Tanto el Protocolo Ligero de Acceso a Directorios como el Lenguaje de Marcado de Aserciones de Seguridad (LDAP y SAML) son protocolos de acceso y autenticación ampliamente utilizados, comúnmente empleados en aplicaciones y en diversas organizaciones, aunque se usan para casos de uso bastante distintos. A pesar de esto, las organizaciones no deberían verse obligadas a elegir entre LDAP o SAML. La mayoría de las empresas pueden acceder a una gama más amplia de recursos de TI cuando usan una combinación de protocolos de autenticación, lo cual les ayuda a alcanzar mejor sus objetivos empresariales.
A continuación, estudiaremos LDAP y SAML, compararemos y contrastaremos los dos, y profundizaremos en las ventajas y desventajas de estos protocolos.
¿Qué es la autenticación LDAP?
Típicamente, el Protocolo Ligero de Acceso a Directorios se usa para realizar un seguimiento de la información de autenticación, como el nombre de usuario y la contraseña, que posteriormente se utilizarán para permitir el acceso a otro protocolo o servicio de sistema. Una base de datos o directorio LDAP no puede ser accedido por un usuario sin autenticarse primero (demostrando que es quien dice ser). La base de datos suele contener información sobre usuarios, grupos y datos de permisos y envía los datos solicitados a las aplicaciones conectadas.
La autenticación LDAP implica validar los nombres de usuario y contraseñas proporcionados estableciendo una conexión con un servicio de directorio que usa el protocolo LDAP. OpenLDAP, MS Active Directory y OpenDJ son algunos servidores de directorio que utilizan LDAP de esta manera.
A continuación, una explicación paso a paso del proceso de autenticación:
- El cliente (un sistema o aplicación compatible con LDAP) envía una solicitud para acceder a datos almacenados en una base de datos LDAP.
- El cliente proporciona al servidor LDAP sus detalles de inicio de sesión (nombre de usuario y contraseña).
- El servidor LDAP compara las credenciales del usuario con la información esencial de identidad almacenada en su base de datos LDAP.
- El cliente puede acceder a la información solicitada si las credenciales proporcionadas coinciden con la identidad central del usuario almacenada. El acceso a la base de datos LDAP será denegado si las credenciales son incorrectas.
Se puede decir que la autenticación LDAP sigue el modelo cliente/servidor. En este caso, el cliente suele ser un sistema o aplicación compatible con LDAP que solicita datos de una base de datos LDAP relacionada, mientras que el servidor es, obviamente, el servidor LDAP.
El lado del servidor de LDAP es una base de datos con un esquema flexible. En otras palabras, LDAP puede contener una variedad de atributos, como dirección, número de teléfono, relaciones de grupo y más, además de los datos de inicio de sesión y contraseña. Como resultado, el almacenamiento de identidades de usuario fundamentales es un caso de uso común para LDAP.
Al hacer esto, el departamento de TI puede vincular sistemas y aplicaciones habilitados para LDAP (por ejemplo) a una base de datos de directorio LDAP relacionada, que sirve como fuente autorizada para la autenticación de acceso de usuarios.
¿Qué hace la autenticación LDAP entre un cliente y un servidor?
¿Cómo funciona la autenticación LDAP entre un cliente y un servidor? En esencia, un cliente envía una solicitud para obtener datos almacenados en una base de datos LDAP junto con los datos de inicio de sesión del usuario a un servidor LDAP. A continuación, el servidor LDAP autentica las credenciales del usuario con su identidad principal, que se encuentra en la base de datos LDAP. Si las credenciales proporcionadas coinciden con las asociadas a la identidad del usuario almacenada en la base de datos LDAP, el cliente obtiene acceso y recibe la información requerida (atributos, membresías de grupo u otros datos). Si las credenciales no coinciden, el cliente no puede acceder a la base de datos LDAP.
¿Es SAML una alternativa a LDAP?
A menudo recibimos una pregunta similar a esta: Queremos cambiar de autenticación LDAP a SAML sin perder ninguna funcionalidad. ¿Es posible?
Desafortunadamente, no. LDAP no puede ser reemplazado directamente por SAML. Esto se debe a que SAML fue desarrollado para interactuar con servidores y aplicaciones basadas en la nube, mientras que LDAP fue desarrollado para la autenticación local. Ofrecen métodos muy diferentes para asegurar el proceso de autenticación. Para comprender esto mejor, es importante tener una visión general de lo que hacen estos protocolos de acceso.
¿Qué es LDAP?
LDAP es un ejemplo de protocolo de acceso a directorios. En su forma más básica, LDAP (Protocolo Ligero de Acceso a Directorios) es un protocolo que se puede usar para buscar elementos en un directorio. LDAP es un protocolo de backend que ocurre entre un servidor (como LiquidFiles) y un servidor/directorio LDAP (como Active Directory).
LDAP también puede usarse para la autenticación, y cuando alguien se autentica en el servidor (LiquidFiles en este caso), el servidor intentará autenticarse en el directorio LDAP y otorgará acceso al usuario si tiene éxito.
La principal distinción con SAML es que - el servidor hará un esfuerzo de autenticación. Entre el navegador web, el complemento de Outlook o cualquier otro cliente y LiquidFiles, no ocurre nada relacionado con LDAP. LDAP ocurre entre el servidor (LiquidFiles) y el servidor/directorio LDAP.
¿Qué es SAML?
SAML (Lenguaje de Marcado de Aserciones de Seguridad) es un protocolo de front-end creado para navegadores web que permite el inicio de sesión único (SSO) para aplicaciones web. SAML carece de funciones de búsqueda de usuarios y no es operativo sin un navegador.
¿Cómo funciona SAML?
Técnicamente, SAML funciona redirigiendo el navegador web al servidor SAML, que luego autentica al usuario y redirige el navegador de regreso al servidor (en este caso, LiquidFiles) con una respuesta firmada en la URL.
El servidor (LiquidFiles) verifica la firma usando la huella digital del certificado del servidor SAML y se otorga acceso al usuario si es exitoso.
Como resultado, a diferencia de LDAP, cuando un usuario se autentica usando SAML, no hay un intercambio SAML entre el servidor (LiquidFiles) y el servidor SAML. Lo único que sucede es que el navegador web se redirige entre el servidor (LiquidFiles) y el servidor SAML antes de regresar al servidor para completar la autenticación.
SAML opera enviando información de usuario, inicio de sesión y atributos entre el proveedor de identidad y los proveedores de servicios. Cada usuario solo necesita iniciar sesión una vez en el inicio de sesión único (SSO) con el proveedor de identidad, y luego, cada vez que intenta acceder a un servicio, el proveedor de identidad puede proporcionar características SAML al proveedor de servicios. El proveedor de servicios solicita autenticación y autorización del proveedor de identidad. El usuario solo necesita iniciar sesión una vez ya que ambos sistemas hablan el mismo idioma - SAML.
La configuración de SAML debe ser aprobada tanto por el proveedor de identidad como por el proveedor de servicios. Para que la autenticación SAML funcione, ambos lados deben tener la configuración exacta.
LDAP vs SAML
Tanto LDAP como SAML comparten el objetivo central de habilitar la autenticación segura de usuarios para conectar a los usuarios con los recursos que necesitan. Sin embargo, difieren en las medidas de seguridad del proceso de autenticación que ofrecen. Ambos tienen ventajas y desventajas. Además, sus requisitos de gestión respectivos cambiarán con el tiempo y serán muy distintos.
LDAP vs SAML: Similitudes
Aunque existen algunas diferencias notables, LDAP y SAML SSO son fundamentalmente similares. Ambos sirven para el mismo propósito, que es facilitar el acceso de los usuarios a los recursos de TI. Como resultado, se usan frecuentemente en conjunto por empresas de TI y se han consolidado como elementos básicos en el sector de gestión de identidades. Las organizaciones han utilizado soluciones de inicio de sesión único para aplicaciones web basadas en SAML además de su servicio de directorio principal, a medida que el uso de aplicaciones web ha crecido significativamente.
LDAP vs SAML: Diferencias
LDAP y SAML SSO son tan diferentes como se puede en términos de sus áreas de influencia. Naturalmente, LDAP se centra principalmente en la autenticación local y otros procesos del servidor. SAML expande las credenciales de usuario para incluir la nube y otras aplicaciones web.
Una distinción significativa y fácil de pasar por alto entre los conceptos de SAML SSO y LDAP es el hecho de que la mayoría de las implementaciones de servidor LDAP están motivadas para servir como el proveedor de identidad autorizado o fuente de veracidad para una identidad. La mayoría de las veces, en implementaciones SAML, SAML no es la fuente de veracidad, sino que sirve como un proxy para el servicio de directorio, transformando el proceso de identidad y autenticación en un flujo basado en SAML.
Ventajas y desventajas de LDAP
Muchos proveedores de servicios admiten un proveedor de identidad LDAP para SSO. Esto permite que una empresa utilice su servicio de directorio LDAP actual para gestionar usuarios para SSO.
Una desventaja de LDAP es que no fue creado para usarse en conjunto con aplicaciones web. LDAP, creado a principios de la década de 1990 cuando Internet apenas comenzaba, es más adecuado para casos de uso como Microsoft Active Directory e implementaciones locales. Con los administradores de TI favoreciendo cada vez más los estándares de autenticación más nuevos, algunos proveedores de servicios están abandonando el soporte para LDAP. Estas posibles transiciones deben tenerse en cuenta al comparar las opciones de LDAP y SAML SSO para su empresa.
Ventajas y desventajas de SAML
El estándar más conocido para aplicaciones en la nube y web, SAML 2.0 (la versión más reciente), es versátil, ligero y está respaldado por la mayoría de las plataformas. También es una opción popular para la gestión centralizada de identidades.
Aunque es un protocolo generalmente seguro, los ataques XML y el spoofing de DNS son amenazas de seguridad para SAML. Implementar protocolos de mitigación es un paso crucial si planea usar SAML.
Reflexiones finales
Aunque LDAP y SAML funcionan de manera diferente, no son mutuamente excluyentes y puede implementar ambos en su entorno. Además, debe recordarse que LDAP y SAML son solo dos de los principales protocolos de autenticación disponibles.
Nuestra empresa ha pasado los últimos 12 años trabajando para encontrar soluciones a problemas desafiantes para clientes empresariales con un objetivo sencillo: "Construimos soluciones de gestión de identidad y acceso confiables y convenientes". Desde entonces, hemos obtenido críticas favorables de Centrify, CyberArch, Cyphort, ISACA, Arzinger, Saife, entre otros.
Hideez Authentication Service combina todos los métodos de autenticación existentes - Contraseñas, Contraseñas de un solo uso, Autenticación fuerte de dos factores (FIDO U2F), Autenticación sin contraseña (FIDO2) e Inicio de sesión único (SSO) en una solución que se integra fácilmente con entornos empresariales basados en el soporte de Hideez Enterprise Server para LDAP y SAML. Su equipo de TI podrá ahorrar tiempo, dinero y estar seguro de que cada usuario está autenticado de forma segura en la red y se le otorga acceso solo a lo que está permitido.
Programe una demostración personalizada para obtener más información sobre el papel de Hideez en la protección de su entorno empresarial.
