Quelle est la différence entre LDAP et Active Directory ?

Active Directory est un produit Microsoft qui permet d’organiser les ressources IT, comme les utilisateurs, les ordinateurs et les imprimantes. Ce service s’intègre avec la plupart des produits Microsoft Office et Microsoft Server.

Lightweight Directory Access Protocol (LDAP) est un protocole, pas un service, qui permet de communiquer avec différents types d’annuaires (y compris Active Directory) et de les interroger.

Qu’est-ce qu’Active Directory ?

Microsoft crée une multitude de logiciels de tous types — des suites bureautiques aux systèmes d’exploitation serveurs en passant par Server, Exchange, SharePoint et bien d’autres.

Dans l’environnement IT, les utilisateurs n’apprécient guère de devoir employer un mot de passe différent pour chaque application. Les administrateurs IT, quant à eux, souhaitent pouvoir regrouper les utilisateurs, et gérer l’accès aux ordinateurs et aux imprimantes.

Active Directory a été créé pour faciliter la gestion des utilisateurs et des ordinateurs en stockant des informations sur eux dans un annuaire unique.

Imaginez que vous travaillez dans une entreprise qui ne dispose d’aucun annuaire :

  • Vous devez fournir un nom d’utilisateur et un mot de passe pour chaque application.
  • Les administrateurs IT doivent vous octroyer manuellement l’accès à chaque application dont vous avez besoin.
  • Si vous mettez à jour votre mot de passe ou modifiez votre nom de famille, vous devez le faire dans chaque application où vous possédez un compte.

Un annuaire, en revanche, réunit dans un service centralisé les informations sur tous les collaborateurs, ordinateurs et autres ressources de l’entreprise. Il stocke également les identifiants (p. ex. votre nom d’utilisateur et votre mot de passe) et peut donc vous authentifier auprès de toutes les applications que vous utilisez.

Dans Active Directory, les ressources sont triées selon trois niveaux.

  1. Le domaine : les utilisateurs (p. ex. les collaborateurs) et les terminaux (p. ex. les ordinateurs) qui partagent la même base de données Active Directory font partie d’un domaine. Un domaine est normalement associé à une entreprise ou à une organisation au sein d’une entreprise, p. ex. le « domaine Ingénierie ».
     
  2. L'arbre ou l'arborescence : ils définissent le niveau d’approbation entre les domaines, en décidant qui peut accéder à quoi dans les différentes parties d’une organisation, et en permettant aux administrateurs IT de gérer leur propre communauté d’utilisateurs et de terminaux.
     
  3. La forêt : pour les grandes entreprises ou les relations interentreprises, les domaines sont regroupés en forêts. L'approbation entre forêts est généralement définie après l’acquisition d’une entreprise par une autre, lorsque les collaborateurs de chaque société doivent accéder aux ressources de l’autre.

Chacun de ces niveaux est associé à des droits d’accès et à des privilèges de communication uniques.

Active Directory Tiers Diagram

Active Directory inclut également des fonctionnalités de sécurité :

  • Services d'authentification. Les utilisateurs doivent saisir les identifiants pertinents pour pouvoir accéder aux ressources sur le réseau.
     
  • Groupes de sécurité. Les administrateurs IT répartissent les utilisateurs dans des groupes, puis attribuent ces derniers à des applications pour limiter les tâches administratives.
     
  • Politique de groupe. Active Directory comporte un grand nombre de politiques qui définissent les utilisateurs pouvant accéder aux ordinateurs à distance ou configurer les paramètres de sécurité du navigateur.

Active Directory prend en charge de nombreuses méthodes d’authentification des utilisateurs. Au cours de son existence, il a été compatible avec LAN Manager, NTLM et Kerberos. À chaque fois, le protocole d’authentification a évolué pour être plus sécurisé et facile à utiliser.

À l’origine, la finalité principale d’Active Directory était de rassembler toutes les technologies Microsoft pour permettre aux utilisateurs d’accéder facilement aux ressources et aux administrateurs de définir des accès sûrs.

Qu’est-ce que LDAP ?

Le protocole Lightweight Directory Access (LDAP) a été conçu pour permettre aux applications d’obtenir par requête des informations utilisateurs, rapidement et à grande échelle. Ce protocole était idéal dans le domaine des télécommunications ou du transport aérien.

Active Directory a été créé pour les entreprises disposant de quelques milliers de collaborateurs et d’ordinateurs. LDAP était initialement destiné aux applications utilisées par les opérateurs de téléphonie sans fil, qui traitaient des millions de demandes d’authentification des abonnés sur les réseaux téléphoniques.

LDAP est un protocole qui n’est pas lié à un produit. Par exemple, Active Directory prend en charge LDAP pour permettre aux applications basées sur ce protocole de fonctionner dans un environnement Active Directory existant.

En tant que protocole, LDAP prend principalement en charge les opérations suivantes :

  • Structuration d’annuaires. Chaque entrée de l’annuaire dispose d’attributs et est accessible via un nom unique utilisé pour interroger l’annuaire.
     
  • Ajout, modification et lecture de données. LDAP est optimisé pour la recherche et la lecture rapides de données.
     
  • Services d'authentification. Avec l'authentification basée sur LDAP, vous effectuez une « liaison » avec le service demandé. L’authentification peut être fondée sur une simple paire nom d’utilisateur/mot de passe, un certificat client ou un jeton Kerberos.
  • Recherche. La recherche est un domaine dans lequel LDAP excelle. Encore une fois, les serveurs basés sur LDAP sont généralement conçus pour les interrogations de masse, c’est-à-dire dans la plupart des cas, des recherches lancées sur des ensembles de données.

Quelle est la différence entre LDAP et Active Directory ?

LDAP est un protocole, mais les fournisseurs ont développé des annuaires où LDAP était le principal moyen de communication avec l’annuaire. Ces annuaires étaient souvent appelés « serveurs LDAP ».

Comme ils étaient utilisés principalement en tant que référentiels d’informations sur les utilisateurs d’une application, on les comparait parfois à Active Directory. Cela a un peu brouillé les pistes, certains se demandant laquelle des deux solutions était la meilleure, du serveur LDAP ou d'Active Directory.

Or, il n’y pas de bonne réponse à cette question, car la comparaison est biaisée. D’ailleurs, la question devrait se poser en d’autres termes. On peut se demander, par exemple, si Microsoft Active Directory constitue un meilleur annuaire d’applications que Ping Identity Directory ou Oracle Internet Directory.

En règle générale, les serveurs LDAP conviennent aux applications à très grande échelle, p. ex. les millions de demandes qu'envoient les abonnés sur une plateforme de télécommunications sans fil.

LDAP est également efficace dans les cas qui nécessitent de nombreuses authentifications. Par exemple, Twitter disposait à un certain moment d’un service LDAP gigantesque pour authentifier ses millions d’utilisateurs.

De par sa conception, Active Directory n’est pas idéal pour les implémentations à très grande échelle avec une communauté unique d’utilisateurs. En revanche, ce service offre une bonne évolutivité lorsque les activités de l’entreprise sont distribuées dans plusieurs forêts et domaines.

Il existe des implémentations Active Directory impliquant des centaines de milliers d’utilisateurs, tous gérés dans des domaines et forêts localisés.

Domaines d’excellence d’Active Directory

Active Directory offre des performances optimales dans la tâche pour laquelle il a été créé, c’est-à-dire gérer l’accès aux technologies Microsoft on-premise, comme les clients et serveurs Windows, ou les systèmes SharePoint/Exchange.

Les stratégies de groupe d’Active Directory offrent une sécurisation très efficace des ordinateurs Windows, en raison de l’intégration étroite entre Active Directory et les ordinateurs Windows appartenant à un domaine. Les serveurs LDAP n’ont pas d’équivalent à ce niveau-là.

Quel outil est le plus adapté à votre entreprise ?

Chez Okta, nous prenons en charge les deux environnements, Active Directory et LDAP. Les caractéristiques de chacun fonctionnent mieux dans certaines entreprises.

Comme nombre de nos clients travaillent à la fois avec des serveurs Active Directory et LDAP, nous sommes à même de nous connecter aux deux et d’unifier toutes les informations dans Okta Universal Directory.

Références

Présentation des services de domaine Active Directory. (Mai 2017). Microsoft.

Understanding Active Directory. (Mars 2018). Medium.

What Is Kerberos Authentication? (Octobre 2009). Microsoft.

Configuring Active Directory for LDAP Authentication. IBM.

Présentation des services de domaine Active Directory. (Mai 2017). Microsoft.

Understanding Active Directory. (Mars 2018). Medium.

North Korean Hackers May Be Dabbing in Ransomware Again. (Juillet 2020). PC Magazine.

Report Finds Serious Flaws in COVID-19 Vaccine Developers’ Systems. (Juillet 2020). Xtelligent Healthcare Media.

LDAP and Active Directory. Active Directory 360.