Tant le Lightweight Directory Access Protocol et le Security Assertion Markup Language (LDAP et SAML) sont largement utilisés protocoles d'accès et d'authentification, souvent utilisés pour les applications, et dans une variété d'organisations, mais ils sont utilisés pour des cas d'utilisation assez distincts. Malgré cela, les organisations ne devraient pas être obligées de choisir entre LDAP ou SAML. La plupart des entreprises peuvent accéder à un plus large éventail de ressources informatiques lorsqu'elles utilisent une combinaison de protocoles d'authentification, ce qui les aide finalement à mieux atteindre leurs objectifs commerciaux.
Ci-dessous, nous étudierons LDAP et SAML, les comparerons, et plongerons dans les avantages et inconvénients de ces protocoles.
Qu'est-ce que l'authentification LDAP?
Typiquement, le Lightweight Directory Access Protocol est utilisé pour garder une trace des informations d'authentification, comme le nom d'utilisateur et le mot de passe, qui seront ensuite utilisées pour permettre l'accès à un autre protocole ou service système. Une base de données ou un annuaire LDAP ne peut pas être accédé par un utilisateur sans authentification préalable (prouvant qu'il est bien celui qu'il prétend être). La base de données contient généralement des informations sur les utilisateurs, les groupes, les autorisations et envoie les données demandées aux applications connectées.
L'authentification LDAP consiste à valider les noms d'utilisateur et les mots de passe fournis en établissant une connexion avec un service d'annuaire qui utilise le protocole LDAP. OpenLDAP, MS Active Directory et OpenDJ sont quelques serveurs d'annuaire qui utilisent LDAP de cette manière.
Voici une explication étape par étape de la procédure d'authentification:
- Le client (un système ou une application capable de LDAP) envoie une demande pour accéder aux données stockées dans une base de données LDAP.
- Le client fournit à son serveur LDAP des informations d'identification de l'utilisateur (nom d'utilisateur et mot de passe).
- Le serveur LDAP compare les informations d'identification de l'utilisateur aux informations d'identité utilisateur essentielles conservées dans sa base de données LDAP.
- Le client peut accéder aux informations demandées si les informations d'identification fournies correspondent à l'identité utilisateur principale stockée. L'accès à la base de données LDAP sera refusé si les informations d'identification sont incorrectes.
L'authentification LDAP peut être dite suivre le modèle client/serveur. Dans ce cas, le client est généralement un système ou une application capable de LDAP qui demande des données à une base de données LDAP associée, tandis que le serveur est évidemment le serveur LDAP.
Le côté serveur de LDAP est une base de données avec un schéma flexible. En d'autres termes, LDAP peut contenir une gamme d'attributs, tels qu'une adresse, un numéro de téléphone, des relations de groupe, etc., en plus des données de connexion et de mot de passe. Par conséquent, le stockage des identités utilisateur fondamentales est un cas d'utilisation courant pour LDAP.
De cette manière, l'informatique peut lier les systèmes et applications activés LDAP (par exemple) à une base de données d'annuaire LDAP associée, qui sert de source d'authentification d'accès utilisateur.
Qu'est-ce que l'authentification LDAP fait entre un client et un serveur?
Comment fonctionne l'authentification LDAP entre un client et un serveur? En essence, un client envoie une demande de données stockées dans une base de données LDAP ainsi que les informations d'identification de l'utilisateur à un serveur LDAP. Le serveur LDAP authentifie ensuite les informations d'identification de l'utilisateur par rapport à son identité utilisateur principale, qui est conservée dans la base de données LDAP. Le client reçoit l'accès et obtient les informations requises (attributs, appartenances à des groupes ou autres données) si les informations d'identification fournies par l'utilisateur correspondent aux informations d'identification associées à son identité utilisateur principale qui sont stockées dans la base de données LDAP. Le client est empêché d'accéder à la base de données LDAP si les informations d'identification fournies ne correspondent pas.
Est-ce que SAML est une alternative à LDAP?
Nous recevons fréquemment une question similaire à celle-ci: Nous voulons passer de l'authentification LDAP à l'authentification SAML sans sacrifier de fonctionnalités. Est-ce possible?
Malheureusement, non. LDAP ne peut pas être directement remplacé par SAML. Cela est dû au fait que SAML a été développé pour interagir avec des serveurs et des applications basés sur le cloud, tandis que LDAP a été développé pour l'authentification sur site. Ils offrent des méthodes très différentes pour sécuriser le processus d'authentification. Pour mieux comprendre cela, il est important d'avoir un aperçu de ce que font ces protocoles d'accès.
Qu'est-ce que LDAP?
LDAP est un exemple de protocole d'accès à un annuaire. Dans sa forme la plus basique, LDAP (Lightweight Directory Access Protocol) est un protocole qui peut être utilisé pour rechercher des éléments dans un annuaire. LDAP est un protocole en arrière-plan qui se produit entre un serveur (comme LiquidFiles) et un serveur/annuaire LDAP (comme Active Directory).
LDAP peut également être utilisé pour l'authentification et lorsque quelqu'un s'authentifie sur le serveur (LiquidFiles dans ce cas), le serveur tentera de s'authentifier auprès du répertoire LDAP et accordera l'accès à l'utilisateur s'il réussit.
La distinction principale par rapport à SAML est que - le serveur tentera une authentification. Entre le navigateur web/plugin Outlook ou tout autre client et LiquidFiles, rien n'est lié à LDAP. LDAP se déroule entre le serveur (LiquidFiles) et le serveur/annuaire LDAP.
Qu'est-ce que SAML?
SAML (Security Assertion Markup Language) est un protocole frontal créé pour les navigateurs web afin de permettre une authentification unique (SSO) pour les applications web. SAML ne dispose pas de fonctionnalités de recherche d'utilisateur et est inutilisable sans un navigateur.
Comment fonctionne SAML?
Techniquement, SAML fonctionne en redirigeant le navigateur web vers le serveur SAML, qui authentifie ensuite l'utilisateur et redirige le navigateur vers le serveur (dans ce cas, LiquidFiles) avec une réponse signée dans l'URL.
Le serveur (LiquidFiles) vérifie la signature à l'aide de l'empreinte de certificat du serveur SAML et accorde l'accès à l'utilisateur en cas de succès.
Par conséquent, contrairement à LDAP ci-dessus, lorsque l'utilisateur s'authentifie à l'aide de SAML, il n'y a pas d'échange SAML entre le serveur (LiquidFiles) et le serveur SAML. La seule chose qui se passe est que le navigateur web est redirigé entre le serveur (LiquidFiles) et le serveur SAML avant de revenir au serveur pour terminer l'authentification.
SAML fonctionne en envoyant des informations utilisateur, de connexion et d'attribut entre le fournisseur d'identité et les fournisseurs de services. Chaque utilisateur n'a besoin de se connecter qu'une seule fois à l'authentification unique avec le fournisseur d'identité, et ensuite, chaque fois qu'il tente d'accéder à un service, le fournisseur d'identité peut fournir des caractéristiques SAML au fournisseur de services. Le fournisseur de services demande l'authentification et l'autorisation au fournisseur d'identité. L'utilisateur n'a besoin de se connecter qu'une seule fois car ces systèmes parlent tous les deux le même langage - SAML.
La configuration de SAML doit être approuvée par chaque fournisseur d'identité et fournisseur de services. Pour que l'authentification SAML fonctionne, les deux côtés doivent avoir la même configuration exacte.
LDAP vs SAML
Tant LDAP que SAML ont pour objectif principal de permettre une authentification sécurisée des utilisateurs afin de les relier aux ressources dont ils ont besoin. Cependant, ils diffèrent dans les mesures de sécurité du processus d'authentification qu'ils offrent. Tous deux ont des avantages et des inconvénients. De plus, leurs exigences de gestion respectives changeront avec le temps et seront très différentes.
LDAP vs SAML : Similitudes
Malgré quelques différences notables, LDAP et SAML SSO sont fondamentalement similaires. Ils servent tous les deux le même but, qui est de faciliter l'accès des utilisateurs aux ressources informatiques. Par conséquent, ils sont fréquemment utilisés conjointement par les entreprises informatiques et se sont imposés comme des éléments indispensables dans le secteur de la gestion des identités. Les organisations ont utilisé des solutions SSO basées sur des applications web SAML en plus de leur service d'annuaire principal à mesure que l'utilisation d'applications web a considérablement augmenté.
LDAP vs SAML : Différences
LDAP et SAML SSO sont aussi différents que possible en termes de leurs sphères d'influence. Naturellement, LDAP est principalement concerné par l'authentification sur site et d'autres processus serveur. SAML étend les informations d'identification des utilisateurs au cloud et à d'autres applications web.
Une distinction significative mais simple à négliger entre les concepts de SAML SSO et de LDAP est le fait que la plupart des implémentations de serveurs LDAP sont motivées pour servir de fournisseur d'identité autoritaire ou de source de vérité pour une identité. La plupart du temps avec les implémentations SAML, le SAML n'est pas la source de vérité mais sert plutôt de proxy pour le service d'annuaire, transformant le processus d'identité et d'authentification en un flux basé sur SAML.
Avantages et inconvénients de LDAP
Un fournisseur d'identité LDAP pour SSO est pris en charge par de nombreux fournisseurs de services. Cela permet à une entreprise d'utiliser son service d'annuaire LDAP existante pour gérer les utilisateurs pour le SSO.
Un inconvénient de LDAP est qu'il n'a pas été créé pour être utilisé en conjonction avec des applications web. LDAP, qui a été créé au début des années 1990 alors qu'Internet commençait tout juste à se développer, est mieux adapté à des cas d'utilisation comme Microsoft Active Directory et les déploiements sur site. Avec les administrateurs informatiques préférant de plus en plus les nouvelles normes d'authentification, certains fournisseurs de services abandonnent le support de LDAP. Ces transitions potentielles doivent être prises en compte lors de la comparaison des options de SSO LDAP vs SAML pour votre entreprise.
Avantages et inconvénients de SAML
La norme la plus connue pour les applications cloud et web, SAML 2.0 (la version la plus récente), est polyvalente, légère et prise en charge par la majorité des plateformes. C'est également un choix populaire pour la gestion centralisée des identités.
Malgré son caractère généralement sécurisé, les attaques XML et le détournement DNS sont des menaces de sécurité pour SAML. La mise en œuvre de protocoles d'atténuation est une étape cruciale si vous prévoyez d'utiliser SAML.
Réflexions finales
Même si LDAP et SAML fonctionnent différemment, ils ne sont pas mutuellement exclusifs et vous pouvez les mettre en œuvre tous les deux dans votre environnement. De plus, il convient de se rappeler que LDAP et SAML ne sont que deux des principaux protocoles d'authentification disponibles.
Notre entreprise a passé les 12 dernières années à chercher des solutions aux problèmes difficiles pour les clients d'entreprise avec un objectif simple "Nous construisons des solutions de gestion d'identité et d'accès fiables et pratiques," Depuis lors, nous avons reçu des avis favorables de Centrify, CyberArch, Cyphort, ISACA, Arzinger, Saife, etc.
Hideez Authentication Service combine toutes les méthodes d'authentification existantes - Mots de passe, Mots de passe à usage unique, Authentification forte à deux facteurs (FIDO U2F), Authentification sans mot de passe (FIDO2), et Authentification unique (SSO) dans une solution qui s'intègre facilement à l'environnement d'entreprise basé sur Hideez Enterprise Server avec prise en charge de LDAP et SAML. Votre équipe informatique pourra ainsi gagner du temps, de l'argent, et être assurée que chaque utilisateur est authentifié de manière sécurisée sur le réseau et n'a accès qu'à ce qui lui est autorisé.
Planifiez une démonstration personnalisée pour en savoir plus sur le rôle de Hideez dans la protection de votre environnement professionnel.
