ブログ記事
SAML SSOとLDAPの違いとは?
クラウド アプリケーションとクラウド サービスに依存する組織が増え続ける今日のデジタル世界では、シングル サイン オン(SSO)は人気の認証システムです。認証情報管理の簡素化、シームレスでセキュアなユーザーへのアクセス、一部のITプロセスの簡素化を望む場合、SSOは素晴らしいソリューションになります。
多くのサービス プロバイダー(SaaSソリューションなど)とIDプロバイダーでは、セキュリティ アサーション マークアップ言語(SAML)やライトウェイト ディレクトリ アクセス プロトコル(LDAP)などのプロトコルをサポートしています。しかし、自身のユース ケースに適したプロトコルはどちらでしょうか?早速、SAML SSOとLDAPを比べてみましょう。
SAML SSOとは
SSOに広く適用されているオープン標準であるSAMLは、IDプロバイダーとサービス プロバイダー間の通信に拡張マークアップ言語(XML)を使用します。この認証プロトコルではセキュアなトークンである、暗号化済みでデジタル署名済みのXML認証を活用するため、パスワードが不要になります。
SAML自体は認証を実行しませんが、アサーション データとやり取りします。LDAPやActive Directory、その他の認証権限者と連動し、アクセス認可/LDAP認証間の関連付けを促進します。
メリットとデメリット
多くのプラットフォームで利用でき、幅広い用途に使用できる軽量のSAML 2.0(現行バージョン)は、クラウドおよびWebアプリケーションでは最も確立された標準であり、一元的なID管理では一般的な選択肢となっています。
SAMLは一般的にセキュアなプロトコルですが、XML攻撃やDNSスプーフィングなど、セキュリティ リスクがないとは言えません。SAMLの採用を計画している場合は、軽減プロトコルの実装が重大なステップになります。
LDAPとは
最も古くそして確立されているID管理プロトコルの1つであるLDAPは、ディレクトリ サービスのアクセスに使用されます。通常はTCP/IP上で実行されるクライアント/サーバー間プロトコルであり、サーバーとクライアント アプリケーション間でメッセージを送信します。デフォルトではLDAPトラフィックは暗号化されておらず、多くの組織がLDAPS(LDAP over SSL/TLS(SSL/TLSを介したLDAP))にアップグレードすることを選択します。
広範で堅牢なソリューションとして、LDAPは認証と認可の両方に使用できます。この利便性こそ、多くのIT管理者がLDAPをID管理の中心に据えている理由です。このプロトコルは、ログイン認証情報またはデジタル証明書のいずれかとして実行できます。
メリットとデメリット
多くのサービス プロバイダーが、LDAP IDプロバイダーのSSOをサポートしています。これによって組織は、ユーザーのSSOを管理するうえで、既存のLDAPディレクトリサービスを活用できるようになります。
しかしながら、LDAPにはデメリットもあります。インターネットが産声を上げたばかりの90年代前半に開発されたLDAPは、Webアプリケーションと連動するように設計されているソフトウェアではありません。むしろ、Microsoft Active Directoryやオンプレミス デプロイのようなユース ケースにより適しています。
IT管理者たちがより新しい認証標準を優先するようになっている中で、LDAPのサポートを廃止しているサービス プロバイダーもいます。組織でSAML SSOオプションとLDAPオプションを評価する場合、そのような潜在的な移行の可能性を考慮する必要があります。
SAML SSO、LDAP、OIDC
OpenID Connect(OIDC)を語らずして、認証プロトコルを巡るディスカッションを終えることはできません。この3種類のプロトコルの中では最も新しいプロトコルであるOIDCは、急速に人気が高まっており、組織によっては最も優れた選択肢になる可能性があります。
OIDCはOauth 2.0をベースにした認証レイヤーで、ログイン認証情報は共有不要でユーザーにアクセスを提供する、オープン認可プロトコルです。SAMLとは異なり、OIDCではREST/JSONを使用します。つまり、OIDCはSAMLと同じユース ケースだけではなく、モバイル アプリにも適用できます。
SAMLよりも安全であるという意見もありますが、OIDCもリスクがないわけではありません。たとえば主要なアカウントが漏洩すると、複数のプラットフォームにまたがるその他のアカウントすべてもリスクに晒されます。
まとめ
LPADとSAMLの動作は異なるものの、相互排他的ではないため、お使いの環境に両方を実装できます。LPADとSAMLはどちらも利用できる主要な2種類の認証プロトコルですが、アイデンティティ アクセス管理(IAM)戦略にどちらが最も適しているかを判断する前に、すべてのオプションを評価することが賢明でしょう。
SSOプロトコルの実装は、特にエコシステムが複雑な場合、複雑になる可能性があります。SailPointが最高のアクセス権限管理ソリューションと統合する方法をご確認ください。