СТАТТЯ
LDAP vs SAML
Протоколи для керування доступом та автентифікації, Lightweight Directory Access Protocol та Security Assertion Markup Language (LDAP і SAML) широко використовуються багатьма організаціями для різноманітних програм. Однак ці протоколи призначені для досить різних випадків використання. Попри це, організації не повинні обирати лише LDAP або SAML. Більшість компаній можуть отримати доступ до ширшого спектра ІТ-ресурсів, якщо використовуватимуть комбінацію протоколів автентифікації. Це, своєю чергою, дозволить їм ефективніше досягати бізнес-цілей.
Нижче ми детальніше розглянемо LDAP і SAML, проведемо їх порівняльний аналіз та заглибимося в переваги й недоліки цих протоколів.
Зазвичай, Lightweight Directory Access Protocol (LDAP) використовується для зберігання автентифікаційної інформації, як-от логін і пароль, яка потім застосовується для надання доступу до іншого протоколу або системної служби. Користувач не може отримати доступ до бази даних або каталогу LDAP без попередньої автентифікації (підтвердження особи). База даних, як правило, містить інформацію про користувачів, групи та права доступу, а також надсилає запитувані дані підключеним програмам.
Автентифікація LDAP передбачає перевірку наданих імені користувача та пароля шляхом встановлення з'єднання зі службою каталогів, яка використовує протокол LDAP. OpenLDAP, MS Active Directory та OpenDJ — це кілька серверів каталогів, які використовують LDAP у такий спосіб.
Ось покрокове пояснення процедури автентифікації:
● Клієнт (система або додаток, що підтримує LDAP) надсилає запит на доступ до даних, що зберігаються в базі даних LDAP. ● Клієнт надає свої облікові дані для сервера LDAP (ім'я користувача та пароль). ● Сервер LDAP порівнює надані облікові дані користувача з основною інформацією про ідентифікацію користувача, яка зберігається в його базі даних LDAP. ● Якщо надані облікові дані збігаються зі збереженою основною ідентифікаційною інформацією користувача, клієнт може отримати доступ до запитуваної інформації. Доступ до бази даних LDAP буде заборонено, якщо облікові дані неправильні.
Можемо сказати, що автентифікація LDAP працює за моделлю «клієнт-сервер». У цьому випадку клієнтом зазвичай є система або додаток, що підтримує LDAP, який надсилає запит на дані до відповідної бази даних LDAP, а сервером, вочевидь, є сервер LDAP.
Серверна частина LDAP являє собою базу даних із гнучкою схемою. Іншими словами, LDAP може зберігати різноманітні атрибути: адресу, номер телефону, зв'язки з групами тощо, на додаток до даних для входу та пароля. Як наслідок, поширеним варіантом використання LDAP є зберігання основної інформації про ідентифікацію користувачів.
Завдяки цьому ІТ-відділ може повʼязувати системи та програми з підтримкою LDAP (наприклад) з відповідною базою даних каталогів LDAP, яка слугує авторитетним джерелом для автентифікації доступу користувачів.
По суті, клієнт надсилає запит на інформацію, що зберігається в базі даних LDAP, разом з обліковими даними користувача на сервер LDAP. Далі сервер LDAP перевіряє надані облікові дані користувача на відповідність його основній ідентифікаційній інформації, яка зберігається в базі даних LDAP. Якщо надані користувачем облікові дані збігаються з обліковими даними, пов'язаними з його основною ідентифікаційною інформацією з бази даних LDAP, клієнту надається доступ, і він отримує необхідну інформацію (атрибути, членство в групах або інші дані). Якщо надані облікові дані не збігаються, клієнту буде заборонено доступ до бази даних LDAP.
Багато хто запитує: «Чи можна перейти з автентифікації LDAP на SAML без втрати функціональних можливостей?»
На жаль, ні. LDAP не можна безпосередньо замінити SAML. SAML було розроблено для взаємодії з хмарними серверами та програмами, тоді як LDAP призначений для локальної автентифікації. Вони пропонують зовсім різні методи захисту процесу автентифікації. Щоб краще це зрозуміти, зробімо огляд призначення цих протоколів доступу.
LDAP є прикладом протоколу доступу до каталогів. Загалом LDAP (Lightweight Directory Access Protocol) — це протокол, який можна використовувати для пошуку елементів у каталозі. LDAP — бек-енд протокол, що працює між сервером (наприклад, LiquidFiles) та сервером/каталогом LDAP (наприклад, Active Directory).
LDAP також можна використовувати для автентифікації. Коли користувач проходить автентифікацію на сервері (у цьому випадку LiquidFiles), сервер намагається пройти автентифікацію в каталозі LDAP і надає користувачеві доступ у разі успіху.
Основна відмінність від SAML полягає в тому, що сервер сам здійснює спробу автентифікації. Між веббраузером, плагіном Outlook або будь-яким іншим клієнтом і LiquidFiles не відбувається нічого пов'язаного з LDAP. LDAP функціонує між сервером (LiquidFiles) та сервером/каталогом LDAP.
SAML (Security Assertion Markup Language) — це інтерфейсний протокол, розроблений для веббраузерів. Він вмикає систему єдиного входу (SSO) для вебзастосунків. SAML не має функцій пошуку користувачів і не працює без браузера.
Технічно SAML працює шляхом перенаправлення веббраузера на SAML-сервер, який потім автентифікує користувача та перенаправляє браузер назад на сервер (у цьому випадку LiquidFiles) з підписаною відповіддю в URL-адресі.
Сервер (LiquidFiles) перевіряє підпис за допомогою відбитку сертифіката SAML-сервера, і у разі успіху користувачеві надається доступ.
У результаті, на відміну від LDAP, описаного вище, коли користувач здійснює автентифікацію за допомогою SAML, між сервером (LiquidFiles) та SAML-сервером не відбувається обміну даними SAML. Єдине, що відбувається, — це перенаправлення веббраузера між сервером (LiquidFiles) та SAML-сервером, перш ніж повернутися для завершення автентифікації.
SAML працює шляхом надсилання інформації про користувача, імені та атрибутів між постачальником ідентифікаційних даних і постачальниками послуг. Користувачеві потрібно лише увійти до системи одноразового входу за допомогою постачальника ідентифікаційної інформації. Потім щоразу, коли він намагається отримати доступ до служби, постачальник ідентифікаційної інформації може надавати SAML-характеристики постачальнику послуг. Постачальник послуг запитує автентифікацію та авторизацію у постачальника ідентифікаційної інформації. Користувачеві потрібно увійти лише один раз, оскільки обидві ці системи спілкуються однією мовою — SAML.
Конфігурацію для SAML повинен схвалити кожен постачальник ідентифікаційної інформації та постачальник послуг. Для того, щоб автентифікація SAML працювала, обидві сторони повинні мати однакову конфігурацію.
Як LDAP, так і SAML мають спільну основну мету — забезпечити безпечну автентифікацію користувачів для їхнього зв'язку з необхідними ресурсами. Проте вони відрізняються заходами безпеки, які пропонують під час процесу автентифікації. Кожен з них має свої переваги та недоліки. Ба більше, їхні відповідні вимоги до керування з часом змінюватимуться та ставатимуть дуже різними.
Спільні риси
LDAP і SAML SSO служать одній і тій же меті – полегшити користувачам доступ до ІТ-ресурсів. Як наслідок, ІТ-компанії часто використовують їх в поєднанні, а самі протоколи зарекомендували себе як основні в секторі управління доступом. Оскільки використання вебдодатків значно зросло, організації використовують рішення єдиного входу для вебдодатків на основі SAML на додачу до основної служби каталогів.
Відмінності
LDAP передусім опікується локальною автентифікацією та іншими серверними процесами. SAML розширює облікові дані користувачів, включно з хмарою та іншими вебзастосунками.
Важлива відмінність, яку легко пропустити, полягає в тому, що більшість реалізацій серверів LDAP призначені бути авторитетним постачальником посвідчень або джерелом перевіреної інформації про ідентифікацію користувача. У випадку з SAML, сам SAML зазвичай не є джерелом достовірності, а швидше працює як посередник для служби каталогів, перетворюючи процес ідентифікації та автентифікації на потік на основі SAML.
LDAP для SSO підтримується багатьма постачальниками послуг. Це дає можливість компанії використовувати для SSO поточну службу каталогів LDAP для управління користувачами.
Одним з недоліків LDAP є те, що він не був призначений для використання в поєднанні з вебдодатками. LDAP, який було створено на початку 1990-х років, коли Інтернет тільки починав розвиватися, краще підходить для таких випадків використання, як Microsoft Active Directory та локальні розгортання. Оскільки ІТ-адміністратори все більше віддають перевагу новим стандартам автентифікації, деякі постачальники послуг відмовляються від підтримки LDAP. Ці потенційні переходи слід враховувати, порівнюючи варіанти LDAP і SAML SSO для вашої компанії.
Найвідоміший стандарт для хмарних і вебдодатків, SAML 2.0 (остання версія), є універсальним та легким, а також підтримується більшістю платформ. На додачу до цього, це популярний вибір для централізованого управління ідентифікацією.
Попри те, що це загалом безпечний протокол, атаки на XML та підміна DNS становлять загрозу для SAML. Впровадження протоколів захисту є важливим кроком, якщо ви збираєтесь використовувати SAML.
Попри те, що LDAP і SAML функціонують по-різному, вони не є взаємосуперечливими. Ви можете застосувати обидва у своєму середовищі.
Крім того, слід пам’ятати, що LDAP і SAML є лише двома основними доступними протоколами автентифікації.
Останні 12 років компанія Hideez працювала над пошуком розв'язання складних проблем для корпоративних клієнтів. Її головна мета — створити надійні та зручні рішення для керування ідентифікацією та доступом. Компанія отримала схвальні відгуки від Centrify, CyberArch, Cyphort, ISACA, Arzinger, Saife та інших.
Hideez Authentication Service поєднує всі актуальні методи автентифікації: Паролі, Одноразові паролі, Надійну двофакторну автентифікацію (FIDO U2F), Автентифікацію без пароля (FIDO2) і єдиний вхід (SSO) – в одне рішення, яке легко інтегрується з корпоративним середовищем на основі Корпоративного сервера Hideez. Ваша ІТ-команда зможе заощадити час та гроші й бути впевненою, що кожен користувач безпечно автентифікований у мережі та має доступ лише до того, що дозволено.
Потрібна консультація? Напишіть нам: moc.hcetokab%40zeedih