Il Lightweight Directory Access Protocol e il Security Assertion Markup Language (LDAP e SAML) sono protocolli di accesso e autenticazione ampiamente utilizzati, spesso impiegati per applicazioni e in una varietà di organizzazioni, ma vengono applicati per casi d'uso abbastanza distinti. Nonostante ciò, le organizzazioni non dovrebbero essere obbligate a scegliere tra LDAP o SAML. La maggior parte delle aziende può accedere a una gamma più ampia di risorse IT utilizzando una combinazione di protocolli di autenticazione, il che alla fine le aiuta a raggiungere meglio i propri obiettivi aziendali.
Di seguito studieremo LDAP e SAML, confronteremo i due e approfondiremo i vantaggi e gli svantaggi di questi protocolli.
Indice
Cos'è l'autenticazione LDAP?
In genere, il Lightweight Directory Access Protocol viene utilizzato per tenere traccia delle informazioni di autenticazione, come il login e la password, che verranno successivamente utilizzate per consentire l'accesso a un altro protocollo o servizio di sistema. Un database o directory LDAP non può essere accessibile da un utente senza autenticarsi (dimostrando di essere chi afferma di essere). Il database contiene generalmente informazioni sugli utenti, i gruppi e i permessi, e invia i dati richiesti alle applicazioni collegate.
L'autenticazione LDAP comporta la convalida di nomi utente e password forniti stabilendo una connessione con un servizio di directory che utilizza il protocollo LDAP. OpenLDAP, MS Active Directory e OpenDJ sono alcuni server di directory che utilizzano LDAP in questo modo.
Qui di seguito una spiegazione passo-passo della procedura di autenticazione:
- Il client (un sistema o applicazione compatibile con LDAP) invia una richiesta per accedere ai dati memorizzati all'interno di un database LDAP.
- Il client fornisce al server LDAP le credenziali di accesso dell'utente (nome utente e password).
- Il server LDAP confronta le credenziali dell'utente con le informazioni essenziali dell'identità utente conservate nel suo database LDAP.
- Il client può accedere alle informazioni richieste se le credenziali fornite corrispondono all'identità dell'utente principale memorizzata. L'accesso al database LDAP sarà negato se le credenziali sono errate.
Si può affermare che l'autenticazione LDAP segue il modello client/server. In questo caso, il client è in genere un sistema o applicazione compatibile con LDAP che richiede dati da un database LDAP correlato, mentre il server è ovviamente il server LDAP.
Il lato server di LDAP è un database con uno schema flessibile. In altre parole, LDAP può contenere una gamma di attributi, come indirizzo, numero di telefono, relazioni di gruppo, e altro, oltre a dati di login e password. Di conseguenza, l'uso comune di LDAP è la memorizzazione delle identità utente fondamentali.
Facendo così, l'IT può collegare sistemi e app compatibili con LDAP (ad esempio) a un database di directory LDAP correlato, che funge da fonte autorevole per l'autenticazione dell'accesso utente.
Cosa fa l'autenticazione LDAP tra client e server?
Come funziona l'autenticazione LDAP tra un client e un server? In sostanza, un client invia una richiesta di dati contenuti in un database LDAP insieme alle credenziali dell'utente al server LDAP. Il server LDAP quindi autentica le credenziali dell'utente rispetto alla loro identità utente principale, che è conservata nel database LDAP. Il client ottiene accesso e riceve le informazioni richieste (attributi, appartenenze ai gruppi o altri dati) se le credenziali fornite dall'utente corrispondono alle credenziali associate alla loro identità utente principale memorizzata nel database LDAP. Se le credenziali non corrispondono, al client viene negato l'accesso al database LDAP.
SAML è un'alternativa a LDAP?
Riceviamo spesso una domanda simile: vogliamo passare dall'autenticazione LDAP a SAML senza perdere alcuna funzionalità. È possibile?
Purtroppo, no. LDAP non può essere sostituito direttamente da SAML. Questo perché SAML è stato sviluppato per interagire con server e app basati su cloud, mentre LDAP è stato sviluppato per l'autenticazione in loco. Forniscono metodi molto diversi per proteggere il processo di autenticazione. Per capire meglio, è importante avere una panoramica su cosa fanno questi protocolli di accesso.
Cos'è LDAP?
LDAP è un esempio di protocollo di accesso alla directory. Nella sua forma più semplice, LDAP (Lightweight Directory Access Protocol) è un protocollo che può essere utilizzato per cercare elementi in una directory. LDAP è un protocollo di back-end che avviene tra un server (come LiquidFiles) e un server/directory LDAP (come Active Directory).
LDAP può anche essere utilizzato per l'autenticazione e quando qualcuno si autentica al server (in questo caso, LiquidFiles), il server tenterà di autenticarsi alla directory LDAP e, se avrà successo, concederà l'accesso all'utente.
La differenza principale rispetto a SAML è che – il server tenterà l'autenticazione. Tra il browser web/plugin di Outlook o qualsiasi altro client e LiquidFiles, non si verifica nulla di correlato a LDAP. LDAP avviene tra il server (LiquidFiles) e il server/directory LDAP.
Cos'è SAML?
SAML (Security Assertion Markup Language) è un protocollo front-end creato per i browser web che consente il Single Sign-On (SSO) per le applicazioni web. SAML non dispone di funzionalità di ricerca utente e non funziona senza un browser.
Come funziona SAML?
Dal punto di vista tecnico, SAML funziona reindirizzando il browser web al server SAML, che autentica l'utente e reindirizza il browser al server (in questo caso, LiquidFiles) con una risposta firmata nell'URL.
Il server (LiquidFiles) verifica la firma utilizzando l'impronta digitale del certificato del server SAML e concede l'accesso all'utente se la verifica è positiva.
Di conseguenza, a differenza di LDAP sopra, quando un utente si autentica utilizzando SAML, non c'è alcuno scambio SAML tra il server (LiquidFiles) e il server SAML. L'unica cosa che accade è che il browser web viene reindirizzato tra il server (LiquidFiles) e il server SAML prima di tornare al server per completare l'autenticazione.
SAML funziona inviando informazioni utente, di accesso e attributo tra il provider di identità e i fornitori di servizi. Ogni utente deve semplicemente accedere una volta per il Single Sign-On con il provider di identità, quindi, ogni volta che tenta di accedere a un servizio, il provider di identità può fornire attributi SAML al fornitore di servizi. Il fornitore di servizi richiede autenticazione e autorizzazione dal provider di identità. L'utente deve accedere solo una volta poiché entrambi i sistemi parlano la stessa lingua - SAML.
La configurazione di SAML deve essere approvata da ciascun provider di identità e fornitore di servizi. Affinché l'autenticazione SAML funzioni, entrambe le parti devono avere la configurazione esatta.
LDAP vs SAML
Sia LDAP che SAML condividono l'obiettivo principale di consentire un'autenticazione sicura dell'utente per collegare gli utenti alle risorse di cui hanno bisogno. Tuttavia, differiscono nelle misure di sicurezza del processo di autenticazione che offrono. Entrambi hanno vantaggi e svantaggi. Inoltre, i requisiti di gestione saranno molto distinti e cambieranno nel tempo.
LDAP vs SAML: somiglianze
Sebbene ci siano alcune differenze evidenti, LDAP e SAML SSO sono fondamentalmente simili. Servono entrambi allo stesso scopo, ovvero facilitare l'accesso degli utenti alle risorse IT. Di conseguenza, vengono spesso utilizzati insieme dalle aziende IT e si sono affermati come elementi base nel settore della gestione delle identità. Le organizzazioni hanno utilizzato soluzioni di single sign-on per applicazioni web basate su SAML, in aggiunta al loro servizio di directory principale, man mano che l'uso delle applicazioni web è cresciuto notevolmente.
LDAP vs SAML: differenze
LDAP e SAML SSO differiscono notevolmente nei rispettivi ambiti di influenza. Naturalmente, LDAP si occupa principalmente di autenticazione in loco e di altri processi server. SAML estende le credenziali utente al cloud e ad altre applicazioni web.
Una differenza significativa che è facile trascurare tra i concetti di SAML SSO e LDAP è che la maggior parte delle implementazioni di server LDAP è motivata a servire come fornitore di identità autorevole o fonte di verità per un'identità. Nella maggior parte delle implementazioni SAML, SAML non è la fonte di verità, ma serve come proxy per il servizio di directory, trasformando il processo di identità e autenticazione in un flusso basato su SAML.
Vantaggi e svantaggi di LDAP
Molti fornitori di servizi supportano un provider di identità LDAP per il SSO. Ciò consente a un'azienda di utilizzare il proprio attuale servizio di directory LDAP per gestire gli utenti per il SSO.
Uno svantaggio di LDAP è che non è stato progettato per essere utilizzato insieme alle applicazioni web. LDAP, che è stato creato all'inizio degli anni '90 quando internet stava appena decollando, è più adatto per casi d'uso come Microsoft Active Directory e implementazioni locali. Con gli amministratori IT che sempre più preferiscono standard di autenticazione più recenti, alcuni fornitori di servizi stanno abbandonando il supporto per LDAP. Queste possibili transizioni dovrebbero essere prese in considerazione quando si confrontano le opzioni LDAP e SAML SSO per la propria azienda.
Vantaggi e svantaggi di SAML
SAML 2.0 (la versione più recente), il più noto standard per applicazioni cloud e web, è versatile, leggero e supportato dalla maggior parte delle piattaforme. È anche una scelta popolare per la gestione centralizzata delle identità.
Nonostante sia un protocollo generalmente sicuro, SAML è soggetto a minacce di sicurezza come gli attacchi XML e il DNS spoofing. Implementare protocolli di mitigazione è un passaggio cruciale se si intende utilizzare SAML.
Conclusioni
Sebbene LDAP e SAML funzionino in modo diverso, non sono mutuamente esclusivi e si possono implementare entrambi nel proprio ambiente. Inoltre, è importante ricordare che LDAP e SAML sono solo due dei principali protocolli di autenticazione disponibili.
La nostra azienda ha trascorso gli ultimi 12 anni lavorando per trovare soluzioni a problemi complessi per i clienti aziendali con un obiettivo semplice: "Costruiamo soluzioni affidabili e convenienti per la gestione delle identità e degli accessi". Da allora, abbiamo ricevuto recensioni favorevoli da Centrify, CyberArch, Cyphort, ISACA, Arzinger, Saife, ecc.
Hideez Authentication Service combina tutti i metodi di autenticazione esistenti - Password, One-Time Password, Autenticazione a due fattori forte (FIDO U2F), Autenticazione senza password (FIDO2) e Single Sign-On (SSO) in una soluzione che si integra facilmente con l'ambiente aziendale grazie al supporto per LDAP e SAML di Hideez Enterprise Server. Il tuo team IT sarà in grado di risparmiare tempo, denaro e sarà sicuro sapendo che ogni utente è autenticato in modo sicuro alla rete e ha accesso solo a ciò che è permesso.
Programma una demo personalizzata per scoprire di più sul ruolo di Hideez nella protezione del tuo ambiente aziendale.