輕量級目錄訪問協議和安全斷言標記語言(LDAP 和 SAML)都是廣泛使用的訪問和身份驗證協議,通常用於應用程序和各種組織,但它們用於截然不同的用例。儘管如此,組織不應被迫選擇 LDAP 或 SAML。大多數公司在使用身份驗證協議組合時可以訪問更廣泛的 IT 資源,最終幫助他們更好地實現業務目標。
下面我們將研究 LDAP 和 SAML,對兩者進行比較和對比,並深入探討這些協議的優缺點。
內容
什麼是 LDAP 身份驗證
通常,輕量級目錄訪問協議用於跟踪身份驗證信息,例如登錄名和密碼,稍後將使用這些信息來允許訪問另一個協議或系統服務。 LDAP 數據庫或目錄不能被用戶訪問,除非首先進行身份驗證(證明他們是他們所說的人)。數據庫通常保存有關用戶、組和權限數據的信息,並將請求的數據發送到連接的應用程序。
LDAP 身份驗證需要通過與使用 LDAP 協議的目錄服務建立連接來驗證提供的用戶名和密碼。 OpenLDAP、MS Active Directory 和 OpenDJ 是一些以這種方式使用 LDAP 的目錄服務器。
以下是身份驗證過程的分步說明:
- 客戶端(支持 LDAP 的系統或應用程序)發送請求以訪問存儲在 LDAP 數據庫中的數據。
- 客戶端提供他們的 LDAP 服務器用戶登錄詳細信息(用戶名和密碼)。
- LDAP 服務器將用戶的憑據與其 LDAP 數據庫中保存的基本用戶身份信息進行比較。
- 如果提供的憑據與存儲的核心用戶身份匹配,則客戶端可以訪問請求的信息。如果憑據不正確,將拒絕訪問 LDAP 數據庫。
LDAP 身份驗證可以說遵循客戶端/服務器模型。在這種情況下,客戶端通常是一個支持 LDAP 的系統或應用程序,它從相關的 LDAP 數據庫請求數據,而服務器顯然是 LDAP 服務器。
LDAP 的服務器端是一個具有靈活模式的數據庫。換句話說,除了登錄名和密碼數據之外,LDAP 還可以包含一系列屬性,例如地址、電話號碼、組關係等。因此,存儲基本用戶身份是 LDAP 的常見用例。
通過這樣做,IT 可以將支持 LDAP 的系統和應用程序(例如)鏈接到相關的 LDAP 目錄數據庫,該數據庫用作用戶訪問身份驗證的權威來源。
LDAP 身份驗證在客戶端和服務器之間做什麼?
LDAP 身份驗證如何在客戶端和服務器之間工作?本質上,客戶端將對保存在 LDAP 數據庫中的數據的請求連同用戶的登錄詳細信息發送到 LDAP 服務器。 LDAP 服務器接下來根據保存在 LDAP 數據庫中的主要用戶身份驗證用戶的憑據。如果用戶提供的憑據與存儲在 LDAP 數據庫中的與其核心用戶身份關聯的憑據相匹配,則客戶端將獲得訪問權限並獲得所需的信息(屬性、組成員身份或其他數據)。如果提供的憑證不匹配,客戶端將無法訪問 LDAP 數據庫。
SAML 是 LDAP 的替代品嗎?
我們經常收到類似這樣的問題:我們希望在不犧牲任何功能的情況下從 LDAP 切換到 SAML 身份驗證。那可能嗎?
很不幸的是,不行。 LDAP 不能直接用 SAML 代替。這是因為 SAML 是為與基於雲的服務器和應用程序交互而開發的,而 LDAP 是為現場身份驗證而開發的。它們提供了非常不同的方法來保護身份驗證過程。為了更好地理解這一點,了解這些訪問協議的作用很重要。
什麼是 LDAP?
LDAP 是目錄訪問協議的一個示例。在其最基本的形式中,LDAP(輕量級目錄訪問協議)是一種可用於在目錄中查找項目的協議。 LDAP 是發生在服務器(如 LiquidFiles)和 LDAP 服務器/目錄(如 Active Directory)之間的後端協議。
LDAP 也可用於身份驗證,當有人對服務器(在本例中為 LiquidFiles)進行身份驗證時,服務器將嘗試對 LDAP 目錄進行身份驗證,如果成功則授予用戶訪問權限。
與 SAML 的主要區別在於 - 服務器將努力進行身份驗證。在 Web 瀏覽器/Outlook 插件或任何其他客戶端與 LiquidFiles 之間,不會發生與 LDAP 相關的任何事情。 LDAP 發生在服務器 (LiquidFiles) 和 LDAP 服務器/目錄之間。
什麼是 SAML?
SAML(安全斷言標記語言)是為 Web 瀏覽器創建的前端協議,用於為 Web 應用程序啟用單點登錄 (SSO)。 SAML 缺少用戶查找功能,並且沒有瀏覽器就無法操作。
SAML 是如何工作的?
從技術上講,SAML 的工作原理是將 Web 瀏覽器重定向到 SAML 服務器,然後 SAML 服務器對用戶進行身份驗證並將瀏覽器重定向回服務器(在本例中為 LiquidFiles),並在 URL 中使用簽名響應。
服務器 (LiquidFiles) 使用 SAML 服務器證書指紋驗證簽名,如果成功則授予用戶訪問權限。
因此,與上面的 LDAP 不同,當用戶使用 SAML 進行身份驗證時,服務器 (LiquidFiles) 和 SAML 服務器之間沒有 SAML 交換。唯一發生的事情是 Web 瀏覽器在返回服務器以完成身份驗證之前在服務器 (LiquidFiles) 和 SAML 服務器之間重定向。
SAML 通過在身份提供者和服務提供者之間發送用戶、登錄和屬性信息來運行。每個用戶只需登錄一次身份提供者的單點登錄,然後,每當他們嘗試訪問服務時,身份提供者就可以向服務提供者提供 SAML 特徵。服務提供者向身份提供者請求認證和授權。用戶只需登錄一次,因為這兩個系統都使用相同的語言——SAML。
SAML 的配置必須得到每個身份提供者和服務提供者的批准。要使 SAML 身份驗證起作用,雙方都必須具有準確的配置。
LDAP 與 SAML
LDAP 和 SAML 都有一個共同的核心目標,即啟用安全的用戶身份驗證,以便將用戶鏈接到他們需要的資源。但是,它們在提供的身份驗證過程安全措施方面有所不同。兩者都有優點和缺點。此外,它們各自的管理要求會隨著時間的推移而變化並且非常不同。
LDAP 與 SAML:相似之處
儘管存在一些顯著差異,但 LDAP 和 SAML SSO 在本質上是相似的。它們都服務於相同的目的,即方便用戶訪問 IT 資源。因此,它們經常被 IT 公司結合使用,並已成為身份管理領域的主要產品。隨著 Web 應用程序的使用顯著增長,除了主要目錄服務之外,組織還使用基於 SAML 的 Web 應用程序單點登錄解決方案。
LDAP 與 SAML:差異
LDAP 和 SAML SSO 在影響範圍方面非常不同。自然地,LDAP 主要關注進行本地身份驗證和其他服務器進程。 SAML 擴展了用戶憑證以包括雲和其他 Web 應用程序。
SAML SSO 和 LDAP 概念之間一個很容易被忽視的重要區別是,大多數 LDAP 服務器實現都旨在充當權威身份提供者或身份的真實來源。大多數情況下,對於 SAML 實施,SAML 不是事實來源,而是充當目錄服務的代理,將身份和身份驗證過程轉換為基於 SAML 的流程。
LDAP 的優缺點
許多服務提供商都支持用於 SSO 的 LDAP 身份提供者。這使得公司可以使用其當前的 LDAP 目錄服務來管理 SSO 的用戶。
LDAP 的一個缺點是它不是為與 Web 應用程序結合使用而創建的。 LDAP 創建於 1990 年代初,當時互聯網才剛剛起步,更適合 Microsoft Active Directory 和本地部署等用例。隨著 IT 管理員越來越喜歡更新的身份驗證標準,一些服務提供商正在放棄對 LDAP 的支持。在比較貴公司的 LDAP 與 SAML SSO 選項時,應考慮這些潛在的轉換。
SAML 的優點和缺點
SAML 2.0(最新版本)是雲和 Web 應用程序最著名的標準,它功能多樣、輕量級,並且受到大多數平台的支持。它也是集中式身份管理的流行選擇。
儘管是一種普遍安全的協議,但 XML 攻擊和 DNS 欺騙是對 SAML 的安全威脅。如果您打算使用 SAML,那麼實施緩解協議是至關重要的一步。
最後的想法
儘管 LDAP 和 SAML 的功能不同,但它們並不相互排斥,您可以在您的環境中同時實施。此外,應該記住,LDAP 和 SAML 只是可用的主要身份驗證協議中的兩個。
在過去的 12 年裡,我們公司一直致力於為企業客戶尋找具有挑戰性的問題的解決方案,其直接目標是“我們構建可靠且方便的身份和訪問管理解決方案”,從那時起,我們獲得了 Centrify、CyberArch、Cyphort、 ISACA、Arzinger、Saife 等
Hideez 身份驗證服務將所有現有的身份驗證方法——密碼、一次性密碼、強雙因素身份驗證 (FIDO U2F)、無密碼身份驗證 ( FIDO2 ) 和單點登錄 ( SSO ) 結合到一個解決方案中,可以輕鬆地與基於Hideez Enterprise Server支持 LDAP 和 SAML。您的 IT 團隊將能夠節省時間和金錢,並且可以放心,因為每個用戶都經過安全的網絡身份驗證,並且只能訪問允許的內容。
安排個性化演示以了解更多關於 Hideez 在保護您的業務環境中的作用。
