Partagez cet article
De nombreuses organisations informatiques essaient de comprendre le marché de l’authentification unique (SSO, ou single sign-on) et les protocoles impliqués. Dans ce contexte, la discussion « SSO : SAML vs. LDAP » soulève un grand intérêt. LDAP et SAML sont deux protocoles d’authentification souvent utilisés pour accéder à différentes applications, mais les deux sont exploités de manières relativement différentes. À cet égard, les organisations n’ont pas à choisir entre le LDAP ou le SAML. L’approche optimale pour les équipes informatiques consiste à évaluer comment il est possible de tirer parti des deux protocoles dans leur environnement informatique. En utilisant une combinaison de protocoles d’authentification, les organisations ont accès à une plus grande variété de ressources informatiques et peuvent du même coup mieux soutenir leurs objectifs commerciaux. Idéalement, le but serait d’y parvenir sans augmentation des frais généraux pour l’équipe informatique.
Les origines de LDAP et SAML SSO
Avant de plonger dans les similitudes et les différences entre ces deux protocoles d’authentification, voyons d’abord comment ils ont évolué vers leurs spécifications actuelles. LDAP (Lightweight Directory Access Protocol) est une norme ouverte créée au début des années 1990 par Tim Howes et ses collègues de l’université du Michigan. Il s’agit d’un protocole largement utilisé pour l’authentification dans un vaste éventail d’applications. Cela témoigne de la flexibilité et de la puissance de LDAP.
Créé au début des années 2000, SAML (Secure Assertion Markup Language) est un protocole d’authentification basé sur les assertions qui unit les identités aux applications Web. Le protocole est simplement intégré à un fournisseur d’identité (IdP) afin de démontrer que la personne est bien celle qu’elle prétend être.
Ensuite, un fournisseur de services (c’est-à-dire une application Web) admet l’utilisateur sur sa plateforme après un échange d’authentification basé sur XML. Plus techniquement, un IdP est une autorité d’authentification qui produit et relaie les assertions d’attributs SAML. Ce processus d’utilisation des données d’authentification et d’autorisation est conçu pour se dérouler en toute sécurité sur l’internet plutôt que d’utiliser le concept traditionnel du domaine. Il est important de noter que les informations d’identification des comptes ne sont pas stockées par les fournisseurs de services (SP) individuels, ce qui pourrait être sujet à des violations de données et occasionner des frais administratifs lorsque de nombreuses informations d’identification différentes existent pour les utilisateurs.
Similitudes
Bien que les différences soient assez importantes, LDAP et SAML SSO ont fondamentalement la même nature. Ils remplissent effectivement la même fonction : aider les utilisateurs à se connecter à leurs ressources informatiques. Pour cette raison, ils sont souvent utilisés en coopération par les organisations informatiques et sont devenus des éléments de base du secteur de la gestion des identités. L’utilisation des applications Web ayant considérablement augmenté, les organisations exploitent des solutions d’authentification unique pour applications Web basées sur SAML en plus de leur service d’annuaire principal.
Différences
En ce qui concerne leurs zones d’influence, LDAP et SAML SSO sont relativement différents. LDAP est principalement destiné à faciliter l’authentification sur site et d’autres processus de serveur. De son côté, SAML étend les informations d’identification des utilisateurs au cloud et à d’autres applications Web.
Une différence majeure qui peut facilement passer inaperçue entre les concepts de SSO et de LDAP est que les implémentations les plus courantes de serveurs LDAP sont conduites pour être le fournisseur d’identité faisant autorité ou encore la source de vérité pour une identité. Plus souvent qu’autrement, avec les implémentations SAML, ce n’est pas le cas, puisqu’il agit plutôt comme un proxy pour un service d’annuaire, convertissant le processus d’identité et d’authentification en un flux basé sur SAML.
Cas d’utilisation
LDAP fonctionne bien avec les applications basées sur Linux® telles que OpenVPN™, Kubernetes, Docker, Jenkins, et plusieurs autres. Les serveurs LDAP – tels qu’OpenLDAP™ et 389 Directory – sont souvent utilisés comme source de vérité des identités, également connue sous le nom de fournisseur d’identité (IdP) ou de service d’annuaire au sein de Microsoft Windows (Active Directory) et des annuaires cloud tels que JumpCloud qui fonctionnent avec de multiples systèmes d’exploitation.
LDAP fonctionne efficacement sur site et donne aux organisations informatiques un grand contrôle sur l’authentification et l’autorisation. Cependant, sa mise en œuvre est un processus technique ardu, créant un travail important en amont pour les administrateurs informatiques avec des tâches telles que la haute disponibilité, la surveillance des performances, la sécurité, etc. SAML, quant à lui, est généralement utilisé comme un protocole d’authentification utilisé pour échanger l’authentification et l’autorisation entre les annuaires et les applications Web.
Au fil des ans, SAML a s’est démarqué grâce à l’ajout d’une fonctionnalité permettant de fournir l’accès des utilisateurs aux applications Web. Traditionnellement, les solutions basées sur SAML sont jumelées à une solution de service d’annuaire de base. Les fournisseurs utilisent SAML pour créer des logiciels capables d’étendre l’identité d’un utilisateur d’AD à un grand nombre d’applications Web, créant ainsi la première génération de solutions d’authentification unique IDaaS (Identity-as-a-Service). Parmi les applications qui prennent en charge l’authentification SAML, citons Salesforce®, Slack, Trello, GitHub, la solution Atlassian et plusieurs autres. JumpCloud Single Sign-On fournit des centaines de connecteurs pour vous assurer que vous pouvez accorder l’accès aux applications cloud en toute simplicité.
Utiliser les protocoles conjointement
Comme ces protocoles authentifient souvent les utilisateurs auprès de types de ressources informatiques très différents, la question porte moins sur SAML par rapport à LDAP, mais plutôt sur la manière de créer une expérience d’authentification unique™ transparente où une seule identité peut connecter les utilisateurs à toutes les ressources informatiques dont ils ont besoin. Mais comment cela est-il possible?
La plateforme d’annuaire JumpCloud utilise les protocoles les plus flexibles et les plus puissants et les intègre dans un service d’annuaire cloud complet. Cela signifie que vous n’avez plus besoin de mettre en place et de maintenir des serveurs LDAP sur site. Comme LDAP, JumpCloud agit en tant que fournisseur d’identité principal des organisations. Mais, comme il est déjà intégré à SAML, il n’est pas nécessaire d’y ajouter des solutions permettant l’accès aux applications Web. En fait, JumpCloud utilise plusieurs protocoles de pointe en plus de SAML et de LDAP, notamment RADIUS et SSH.
Essayez JumpCloud SSO gratuitement dès aujourd’hui
Lorsqu’il s’agit de comparer SAML et LDAP, vous n’avez plus besoin d’essayer d’identifier ce qui vous convient le mieux. Obtenez le meilleur des deux mondes aujourd’hui – sans risque – avec JumpCloud en créant un compte gratuit pour un essai de 30 jours. Si vous avez besoin d’informations sur l’installation ou la configuration de JumpCloud, contactez-nous dès aujourd’hui.
Au-delà de LDAP et de SAML, les organisations informatiques peuvent exploiter des fonctions similaires à celles des objets de stratégie de groupe (GPO) pour appliquer des mesures de sécurité telles que le chiffrement intégral du disque (FDE), l’authentification multifactorielle (MFA, ou multi-factor authentication) et les exigences de complexité des mots de passe sur les groupes d’utilisateurs et les systèmes Mac, Windows et Linux. Les administrateurs peuvent également utiliser le Cloud RADIUS de JumpCloud pour renforcer la sécurité du réseau avec le marquage VLAN, la gestion des correctifs, etc.
Si vous souhaitez voir notre plateforme d’annuaire cloud en action avant d’acheter, essayez-la gratuitement dès aujourd’hui, avec notre essai de 30 jours. Vous pouvez également programmer une démonstration en direct du produit ou en visionner une enregistrée ici. Si vous avez d’autres questions, n’hésitez pas à nous appeler ou à nous envoyer un message.
