Vai direttamente ai contenuti
Sia il Lightweight Directory Access Protocol che il Security Assertion Markup Language (LDAP e SAML) sono protocolli di accesso e autenticazione ampiamente utilizzati, spesso utilizzati per le applicazioni e in una varietà di organizzazioni, tuttavia sono impiegati per casi d'uso piuttosto distintiNonostante ciò, le organizzazioni non dovrebbero essere costrette a scegliere LDAP o SAMLLa maggior parte delle aziende può accedere a una gamma più ampia di risorse IT quando utilizza una combinazione di protocolli di autenticazione, che alla fine le aiuta a raggiungere meglio i propri obiettivi aziendali
Di seguito studieremo LDAP e SAML, confronteremo e confronteremo i due e approfondiremo i vantaggi e gli svantaggi di questi protocolli
Contenuto
Cos'è l'autenticazione LDAP
In genere, Lightweight Directory Access Protocol viene utilizzato per tenere traccia delle informazioni di autenticazione, come il login e la password, che verranno successivamente utilizzate per consentire l'accesso a un altro protocollo o servizio di sistemaUn utente non può accedere a un database o una directory LDAP senza prima autenticarsi (dimostrando di essere chi dice di essere)Il database in genere contiene informazioni su utenti, gruppi e dati di autorizzazione e invia i dati richiesti alle applicazioni connesse
L'autenticazione LDAP comporta la convalida dei nomi utente e delle password forniti stabilendo una connessione con un servizio di directory che utilizza il protocollo LDAPOpenLDAP, MS Active Directory e OpenDJ sono alcuni server di directory che utilizzano LDAP in questo modo
Ecco una spiegazione dettagliata della procedura di autenticazione:
- Il client (un sistema o un'applicazione compatibile con LDAP) invia una richiesta di accesso ai dati memorizzati all'interno di un database LDAP
- Il client fornisce il proprio server LDAP dettagli di accesso utente (nome utente e password)
- Il server LDAP confronta le credenziali dell'utente con le informazioni essenziali sull'identità dell'utente conservate nel suo database LDAP
- Il client può accedere alle informazioni richieste se le credenziali fornite corrispondono all'identità dell'utente principale memorizzataL'accesso al database LDAP verrà negato se le credenziali non sono corrette
Si può dire che l'autenticazione LDAP segua il modello client/serverIn questo caso, il client è in genere un sistema o un'applicazione compatibile con LDAP che richiede dati da un database LDAP correlato, mentre il server è ovviamente il server LDAP
Il lato server di LDAP è un database con uno schema flessibileIn altre parole, LDAP può contenere una serie di attributi, come indirizzo, numero di telefono, relazioni di gruppo e altro, oltre ai dati di login e passwordDi conseguenza, l'archiviazione delle identità utente fondamentali è un caso d'uso comune per LDAP
In questo modo, l'IT può collegare sistemi e app abilitati per LDAP (ad esempio) a un database di directory LDAP correlato, che funge da fonte autorevole per l'autenticazione dell'accesso utente
Che cosa fa l'autenticazione LDAP tra un client e un server?
Come funziona l'autenticazione LDAP tra un client e un server? In sostanza, un client invia una richiesta di dati conservati in un database LDAP insieme ai dettagli di accesso dell'utente a un server LDAPSuccessivamente, il server LDAP autentica le credenziali dell'utente in base alla sua identità utente principale, che viene conservata nel database LDAPAl client viene concesso l'accesso e ottiene le informazioni richieste (attributi, appartenenza a gruppi o altri dati) se le credenziali fornite dall'utente corrispondono alle credenziali associate all'identità dell'utente principale archiviata nel database LDAPAl client viene impedito l'accesso al database LDAP se le credenziali fornite non corrispondono
SAML è un'alternativa a LDAP?
Riceviamo spesso una domanda simile a questa: vogliamo passare dall'autenticazione LDAP all'autenticazione SAML senza sacrificare alcuna funzionalitàÈ possibile?
Purtroppo noLDAP non può essere sostituito direttamente con SAMLQuesto perché SAML è stato sviluppato per interagire con server e app basati su cloud, mentre LDAP è stato sviluppato per l'autenticazione in locoForniscono metodi molto diversi per proteggere il processo di autenticazionePer capirlo meglio, è importante avere una panoramica di ciò che fanno questi protocolli di accesso
Cos'è LDAP?
LDAP è un esempio di protocollo di accesso alla directoryNella sua forma più elementare, LDAP (Lightweight Directory Access Protocol) è un protocollo che può essere utilizzato per cercare elementi in una directoryLDAP è un protocollo back-end che si verifica tra un server (come LiquidFiles) e un server/directory LDAP (come Active Directory)
LDAP può essere utilizzato anche per l'autenticazione e quando qualcuno si autentica al server (LiquidFiles in questo caso), il server tenterà di autenticarsi nella directory LDAP e concederà all'utente l'accesso in caso di successo
La differenza principale rispetto a SAML è che - il server farà uno sforzo per l'autenticazioneTra il browser Web/il plug-in di Outlook o qualsiasi altro client e LiquidFiles, non si verifica nulla relativo a LDAPLDAP avviene tra il server (LiquidFiles) e il server/directory LDAP
Cos'è SAML?
SAML (Security Assertion Markup Language) è un protocollo front-end creato per i browser web per abilitare il Single Sign-On (SSO) per le applicazioni webSAML non dispone di funzionalità di ricerca utente ed è inutilizzabile senza un browser
Come funziona SAML?
Tecnicamente, SAML funziona reindirizzando il browser Web al server SAML, che quindi autentica l'utente e reindirizza il browser al server (in questo caso, LiquidFiles) con una risposta firmata nell'URL
Il server (LiquidFiles) verifica la firma utilizzando l'impronta digitale del certificato del server SAML e l'accesso viene concesso all'utente in caso di esito positivo
Di conseguenza, a differenza di LDAP sopra, quando un utente si autentica utilizzando SAML, non c'è scambio SAML tra il server (LiquidFiles) e il server SAMLL'unica cosa che accade è che il browser Web viene reindirizzato tra il server (LiquidFiles) e il server SAML prima di tornare al server per completare l'autenticazione
SAML funziona inviando informazioni su utenti, login e attributi tra il provider di identità e i provider di serviziOgni utente deve solo accedere una volta al Single Sign On con il provider di identità, quindi, ogni volta che tenta di accedere a un servizio, il provider di identità può fornire le caratteristiche SAML al provider di serviziIl fornitore di servizi richiede l'autenticazione e l'autorizzazione al fornitore di identitàL'utente deve solo effettuare l'accesso una volta poiché entrambi questi sistemi parlano la stessa lingua: SAML
La configurazione per SAML deve essere approvata da ciascun provider di identità e provider di serviziAffinché l'autenticazione SAML funzioni, entrambe le parti devono avere la configurazione esatta
LDAP rispetto a SAML
Sia LDAP che SAML condividono l'obiettivo principale di abilitare l'autenticazione utente sicura per collegare gli utenti alle risorse di cui hanno bisognoTuttavia, differiscono nelle misure di sicurezza del processo di autenticazione che offronoEntrambi hanno vantaggi e svantaggiInoltre, i rispettivi requisiti di gestione cambieranno nel tempo e saranno molto distinti
LDAP vs SAML: somiglianze
Sebbene ci siano alcune notevoli differenze, LDAP e SAML SSO sono fondamentalmente similiEntrambi hanno lo stesso scopo, ovvero facilitare l'accesso degli utenti alle risorse ITDi conseguenza, vengono spesso utilizzati insieme dalle aziende IT e si sono affermati come punti fermi nel settore della gestione delle identitàLe organizzazioni hanno utilizzato soluzioni Single Sign-On per applicazioni web basate su SAML in aggiunta al loro servizio di directory principale poiché l'uso delle applicazioni web è cresciuto in modo significativo
LDAP vs SAML: differenze
LDAP e SAML SSO sono tanto diversi quanto le loro sfere di influenzaNaturalmente, LDAP si occupa principalmente di eseguire l'autenticazione in loco e altri processi del serverSAML espande le credenziali utente per includere il cloud e altre applicazioni Web
Una distinzione significativa che è facile trascurare tra i concetti di SAML SSO e LDAP è il fatto che la maggior parte delle implementazioni del server LDAP è motivata a fungere da provider di identità autorevole o fonte di verità per un'identitàLa maggior parte delle volte con le implementazioni SAML, SAML non è la fonte della verità, ma funge piuttosto da proxy per il servizio di directory, trasformando il processo di identità e autenticazione in un flusso basato su SAML
Vantaggi e svantaggi di LDAP
Un provider di identità LDAP per SSO è supportato da molti provider di serviziCiò consente a un'azienda di utilizzare il proprio servizio di directory LDAP corrente per gestire gli utenti per SSO
Uno svantaggio di LDAP è che non è stato creato per essere utilizzato insieme alle applicazioni webLDAP, che è stato creato all'inizio degli anni '90 quando Internet stava appena iniziando a decollare, è più adatto per casi d'uso come Microsoft Active Directory e distribuzioni localiCon gli amministratori IT che favoriscono sempre di più i nuovi standard di autenticazione, alcuni fornitori di servizi stanno abbandonando il supporto per LDAPQueste potenziali transizioni dovrebbero essere prese in considerazione quando si confrontano le opzioni LDAP e SAML SSO per la tua azienda
Vantaggi e svantaggi di SAML
Lo standard più noto per le applicazioni cloud e web, SAML 20 (la versione più recente), è versatile, leggero e supportato dalla maggior parte delle piattaformeÈ anche una scelta popolare per la gestione centralizzata delle identità
Nonostante sia un protocollo generalmente sicuro, gli attacchi XML e lo spoofing DNS rappresentano una minaccia per la sicurezza di SAMLL'implementazione dei protocolli di mitigazione è un passaggio cruciale se intendi utilizzare SAML
Pensieri finali
Anche se LDAP e SAML funzionano in modo diverso, non si escludono a vicenda e puoi implementarli entrambi nel tuo ambienteInoltre, va ricordato che LDAP e SAML sono solo due dei principali protocolli di autenticazione disponibili
La nostra azienda ha trascorso gli ultimi 12 anni a lavorare per trovare soluzioni a problemi impegnativi per i clienti aziendali con un obiettivo chiaro "Costruiamo soluzioni affidabili e convenienti per la gestione di identità e accessi". Da allora, abbiamo ottenuto recensioni favorevoli da Centrify, CyberArch , Cyphort, ISACA, Arzinger, Saife, ecc
Il servizio di autenticazione Hideez combina tutti i metodi di autenticazione esistenti: password, password monouso, autenticazione forte a due fattori (FIDO U2F), autenticazione senza password (FIDO2 ) e Single Sign-On (SSO) in un'unica soluzione che si integra facilmente con l'ambiente Enterprise basato sul supporto Hideez Enterprise Server per LDAP e SAMLIl tuo team IT sarà in grado di risparmiare tempo, denaro e stare tranquillo sapendo che ogni utente è autenticato in modo sicuro sulla rete e ha accesso solo a ciò che è consentito
Pianifica una demo personalizzata per saperne di più sul ruolo di Hideez nella salvaguardia del tuo ambiente aziendale
