (Security Assertion Markup Language) es un protocolo front-end creado para navegadores web para habilitar el inicio de sesión único (SSO) para aplicaciones webSAML carece de funciones de búsqueda de usuarios y no funciona sin un navegador
¿Cómo funciona SAML?
Técnicamente, SAML funciona redirigiendo el navegador web al servidor SAML, que luego autentica al usuario y redirige el navegador al servidor (en este caso, LiquidFiles) con una respuesta firmada en la URL.
El servidor (LiquidFiles) verifica la firma utilizando la huella digital del certificado del servidor SAML y se otorga acceso al usuario si tiene éxito.
Como resultado, a diferencia de LDAP anterior, cuando un usuario se autentica usando SAML, no hay intercambio de SAML entre el servidor (LiquidFiles) y el servidor SAML.Lo único que sucede es que el navegador web se redirige entre el servidor (LiquidFiles) al servidor SAML antes de regresar al servidor para completar la autenticación.
SAML funciona mediante el envío de información de usuario, inicio de sesión y atributo entre el proveedor de identidad y los proveedores de serviciosCada usuario solo necesita iniciar sesión una vez en el inicio de sesión único con el proveedor de identidad y luego, cada vez que intenta acceder a un servicio, el proveedor de identidad puede proporcionar características SAML al proveedor de servicios.El proveedor de servicios solicita autenticación y autorización del proveedor de identidadEl usuario solo necesita iniciar sesión una vez, ya que ambos sistemas hablan el mismo idioma: SAML.
La configuración para SAML debe ser aprobada por cada proveedor de identidad y proveedor de serviciosPara que funcione la autenticación SAML, ambos lados deben tener la configuración exacta
LDAP frente a SAML
Tanto LDAP como SAML comparten el objetivo principal de habilitar la autenticación segura de usuarios para vincular a los usuarios con los recursos que necesitan.Sin embargo, se diferencian en las medidas de seguridad del proceso de autenticación que ofrecen.Ambos tienen ventajas y desventajasAdemás, sus respectivos requisitos de gestión cambiarán con el tiempo y serán muy distintos.
LDAP frente a SAML: similitudes
Aunque hay algunas diferencias notables, LDAP y SAML SSO son fundamentalmente similaresAmbos tienen el mismo propósito, que es facilitar el acceso de los usuarios a los recursos de TI.Como resultado, las empresas de TI los utilizan con frecuencia en conjunto y se han establecido como elementos básicos en el sector de la gestión de identidad.Las organizaciones han utilizado soluciones de inicio de sesión único de aplicaciones web basadas en SAML además de su servicio de directorio principal a medida que el uso de aplicaciones web ha crecido significativamente.
LDAP frente a SAML: diferencias
LDAP y SAML SSO son muy diferentes en términos de sus esferas de influenciaNaturalmente, LDAP se ocupa principalmente de realizar la autenticación local y otros procesos del servidor.SAML amplía las credenciales de los usuarios para incluir la nube y otras aplicaciones web
Una distinción importante que es fácil de pasar por alto entre los conceptos de SAML SSO y LDAP es el hecho de que la mayoría de las implementaciones de servidores LDAP están motivadas para servir como proveedor de identidad autorizado o fuente de verdad para una identidad.La mayoría de las veces, con las implementaciones de SAML, SAML no es la fuente de la verdad, sino que sirve como un proxy para el servicio de directorio, transformando el proceso de identidad y autenticación en un flujo basado en SAML.
Ventajas y desventajas de LDAP
Muchos proveedores de servicios admiten un proveedor de identidad LDAP para SSOEsto hace posible que una empresa use su servicio de directorio LDAP actual para administrar usuarios para SSO
Una desventaja de LDAP es que no fue creado para usarse junto con aplicaciones web.LDAP, que se creó a principios de la década de 1990 cuando Internet recién comenzaba a despegar, es más adecuado para casos de uso como Microsoft Active Directory e implementaciones locales.Dado que los administradores de TI favorecen cada vez más los estándares de autenticación más nuevos, algunos proveedores de servicios están abandonando el soporte para LDAP.Estas posibles transiciones deben tenerse en cuenta al comparar las opciones de LDAP y SAML SSO para su empresa.
Ventajas y desventajas de SAML
El estándar más conocido para aplicaciones web y en la nube, SAML 20 (la versión más reciente), es versátil, liviano y compatible con la mayoría de las plataformasTambién es una opción popular para la gestión de identidad centralizada.
A pesar de ser un protocolo generalmente seguro, los ataques XML y la falsificación de DNS son amenazas de seguridad para SAML.La implementación de protocolos de mitigación es un paso crucial si tiene la intención de utilizar SAML
Reflexiones finales
Aunque LDAP y SAML funcionan de manera diferente, no se excluyen mutuamente y puede implementar ambos en su entornoAdemás, debe recordarse que LDAP y SAML son solo dos de los principales protocolos de autenticación disponibles.
Nuestra empresa ha pasado los últimos 12 años trabajando para encontrar soluciones a problemas desafiantes para clientes empresariales con un objetivo directo: "Creamos soluciones de administración de acceso e identidad confiables y convenientes". Desde entonces, hemos obtenido críticas favorables de Centrify, CyberArch , Cyphort, ISACA, Arzinger, Saife, etc.
El servicio de autenticación Hideez combina todos los métodos de autenticación existentes: contraseñas, contraseñas de un solo uso, autenticación sólida de dos factores (FIDO U2F), autenticación sin contraseña (FIDO2 ) e inicio de sesión único (SSO) en una solución que se integra fácilmente con el entorno empresarial basado en la compatibilidad con Hideez Enterprise Server para LDAP y SAMLSu equipo de TI podrá ahorrar tiempo, dinero y estar seguro de que cada usuario está autenticado de forma segura en la red y solo tiene acceso a lo que está permitido.
Programe una demostración personalizada para obtener más información sobre el papel de Hideez en la protección de su entorno empresarial
