Протокол легкого доступу до каталогу та мова розмітки безпеки (LDAP і SAML) є широко використовуваними протоколами доступу та автентифікації, які часто використовуються для програм і в різних організаціях. Але крім цього вони використовуються для досить різних випадків використання. Незважаючи на це, організації не повинні бути змушені вибирати LDAP або SAML. Більшість компаній можуть отримати доступ до ширшого спектру ІТ-ресурсів, якщо вони використовують комбінацію протоколів автентифікації, що зрештою допомагає їм краще досягати своїх бізнес-цілей.
Нижче ми розглянемо LDAP і SAML, порівняємо їх і заглибимося в переваги та недоліки цих протоколів.
Що таке автентифікація LDAP
Як правило, полегшений протокол доступу до каталогу (LDAP) використовується для відстеження інформації автентифікації, як-от логін та пароль, які пізніше використовуватимуться для надання доступу до іншого протоколу чи системної служби. Користувач не може отримати доступ до бази даних або каталогу LDAP без попередньої автентифікації (підтвердження того, ким він є). База даних зазвичай містить інформацію про користувачів, групи та дані про дозволи та надсилає запитувані дані підключеним програмам.
Автентифікація LDAP передбачає перевірку наданих імен користувачів і паролів шляхом встановлення з’єднання зі службою каталогів, яка використовує протокол LDAP. OpenLDAP, MS Active Directory і OpenDJ — це декілька серверів каталогів, які використовують LDAP таким чином.
Ось покрокове пояснення процедури автентифікації:
- Клієнт (система або програма, яка підтримує LDAP) надсилає запит на доступ до даних, що зберігаються в базі даних LDAP.
- Клієнт надає своєму серверу LDAP реєстраційні дані користувача (логін та пароль).
- Сервер LDAP порівнює облікові дані користувача з важливою ідентифікаційною інформацією користувача, яка зберігається в базі даних LDAP.
- Клієнт може отримати доступ до запитуваної інформації, якщо надані облікові дані збігаються зі збереженою основною ідентифікацією користувача. У доступі до бази даних LDAP буде відмовлено, якщо облікові дані неправильні.
Можна сказати, що автентифікація LDAP відповідає моделі клієнт/сервер. У цьому випадку клієнт зазвичай є системою або програмою з підтримкою LDAP, яка запитує дані з пов’язаної бази даних LDAP, тоді як сервером є, очевидно, сервер LDAP.
Серверна сторона LDAP — це база даних із гнучкою схемою. Іншими словами, LDAP може містити низку атрибутів, таких як адреса, номер телефону, групові зв’язки тощо, на додаток до даних для входу та пароля. Як наслідок, зберігання основних ідентифікаційних даних користувачів є звичайним випадком використання LDAP.
Завдяки цьому ІТ може пов’язати системи та програми з підтримкою LDAP (наприклад) до пов’язаної бази даних каталогу LDAP, яка служить авторитетним джерелом для автентифікації доступу користувачів.
Як відбувається автентифікація LDAP між клієнтом і сервером?
По суті, клієнт надсилає на сервер LDAP запит на дані, що зберігаються в базі даних LDAP, разом із даними для входу користувача. Далі сервер LDAP автентифікує облікові дані користувача з його основним ідентифікатором користувача, який зберігається в базі даних LDAP. Клієнт отримує доступ і отримує необхідну інформацію (атрибути, членство в групах або інші дані), якщо облікові дані, надані користувачем, збігаються з обліковими даними, пов’язаними з його основною ідентифікацією користувача, яка зберігається в базі даних LDAP. Клієнту заборонено отримати доступ до Бази даних LDAP, якщо надані облікові дані не збігаються.
Чи є SAML альтернативою LDAP?
Ми часто отримуємо подібне запитання: "Ми хочемо перейти з LDAP на SAML-автентифікацію, не жертвуючи жодною функціональністю. Чи можливо це?"
На жаль, ні. LDAP не можна безпосередньо замінити на SAML. Це пояснюється тим, що SAML було розроблено для взаємодії з хмарними серверами та програмами, тоді як LDAP було розроблено для автентифікації на місці. Вони пропонують дуже різні методи захисту процесу автентифікації. Щоб краще зрозуміти це, важливо отримати огляд того, що роблять ці протоколи доступу.
Що таке LDAP?
LDAP є прикладом протоколу доступу до каталогу. У своїй основній формі LDAP (Lightweight Directory Access Protocol) — це протокол, який можна використовувати для пошуку елементів у каталозі. LDAP — це внутрішній протокол, який працює між сервером (наприклад, LiquidFiles) і сервером/каталогом LDAP (наприклад, Active Directory).
LDAP також можна використовувати для автентифікації, і коли хтось автентифікується на сервері (у цьому випадку LiquidFiles), сервер спробує автентифікуватися в каталозі LDAP і надасть користувачеві доступ у разі успіху.
Основна відмінність від SAML нижче полягає в тому, що сервер докладатиме зусиль для автентифікації. Між веб-браузером/плагіном Outlook або будь-яким іншим клієнтом і LiquidFiles не відбувається нічого, пов’язаного з LDAP. LDAP відбувається між сервером (LiquidFiles) і сервером/каталогом LDAP.
Що таке SAML?
SAML (Security Assertion Markup Language) — це інтерфейсний протокол, створений для веб-браузерів, щоб увімкнути систему єдиного входу (SSO) для веб-програм. SAML не має функцій пошуку користувачів і не працює без браузера.
Як працює SAML?
Технічно SAML працює, перенаправляючи веб-браузер на сервер SAML, який потім автентифікує користувача та перенаправляє браузер назад на сервер (у цьому випадку LiquidFiles) із підписаною відповіддю в URL-адресі.
Сервер (LiquidFiles) перевіряє підпис за допомогою відбитка сертифіката серверів SAML, і в разі успіху користувачеві надається доступ.
У результаті, на відміну від LDAP вище, коли користувач автентифікується за допомогою SAML, між сервером (LiquidFiles) і сервером SAML не відбувається обміну SAML. Єдине, що відбувається, це те, що веб-браузер перенаправляється між сервером (LiquidFiles) і сервером SAML перед поверненням на сервер для завершення автентифікації.
SAML працює шляхом надсилання інформації про користувача, ім’я користувача та атрибути між постачальником ідентифікаційної інформації та постачальниками послуг. Кожен користувач має лише один раз увійти до системи єдиного входу за допомогою постачальника ідентифікаційної інформації, а потім, коли вони намагатимуться отримати доступ до служби, постачальник ідентифікаційної інформації може надати постачальнику послуг характеристики SAML. Постачальник послуг запитує автентифікацію та авторизацію в постачальника ідентифікаційної інформації. Користувачеві потрібно лише один раз увійти, оскільки обидві ці системи говорять однією мовою – SAML.
Конфігурація для SAML має бути затверджена кожним постачальником ідентифікаційної інформації та постачальником послуг. Щоб аутентифікація SAML працювала, обидві сторони повинні мати точну конфігурацію.
LDAP та SAML
Обидва протоколи LDAP і SAML мають спільну основну мету — забезпечити безпечну автентифікацію користувачів, щоб зв’язати користувачів із потрібними ресурсами. Однак вони відрізняються заходами безпеки процесу автентифікації, які вони пропонують. Обидва мають переваги та недоліки. Крім того, їхні відповідні вимоги до управління змінюватимуться з часом і будуть дуже різними.
LDAP та SAML: Подібні риси
Хоча існують деякі помітні відмінності, LDAP і SAML SSO принципово схожі. Вони обидва служать одній меті, а саме полегшенню доступу користувачів до ІТ-ресурсів. Як наслідок, вони часто використовуються в поєднанні ІТ-фірмами і зарекомендували себе як основні в секторі управління ідентифікацією. Оскільки використання веб-додатків значно зросло, організації використовують рішення єдиного входу на основі SAML на додаток до основної служби каталогів.
LDAP проти SAML: Відмінності
LDAP і SAML SSO настільки ж несхожі, наскільки вони різні з точки зору сфер їх впливу. Звичайно, LDAP насамперед пов’язаний із локальною автентифікацією та іншими серверними процесами. SAML розширює облікові дані користувача, включаючи хмару та інші веб-додатки.
Значною відмінністю, яку легко не помітити між концепціями SAML SSO і LDAP, є той факт, що більшість реалізацій серверів LDAP мотивовано служити в якості авторитетного постачальника ідентифікаторів або джерела істини для ідентифікаторів. У більшості випадків із впровадженням SAML SAML не є джерелом правди, а скоріше служить проксі-сервером для служби каталогів, перетворюючи процес ідентифікації та автентифікації на потік на основі SAML.
Переваги та недоліки LDAP
Постачальник ідентифікаційних даних LDAP для SSO підтримується багатьма постачальниками послуг. Це дає змогу компанії використовувати свою поточну службу каталогів LDAP для керування користувачами для SSO.
Одним недоліком LDAP є те, що він не був створений для використання разом із веб-додатками. LDAP, який було створено на початку 1990-х років, коли Інтернет тільки починав розвиватися, краще підходить для таких випадків використання, як Microsoft Active Directory і локальне розгортання. Оскільки ІТ-адміністратори все більше й більше віддають перевагу новішим стандартам автентифікації, деякі постачальники послуг відмовляються від підтримки LDAP. Ці потенційні переходи слід брати до уваги під час порівняння варіантів SSO LDAP і SAML для вашої компанії.
Переваги та недоліки SAML
Найвідоміший стандарт для хмарних і веб-додатків, SAML 2.0 (найновіша версія), є універсальним, легким і підтримується більшістю платформ. Це також популярний вибір для централізованого керування ідентифікацією.
Незважаючи на те, що протокол є загалом безпечним, XML-атаки та підробка DNS є загрозою безпеці SAML. Впровадження протоколів пом’якшення є важливим кроком, якщо ви збираєтеся використовувати SAML.
Останні думки
Незважаючи на те, що LDAP і SAML функціонують по-різному, вони не є взаємовиключними, і ви можете застосувати обидва у своєму середовищі. Крім того, слід пам’ятати, що LDAP і SAML є лише двома основними доступними протоколами автентифікації.
Наша компанія провела останні 12 років, працюючи над пошуком рішень складних проблем для корпоративних клієнтів із прямою метою: «Ми створюємо надійні та зручні рішення для керування ідентифікацією та доступом». Відтоді ми отримали схвальні відгуки від Centrify, CyberArch , Cyphort, ISACA, Arzinger, Saife тощо
Служба автентифікації Hideez об’єднує всі існуючі методи автентифікації – паролі, одноразові паролі, надійну двофакторну автентифікацію (FIDO U2F), автентифікацію без пароля (FIDO2) і єдиний вхід (SSO) в одне рішення, яке легко інтегрується з корпоративним середовищем на основі Hideez Enterprise Server з підтримкою LDAP і SAML. Ваша ІТ-команда зможе заощадити час, гроші та бути впевненими, знаючи, що кожен користувач безпечно автентифікований у мережі та має доступ лише до того, що дозволено.
Заплануйте персоналізовану демонстрацію, щоб дізнатися більше про роль Hideez у захисті вашого бізнес-середовища.
