シングル サインオン (SSO) の世界では、最も一般的なプロトコルは SAML と LDAP です。どちらのプロトコルもビジネス アプリケーションの認証に使用されますが、使用例には明らかな違いがあります。それでも、シングル サインオン (SSO) を展開したい企業は、両方のプロトコルを組み合わせて利用することで、IT 支出を増やすことなく、より多くの種類の IT リソースへのアクセスを可能にし、最終的にはビジネス目標の達成に貢献することができます。
1. LDAP SSO および SAML SSO の開始点
これら 2 つの認証プロトコルを詳しく比較する前に、2 つのプロトコルの開発プロセスを確認してみましょう。LDAP (Lightweight Directory Access Protocol) は、1990 年代初頭にミシガン大学の Tim Howes とその同僚によって共同作成されたオープン標準であり、今日広く使用されており、LDAP の柔軟性と強力な機能を示しています。
2000 年代初頭に開発された SAML (Security Assertion Markup Language) は、ID を Web アプリケーションに統合するアサーションベースの認証プロトコルです。SAML の検証プロセスは、アイデンティティ プロバイダー (IdP) と統合して ID の信頼性と有効性を検証することから始まります。
そして、Webアプリケーションなどのサーバーは、XMLプロトコルに基づく認証を完了した上で、ユーザーにアクセスを許可します。技術的には、IdP は SAML 属性アサーションを要求し、インターネット全体で安全にそれを中継する責任があります。レガシー ドメインは使用されなくなりました。このプロセスにおけるアカウント資格情報は単一のサーバー (SP) に保存されないことに注意してください。ユーザーが複数の異なる資格情報を持っている場合、データ漏洩につながり、管理コストが増加する可能性があります。
2. 類似点と相違点
LDAP SSO と SAML SSO はどちらも、ユーザーが目的の IT リソースに接続できるようにするという点で本質的に同じです。このため、2 つのプロトコルは組み合わせて使用されることが多く、アイデンティティ管理業界の定番となっています。特に Web アプリケーションの使用頻度が急激に増加しているため、企業はコア ディレクトリ サービスに加えて、Web アプリケーションに対して SAML ベースのシングル サインオン ソリューションも使用するようになります。
それにもかかわらず、LDAP と SAML によって実装されたシングル サインオンの実装は、影響範囲が大きく異なります。LDAP はローカル認証やその他のサーバー プロセスを容易にすることに重点を置いていますが、SAML はユーザーの資格情報をクラウド アプリケーションやその他の Web アプリケーションに拡張することに重点を置いています。
SAML と LDAP の間には、見落とされがちな概念的な違いもあります。ほとんどの一般的な LDAP サーバーは、権限のある IdP またはアイデンティティ ソースとして機能します。ただし、SAML では、SAML サービスは ID のソースではなく、多くの場合、ディレクトリ サービスへのプロキシとして機能し、認証プロセスを SAML ベースのワークフローに変換します。
ユースケースの観点から見ると、LDAP は OpenVPN、Jenkins などの Linux ベースのアプリケーションとうまく連携します。LDAP サーバーは、アイデンティティ プロバイダー IdP または Microsoft Active Directory およびシステム全体で実行できるクラウド ディレクトリ サービスとも呼ばれるアイデンティティ ソースとしてよく使用されます。
システム上での LDAP の効率的な運用により、企業は認証と認可を大幅に管理できるようになります。ただし、LDAP の展開は技術的には比較的複雑な技術プロセスであり、管理者は高可用性、パフォーマンス監視、セキュリティなどのタスクを含む多くの準備作業を事前に完了する必要があります。
対照的に、SAML は、企業ディレクトリと Web アプリケーション間の認証と認可に一般的に使用されます。SAML は長年にわたり、ユーザーに Web アプリケーションへのアクセスを提供する拡張機能も追加してきました。SAML ベースのソリューションは従来、コア ディレクトリ サービスと組み合わせて使用されてきました。メーカーは SAML を使用してソフトウェアを開発し、ユーザー ID を AD から多数の Web アプリケーションに拡張できるようにしたため、第 1 世代の IDaaS が誕生しました。Salesforce などの SaaS アプリケーションに対する広範な SSO サポートが市場で認められています。 、SalesEasy、WorkLife、ServiceNow など、エンタープライズ モバイル ソーシャル アイデンティティの発展に伴い、IDaaS はローカル AD とエンタープライズ ソーシャル アイデンティティの橋渡しができることも求められています。
3.「1+1>2」
LDAP プロトコルと SAML プロトコルは両方とも、さまざまな種類の IT リソースに対してユーザーを認証できるため、問題はどのプロトコルを使用するかではなく、必要なリソースにユーザーを接続する方法など、完全なシングル サインオン エクスペリエンスを実現する方法です。
Ningdun クラウド ディレクトリ サービスは、企業がローカル AD アカウントを設定および維持する必要を排除すると同時に、コア IdP 機能を統合し、柔軟で強力な認証プロトコルを使用してシングル サインオン (SSO) を実現します。SAML と LDAP に加えて、Ningdun シングル サインオン SSO システムは、OIDC や OAUTH2.0 などの国際標準プロトコル、および自社開発の EasySSO プロトコルもサポートしており、自己開発の新旧アプリケーションに迅速に接続できます。 -開発および商業調達。システムがユーザーを認証する場合、多要素認証 (MFA) を有効にしてユーザー アカウントの安全性と信頼性を確保し、アプリケーション アクセスのセキュリティを強化することもできます。