Протоколы управления доступом и аутентификации, Lightweight Directory Access Protocol и Security Assertion Markup Language (LDAP и SAML) широко используются многими организациями и для различных программ. Однако эти протоколы предназначены для достаточно разных случаев использования. Несмотря на это, организации не должны останавливать свой выбор только на LDAP или SAML. Большинство компаний могут получить доступ к более широкому спектру IТ-ресурсов, если будут использовать комбинацию протоколов аутентификации. Это, в свою очередь, позволит им более эффективно достигать бизнес-целей.
Ниже мы подробно рассмотрим LDAP и SAML, проведем их сравнительный анализ и углубимся в преимущества и недостатки этих протоколов.

Что такое аутентификация LDAP 

Обычно Lightweight Directory Access Protocol (LDAP) используется для хранения аутентификационной информации, такой как логин и пароль, которая затем применяется для предоставления доступа к другому протоколу или системной службе. Пользователь не может получить доступ к базе данных или каталогу LDAP без предварительной аутентификации (подтверждения личности). База данных, как правило, содержит информацию о пользователях, группах и правах доступа, а также отправляет запрашиваемые данные подключенным программам. 
Аутентификация LDAP предполагает проверку предоставленных имени пользователя и пароля путем установления соединения со службой каталогов, использующей протокол LDAP. OpenLDAP, MS Active Directory и OpenDJ – это несколько серверов каталогов, которые используют LDAP таким образом.
Вот пошаговое объяснение процедуры аутентификации:
● Клиент (система или приложение, поддерживающее LDAP) отправляет запрос на доступ к данным, хранящимся в базе данных LDAP. ● Клиент предоставляет свои учетные данные для сервера LDAP (имя пользователя и пароль). ● Сервер LDAP сравнивает предоставленные учетные данные пользователя с основной информацией об идентификации пользователя, хранящейся в его базе данных LDAP. ● Если данные совпадают с сохраненной основной идентификационной информацией пользователя, клиент может получить доступ к запрашиваемой информации. Доступ к базе данных LDAP будет запрещен, если учетные данные неверны. 
Можно сказать, что аутентификация LDAP работает по модели клиент-сервер. В этом случае клиентом обычно является система или приложение, поддерживающее LDAP, отправляющее запрос на данные в соответствующую базу данных LDAP, а сервером, очевидно, является сервер LDAP. 
Серверная часть LDAP представляет собой базу данных с гибкой схемой. Другими словами, LDAP может сохранять различные атрибуты: адрес, номер телефона, связи с группами и т.п., в дополнение к данным для входа и пароля. Как следствие, наиболее распространенным вариантом использования LDAP является хранение основной информации об идентификации пользователей. 
Благодаря этому IТ-отдел может связывать системы и программы с поддержкой LDAP (например) с соответствующей базой данных каталогов LDAP, которая служит авторитетным источником для аутентификации доступа пользователей. 

Что делает аутентификация LDAP между клиентом и сервером? 

По сути, клиент отправляет запрос на информацию, хранящуюся в базе данных LDAP, вместе с учетными данными пользователя на сервер LDAP. Далее сервер LDAP проверяет предоставленные учетные пользовательские данные на соответствие его основной идентификационной информации, хранящейся в базе данных LDAP. Если предоставленные пользователем учетные данные совпадают с учетными данными, связанными с его основной идентификационной информацией из базы данных LDAP, клиенту предоставляется доступ, и он получает необходимую информацию (атрибуты, членство в группах или другие данные). Если предоставленные учетные данные не совпадают, клиенту запрещен доступ к базе данных LDAP. 

Является ли SAML альтернативой LDAP? 

Многие спрашивают: «Можно ли перейти с аутентификации LDAP на SAML без потери функциональных возможностей?» 
К сожалению, нет. LDAP нельзя напрямую заменить SAML. SAML был разработан для взаимодействия с облачными серверами и приложениями, тогда как LDAP предназначен для локальной аутентификации. Они предлагают совершенно разные методы защиты процесса аутентификации. Чтобы лучше это понять, давайте сделаем обзор, для чего предназначены эти протоколы доступа. 

Что такое LDAP? 

LDAP является примером протокола доступа к каталогам. LDAP (Lightweight Directory Access Protocol) — это протокол, который можно использовать для поиска элементов в каталоге. LDAP — бэк-энд протокол, работающий между сервером (например, LiquidFiles) и сервером/каталогом LDAP (например, Active Directory). 
LDAP также можно использовать для проверки подлинности. Когда пользователь проходит аутентификацию на сервере (в данном случае LiquidFiles), сервер пытается пройти аутентификацию в каталоге LDAP и предоставляет пользователю доступ в случае успеха. 
Основное отличие от SAML состоит в том, что сервер сам совершает попытку аутентификации. Между веб-браузером, плагином Outlook или любым другим клиентом и LiquidFiles не происходит ничего связанного с LDAP. LDAP работает между сервером (LiquidFiles) и сервером/каталогом LDAP. 

Что такое SAML? 

SAML (Security Assertion Markup Language) — это интерфейсный протокол, разработанный для веб-браузеров. Он включает систему единого входа (SSO) для веб-приложений. SAML не имеет функций поиска пользователей и не работает без обозревателя. 

Как работает SAML? 

Технически, SAML работает путем перенаправления веб-браузера на SAML-сервер, который затем аутентифицирует пользователя и перенаправляет браузер обратно на сервер (в данном случае LiquidFiles) с подписанным ответом в URL-адресе.  
Сервер (LiquidFiles) проверяет подпись с помощью отпечатка сертификата SAML-сервера, и в случае успеха пользователю предоставляется доступ. 
В результате, в отличие от описанного выше LDAP, когда пользователь осуществляет аутентификацию с помощью SAML, между сервером (LiquidFiles) и SAML-сервером не происходит обмена данными SAML. Единственное, что происходит, это перенаправление веб-браузера между сервером (LiquidFiles) и SAML-сервером, прежде чем вернуться для завершения аутентификации. 
SAML работает путем передачи информации о пользователе, имени и атрибутах между поставщиком удостоверений и поставщиками услуг. Пользователю необходимо только войти в систему одноразового входа с помощью поставщика идентификационной информации. Затем, когда он пытается получить доступ к службе, поставщик идентификационной информации может предоставлять SAML-характеристики поставщику услуг. Поставщик услуг запрашивает аутентификацию и авторизацию у поставщика идентификационной информации. Пользователю необходимо войти только один раз, поскольку обе эти системы общаются на одном языке — SAML. 
Конфигурацию SAML должен одобрить каждый поставщик идентификационной информации и поставщик услуг. Для того чтобы аутентификация SAML работала, обе стороны должны иметь одинаковую конфигурацию. 

LDAP vs SAML 

Как LDAP, так и SAML имеют общую основную цель — обеспечить безопасную проверку подлинности пользователей для их связи с необходимыми ресурсами. Однако они отличаются мерами безопасности, которые предлагаются в процессе проверки подлинности. У каждого из них есть свои преимущества и недостатки. Более того, их соответствующие требования к управлению со временем будут меняться и станут очень разными. 
Общие черты
LDAP и SAML SSO служат одной и той же цели — облегчить пользователям доступ к IТ-ресурсам. Как следствие, IТ-компании часто используют их комбинацию, а сами протоколы зарекомендовали себя как основные в секторе управления доступом. Поскольку использование веб-приложений значительно возросло, организации используют решение единого входа для веб-приложений на основе SAML в дополнение к основной службе каталогов. 
Различия
LDAP в первую очередь занимается локальной аутентификацией и другими серверными процессами. SAML расширяет учетные данные пользователей, включая облако и другие веб-приложения. 
Важное отличие, которое легко пропустить, состоит в том, что большинство реализаций серверов LDAP предназначены быть авторитетным поставщиком удостоверений или источником проверенной информации об идентификации пользователя. В случае с SAML, сам SAML обычно не является источником достоверности, а скорее работает как посредник для службы каталогов, превращая процесс идентификации и аутентификации в поток на основе SAML. 

Преимущества и недостатки LDAP 

LDAP для SSO поддерживается многими поставщиками услуг. Это позволяет компании использовать для SSO текущую службу каталогов LDAP для управления пользователями. 
Одним из недостатков LDAP является то, что он не был предназначен для использования в сочетании с веб-приложениями. LDAP, созданный в начале 1990-х годов, когда Интернет только начинал развиваться, лучше подходит для таких случаев использования, как Microsoft Active Directory и локальные развертывания. Поскольку IТ-администраторы все больше предпочитают новые стандарты аутентификации, некоторые поставщики услуг отказываются от поддержки LDAP. Эти потенциальные переходы следует учитывать, сравнивая варианты LDAP и SAML SSO для вашей компании. 

Преимущества и недостатки SAML 

Самый известный стандарт для облачных и веб-приложений, SAML 2.0 (последняя версия), является универсальным и легким, а также поддерживается большинством платформ. Вдобавок к этому, это популярный выбор для централизованного управления идентификацией. 
Несмотря на то, что это в целом безопасный протокол, атаки на XML и подмена DNS представляют угрозу для SAML. Внедрение протоколов защиты является важным шагом, если вы собираетесь использовать SAML. 

В завершение 

Несмотря на то, что LDAP и SAML функционируют по-разному, они не являются взаимоисключающими. Вы можете использовать оба в своей среде. 
Кроме того, следует помнить, что LDAP и SAML являются лишь двумя основными доступными протоколами аутентификации. 
Последние 12 лет компания Hideez работала над поиском решения сложных проблем для корпоративных клиентов. Ее главная цель – создать надежные и удобные решения для управления идентификацией и доступом. Компания получила одобрительные отзывы от Centrify, CyberArch, Cyphort, ISACA, Arzinger, Saife и других. 
Hideez Authentication Service сочетает все актуальные методы аутентификации: Пароли, Одноразовые пароли, Надежную двухфакторную аутентификацию (FIDO U2F), Аутентификацию без пароля (FIDO2) и Единый вход (SSO) – в одном решении, которое легко интегрируется с корпоративной средой на основе Корпоративного сервера Hideez. Ваша IТ-команда сможет сэкономить время и деньги и быть уверена, что каждый пользователь безопасно аутентифицирован в сети и имеет доступ только к тому, что разрешено. 
Нужна консультация? Напишите нам: moc.hcetokab%40zeedih