Comparte este artículo
Muchas organizaciones de TI se encuentran intentado comprender el mercado de inicio de sesión único (SSO, por sus siglas en inglés) y los protocolos involucrados. Como resultado, el debate sobre “SSO: SAML vs LDAP” toma alguna relevancia. LDAP y SAML ambos tratan de protocolos de autenticación y por lo general se emplean para las aplicaciones, pero las dos son impulsadas para casos de usos muy diferentes. A pesar de esto, las organizaciones no tienen que elegir entre usar LDAP o SAML. El enfoque conveniente es que los equipos TI evalúen cómo es posible impulsar ambos protocolos dentro de su entorno de tecnologías de la información. El impulsar una combinación de protocolos de autenticación otorga a la mayoría de las organizaciones acceso a más tipos de recursos TI, que pueden, por última instancia, respaldar sus objetivos de negocio con facilidad. El truco es lograrlo sin incrementar el costo de sus equipos TI.
Los Orígenes de LDAP y SAML SSO
Antes de que nos centremos en las similitudes y diferencias entre los dos protocolos de autenticación, discutamos primero cómo han evolucionado en sus especificaciones actuales. LDAP (Lightweight Directory Access Protocol) es un estándar abierto el cual se creó a principios de los años 1990 por Tim Howes y sus colegas de la Universidad de Michigan y todavía es un protocolo utilizado ampliamente para la autenticación dentro de un variado rango de aplicaciones. Eso habla de la flexibilidad y poder de LDAP.
Creado a principio de los años 2000, SAML (Secure Assertion Markup Language) es un protocolo de autenticación basado en la aserción la cual unifica identidades para las aplicaciones web. Mientras que esa explicación resulta en una sobre simplificación, el protocolo se encuentra efectivamente integrado con un proveedor de identidad (ldP, por sus siglas en inglés) el cual valida que la persona sea quien dice ser.
Después, un proveedor de servicio (por ejemplo una aplicación web) permite al usuario el acceso a su plataforma después de un intercambio de autenticación basado en XML. Dicho de forma más técnica, un IdP es una autoridad de autenticación que produce y transmite las aserciones de atributo SAML. Este proceso de emplear la autenticación y autorización de información se creo para que funcione de forma segura en el internet en vez de emplear el concepto tradicional del dominio. Considerablemente, las credenciales de cuentas no se almacenan por proveedores de servicio individual (SPs, por sus siglas en inglés), las cuales pueden estar sujetas a brechas de información y cargos administrativos adicionales cuando existen muchas credenciales diferentes para los usuarios.
Similitudes
Mientras que las diferencias son en gran manera notables, en su punto, el SSO LDAP y SAML son del mismo tipo. Están ejerciendo de forma efectiva la misma función —el ayudar a los usuarios a conectar sus recursos TI. Debido a esto, se emplean por lo general en cooperación con las organizaciones TI y se han convertido en la materia prima de la industria de la gestión de identidad. Mientras que el uso de las aplicaciones web se ha incrementado drásticamente, las organizaciones han impulsado las soluciones de inicio único de sesión o “single-sing-on” (SSO) en la aplicación web basados en SAML además de su servicio de directorio principal.
Diferencias
Cuando se trata de sus áreas de influencia, el SSO LDAP y SAML tienen muchas diferencias. LDAP, por supuesto, se enfoca principalmente en facilitar la autenticación local y procesos de otros servicios. SAML extiende las credenciales de usuarios a la cloud y a otras aplicaciones web.
Una diferencia principal que resulta fácil pasar por alto entre los conceptos de SSO y LDAP es que las implementaciones mas comunes de servidor LDAP son impulsadas para ser el proveedor autoritativo de identidad o una fuente confiable para una identidad. Muy comúnmente con las implementaciones SAML, no es el caso que el servicio SAML sea la fuente confiable, sino que por otra parte actúe como un canal para un servicio de directorio, convirtiendo ese proceso de identidad y autenticación a un flujo basado en SAML.
Casos de Uso
LDAP funciona bien con aplicaciones basadas en Linux® tales como OpenVPN™, Kubernetes, Docker, Jenkins y miles de otras. Los servidores LDAP —tales como OpenLDAP™ y el Directorio 389— se usan comúnmente como una fuente confiable de identidad, también conocida como proveedor de identidad (IdP) o directorio de servicio dentro de Microsoft Windows (Active Directory) y directorios en la cloud como JumpCloud que funciona de forma cruzada con los sistemas operativos (OS, por sus siglas en inglés).
LDAP funciona eficazmente en sistemas y le permite a las organizaciones TI un buen control sobre la autenticación y autorización. El implementarlo, sin embargo, resulta un arduo proceso técnico, creando un trabajo inicial importante para los administradores TI con tareas como alta disponibilidad, monitoreo de rendimiento, seguridad y más. SAML, por otra parte, se usa generalmente como un protocolo de autenticación empleado para el intercambio de autenticación y autorización entre los directorios y aplicaciones web.
Con el paso de los años, SAML se ha extendido para agregar la funcionalidad que brinda la provisión del acceso de los usuarios para las aplicaciones web también. Las soluciones basadas en SAML se han emparejado históricamente con una solución de servicio de directorio principal. Los distribuidores emplearon SAML para crear un software que pudiera extender una identidad de usuario proveniente del AD hacia un albergue de aplicaciones web, creando la primera generación de Identidad como un Servicio (IDaaS)— soluciones de inicio de sesión único. Ejemplos de aplicaciones que soportan la autenticación SAML incluyen Salesforce, Slack, Trello, GitHub, solución Atlassian y miles de otras más. El inicio de sesión único de JumpCloud proporciona cientos de conectores para asegurarse que se le otorgue el acceso a las aplicaciones en la cloud sin problema.
Usando Los Protocolos Juntos
Debido a que estos protocolos por lo general autentifican a los usuarios en una vasta gama de diferentes tipos de recursos de la tecnología de la información, la pregunta tiene que ver menos con enfrentar SAML y LDAP, y más con cómo crear una experiencia Verdadera de Inicio de Sesión Único™ donde una identidad pueda conectar usuarios sin importar que recursos TI necesite. ¿Cómo lograr eso?
La Plataforma de Directorio JumpCloud hace uso de los protocolos más flexibles y potentes y los lanza dentro de un servicio de directorio completo enviado desde la cloud. Eso significa que ya no necesita establecer y mantener servidores locales LDAP. Así como LDAP, JumpCloud opera como el proveedor de identidad principal para las organizaciones. Pero, debido a que ya se encuentra integrado con SAML, ya no hay necesidad de agregar soluciones para permitir el acceso a aplicaciones web. De hecho, JumpCloud emplea varios protocolos líderes en la industria además de SAML y LDAP incluyendo RADIUS, SSH y otros.
Pruebe JumpCloud SSO Gratis Hoy
Cuando se trata de SAML versus LDAP, ya no debe probar o descifrar cual le resulta mejor. Aproveche lo mejor de ambas partes —libre de riesgo— de JumpCloud. Si necesita alguna información acerca de cómo establecer o configurar JumpCloud, contáctenos hoy.
Aparte de LDAP y SAML, las organizaciones TI pueden impulsar funciones de tipo de objeto de política de grupo (GPO) para fortalecer las medidas de seguridad tales como cifrado del disco completo (FDE), autenticación multifactor (MFA) y requerimientos de una contraseña compleja sobre los usuarios de grupo y sistemas Mac, Windows y Linux. Los administradores también pueden usar la Cloud RADIUS de JumpCloud para reforzar la seguridad de la red con el etiquetado VLAN, gestión de parche y más.
También puede agendar una demostración en vivo del producto o ver una sesión grabada aquí. Si tiene algunas preguntas adicionales, tenga la libertad de llamarnos o enviarnos un mensaje.
