單一登入 (Single Sign-On,SSO) 是當今數位世界中廣為採用的驗證系統,因為組織日益依賴越來越多的雲端應用程式和服務。如果您想要簡化憑證管理、為使用者提供無縫且安全的存取,並精簡部分 IT 流程,SSO 會是不錯的解決方案。
許多服務供應商(例如 SaaS(Software as a Service,軟體即服務) 解決方案)和身分識別供應商都支援安全聲明標記語言 (Security Assertion Markup Language,SAML) 和輕量型目錄存取通訊協定 (Lightweight Directory Access Protocol,LDAP) 等通訊協定,不過哪一種最適合您的情況?讓我們來比較一下 SAML SSO 與 LDAP。
何謂 LDAP?
LDAP 是最早、最成熟的身分管理通訊協定之一,用於存取目錄服務。它是一種用戶端-伺服器通訊協定,通常在 TCP/IP 上執行,以在伺服器和用戶端應用程式之間傳送訊息。在預設下,LDAP 流量未加密,許多組織選擇升級到 LDAPS (Secure LDAP / LDAP over SSL or TLS) 或透過 SSL/TLS 的 LDAP。
LDAP 是一種廣泛且強大的解決方案,可用於驗證和授權,這就是許多 IT 管理員依賴 LDAP 做為身分管理中心的原因。該通訊協定可以使用登入憑證或數位憑證執行。
優勢與劣勢
許多服務供應商支援使用 LDAP 身分識別供應商進行單一登入 (SSO)。如此,組織就可以運用其現有的 LDAP 目錄服務來管理 SSO 使用者。
不過,LDAP 的劣勢在於此軟體並非原生設計來支援 Web 應用程式。由於 LDAP 是在 90 年代初期網際網路剛興起時開發的,因此更適合用於像是 Microsoft Active Directory 和本地端部署等情境。
隨著 IT 管理員越來越傾向於選擇較新的身分驗證標準,一些服務供應商開始逐步停止支援 LDAP。在評估您的組織要使用 SAML SSO 還是 LDAP 時,應考量到這種可能的趨勢轉變。
何謂 SAML SSO?
SAML 是廣泛應用於 SSO 的開放標準,使用可延伸標記式語言 (XML) 在身分識別供應商和服務提供者之間進行通訊。此驗證通訊協定無需密碼,因為它仰賴安全權杖(經過加密和數位簽署的 XML 憑證)。
SAML 本身不執行驗證,而是傳輸聲明資料。其與 LDAP、Active Directory 或其他驗證機構結合使用,有助於存取授權和 LDAP 驗證之間的連結。
優勢與劣勢
多功能、輕量級的 SAML 2.0(最新版本)可用於大多數平台,是雲端和 Web 應用程式最成熟的標準,也是集中式身分識別管理的常見選擇。
雖然 SAML 通常是一種安全的通訊協定,但並非全無安全風險,例如 XML 攻擊和 DNS 欺騙。如果您打算採用 SAML,那麼實作緩解通訊協定是關鍵的一步。
SAML SSO 與 LDAP 和 OIDC 的比較
在討論驗證通訊協定時,如果不提到 OpenID Connect (OIDC) 就不夠全面完整。OIDC 是這三種通訊協定中最新的,而且正在迅速普及,對某些組織來說可能是更好的選擇。
OIDC 是 Oauth 2.0 之上的驗證層,它是一種簡單、開放的授權通訊協定,無需使用者分享登入憑證即可提供存取權限。與 SAML 不同,OIDC 使用 REST/JSON,這意味著該通訊協定不僅適用於與 SAML 相同的使用案例,也適用於行動應用程式。
雖然有些人認為 OIDC 比 SAML 更安全,但 OIDC 並非全無風險。例如,如果中央帳戶遭到入侵,跨平台的所有其他帳戶也將面臨風險。
最後總結
雖然 LDAP 和 SAML 的運作方式不同,但彼此並不互斥,您可以在您的環境中同時實作這兩者。LDAP 和 SAML 只是兩種主要的可用驗證通訊協定,因此在決定何者最適合您的身分與存取管理 (Identity and Access management,IAM) 策略之前,請謹慎評估所有選項。
實作 SSO 通訊協定可能很複雜,尤其是如果您的生態系非常複雜。瞭解 SailPoint 如何整合頂尖的存取管理解決方案。
