Article

SSO SAML versus LDAP - Quel protocole répond le mieux à vos besoins ?

Access Management
Temps de lecture : 5 minutes

L'authentification unique (SSO) est un système d'authentification prisé dans le monde numérique d'aujourd'hui, dans la mesure où les entreprises s'appuient sur toujours plus d'applications et de services cloud. C'est une excellente solution si vous cherchez à simplifier la gestion des informations d'identification, à fournir un accès transparent et sécurisé aux utilisateurs et à rationaliser certains processus informatiques.

De nombreux fournisseurs de services (solutions SaaS, par exemple) et fournisseurs d'identité prennent en charge des protocoles tels que SAML (Security Assertion Markup Language) et LDAP (Lightweight Directory Access Protocol), entre autres, mais lequel se prête le mieux à votre cas d'utilisation ? Examinons et comparons les protocoles SSO SAML et LDAP.

En quoi consiste le protocole LDAP ?

Comptant parmi les protocoles de gestion des identités les plus anciens et les plus répandus, le protocole LDAP est utilisé pour accéder aux services d'annuaire. Ce protocole client-serveur s'exécute généralement sur TCP/IP pour envoyer des messages entre le serveur et l'application cliente. Le trafic LDAP n'étant pas chiffré par défaut, de nombreuses entreprises optent plutôt pour le protocole LDAPS, ou LDAP sur SSL/TLS.

Solution polyvalente et robuste, le protocole LDAP peut être utilisé à la fois pour l'authentification et l'autorisation. C'est pourquoi de nombreux administrateurs informatiques utilisent ce dernier comme centre de gestion des identités. Il peut être exécuté avec des identifiants de connexion ou des certificats numériques.

Avantages et inconvénients

Bon nombre de fournisseurs de services prennent en charge un fournisseur d'identité LDAP dans le cadre de l'authentification unique (SSO). Ainsi, les entreprises peuvent tirer parti de leur service d'annuaire LDAP existant pour gérer les utilisateurs à des fins d'authentification SSO.

Cependant, le protocole LDAP a pour inconvénient que le logiciel n'a pas été conçu pour opérer nativement avec des applications web. Développé au début des années 90, alors qu'Internet venait de voir le jour, le protocole LDAP est plus adapté à des cas d'utilisation tels que Microsoft Active Directory et les déploiements on-premises.

Les administrateurs informatiques privilégiant de plus en plus les nouvelles normes d'authentification, certains fournisseurs de services abandonnent la prise en charge du protocole LDAP. Lorsque vous évaluez et comparez les possibilités offertes à votre entreprise par les protocoles SSO SAML et LDAP, ces éventuelles transitions doivent figurer parmi les critères à prendre en compte.

Qu'est-ce que l'authentification unique (SSO) SAML ?

Norme ouverte largement appliquée dans le cadre de l'authentification SSO, le protocole SAML fait appel au langage de balisage extensible (XML) pour la communication entre le fournisseur d'identité et le fournisseur de services. Parce qu'il repose sur des jetons sécurisés - des certificats XML chiffrés et signés numériquement - ce protocole d'authentification élimine la nécessité de recourir à des mots de passe.

Le protocole SAML lui-même n'effectue pas l'authentification, mais communique les données d'assertion. Il opère de concert avec le protocole LDAP, Active Directory ou une autre autorité d'authentification, ce qui facilite la liaison entre l'autorisation d'accès et l'authentification LDAP.

Avantages et inconvénients

Polyvalent, léger et disponible sur la plupart des plates-formes, le protocole SAML 2.0 (la version actuelle) est la norme la plus répandue pour les applications cloud et web, et constitue un choix fréquent pour la gestion centralisée des identités.

Bien qu'il s'agisse généralement d'un protocole fiable, SAML n'est pas exempt de risques de sécurité, comme les attaques XML et l'usurpation DNS. Si vous envisagez de recourir au protocole SAML, vous devrez impérativement mettre en œuvre des protocoles d'atténuation.

SSO SAML versus LDAP versus OIDC

Une discussion sur les protocoles d'authentification ne saurait être complète sans faire mention du protocole OpenID Connect (OIDC). OIDC, le plus récent de ces trois protocoles, gagne rapidement en popularité et peut constituer un meilleur choix pour certaines entreprises.

Le protocole OIDC est une couche d'authentification reposant sur la norme Oauth 2.0, un protocole d'autorisation simple et ouvert qui fournit un accès sans que les utilisateurs aient à partager leurs identifiants de connexion. Contrairement à SAML, OIDC fait appel à l'architecture REST/JSON, de sorte que le protocole peut être appliqué non seulement aux mêmes cas d'utilisation que SAML, mais aussi aux applications mobiles.

Si certains considèrent que le protocole OIDC est plus sûr que SAML, il n'est pourtant pas sans risque. Si le compte central est compromis, par exemple, tous les autres comptes sur les plates-formes sont également exposés.

Pour conclure

Bien que les protocoles LPAD et SAML fonctionnent différemment, ils ne s'excluent pas mutuellement, de sorte que vous pouvez les mettre en œuvre dans votre environnement. LPAD et SAML ne sont que deux des principaux protocoles d'authentification disponibles. Il est donc prudent d'évaluer toutes les options avant de déterminer celles qui conviennent le mieux à votre stratégie de gestion des identités et des accès (IAM).

Il peut être compliqué de mettre en œuvre des protocoles SSO, surtout si votre écosystème est complexe. Découvrez comment SailPoint s'intègre aux principales solutions de gestion des accès.