Single Sign-On: Der Unterschied zwischen ADFS und LDAP

Haben Sie in letzter Zeit eine Flugreise unternommen? Wenn Sie Bordkarte und Reisepass vorzeigen, gleicht die Fluglinie Ihren Namen und die Ausweisnummer mit ihrer Datenbank ab, damit sie weiß, ob Sie befugt sind, das Flugzeug zu besteigen. Stellen Sie sich nur mal kurz vor, die Fluglinie könnte nicht auf das vollständige Verzeichnis aller Passagiere zugreifen, die Tickets gekauft haben. Ohne diese Daten wäre die Überprüfung der persönlichen Angaben sinnlos, denn es gäbe ja nichts zum Abgleichen. Das System würde schlicht nicht funktionieren.

So ist es auch mit Single Sign-On (SSO). Wenn Sie keinen Zugriff auf die vollständigen, sicher und geordnet gespeicherten Benutzerdaten haben, dann können Sie diese Daten auch nicht mit dem abgleichen, was Benutzer zur Authentifizierung einreichen. Folglich können Sie auch nicht die Identität der Benutzer bestätigen und Ihnen keinen Zugang gewähren. Ein zuverlässiger Verzeichnisdienst ist eine wichtige Voraussetzung für SSO. Es gibt zwei Hauptzugriffsprotokolle, von denen Sie mit einiger Wahrscheinlichkeit auch schon gehört haben: Active Directory Federation Services (ADFS) und Lightweight Directory Access Protocol (LDAP). Sehen wir uns einmal genauer an, wie beides funktioniert und wo die Unterschiede liegen.

Active Directory Federation Services (Active Directory-Verbunddienste, ADFS)

Microsoft hat ADFS entwickelt, damit Unternehmensidentitäten auch jenseits einer Firewall nutzbar sind und SSO-Zugriff auch für Server möglich ist, die sich nicht auf dem Firmengelände befinden. ADFS verwendet ein auf Ansprüchen basierendes Autorisierungsmodell für die Zugangskontrolle, das die Authentifizierung von Benutzern über Cookies und Security Assertion Markup Language (SAML) beinhaltet.

Das bedeutet wiederum, ADFS ist ein Security Token Service (Sicherheitstokendienst, STS). Ein STS lässt sich so konfigurieren, dass er Vertrauensbeziehungen hat, die auch OpenID-Konten akzeptieren. Dadurch können Unternehmen das Einrichten einzelner Registrierungen und Benutzeranmeldedaten umgehen, wenn neue Benutzer hinzukommen. Sie können einfach die schon vorhandenen OpenID-Anmeldedaten verwenden.

ADFS ist ein wertvolles Tool, aber es hat auch seine Nachteile:

  • Die Nutzung ist umständlich, sobald Cloud-Anwendungen oder mobile Anwendungen integriert werden sollen, die nicht von Microsoft sind.
  • Installation, Konfiguration und Wartung erfordern IT-Ressourcen.
  • ADFS lässt sich schlecht skalieren und die Installation von Anwendungen gestaltet sich zäh.

Obwohl es sich theoretisch um ein kostenloses Angebot von Microsoft handelt, kann der Einsatz von ADFS mit versteckten Kosten etwa für die Instandhaltung verbunden sein.

Was macht man mit LDAP (Lightweight Directory Access Protocol)? 

LDAP ist eine schlanke Untergruppe des X.500 Directory Access Protocol und existiert seit den frühen 1990er Jahren. Das Protokoll wurde von der University of Michigan als Softwareprotokoll zur Authentifizierung von Benutzern in einem AD-Netzwerk entwickelt. Es ermöglicht jedem, Ressourcen im Internet oder im unternehmenseigen Intranet zu finden. Mit der Single Sign-On-Funktion von LDAP können Systemadministratoren auch Berechtigungen festlegen und so den Zugriff auf die LDAP-Datenbank steuern. Auf diese Weise können Sie sicher sein, dass die Daten privat bleiben.

Während der Schwerpunkt von ADFS auf Windows-Umgebungen liegt, ist LDAP flexibler. Es kann andere Arten der Datenverarbeitung einschließlich Linux/Unix unterstützen.

LDAP ist ideal, wenn Sie häufig auf Daten zugreifen müssen, diese aber nur ab und zu hinzufügen oder ändern wollen. Das bedeutet, dass es besonders gut mit Passwörtern funktioniert: LDAP kommt mit dem Ablauf von Passwörtern, der Qualitätsprüfung von Passwörtern und der Sperrung von Konten nach zu vielen Fehlversuchen eines Benutzers zurecht. Mit einem LDAP-Agenten können Sie Benutzer in Echtzeit authentifizieren. Er vergleicht die bereitgestellten Daten sofort mit den in der LDAP-Datenbank gespeicherten Daten, sodass keine vertraulichen Benutzerdaten in der Cloud gespeichert werden müssen.

Dies sind nur einige Gründe von vielen, warum wir LDAP bevorzugen. Die Single Sign-On-Lösung von Okta für LDAP vereinfacht die Authentifizierung für Ihre Benutzer, weil sie die Authentifizierung effizient und sicher mit den Richtlinien und dem Benutzerstatus in Active Directory verknüpft.

Okta kostenlos testen

Testen Sie unsere Single Sign-on-Lösung für LDAP, Adaptive MFA, Lifecycle Management und Universal Directory 30 Tage kostenlos.