Single Sign-On: The Difference Between ADFS vs. LDAP

Thousands of businesses across the globe save time and money with Okta. Find out what the impact of identity could be for your organization.

Single Sign-On: The Difference Between ADFS vs. LDAP

Learn why Top Industry Analysts consistently name Okta and Auth0 as the Identity Leader

皆さんは最近フライトを利用したでしょうか?フライトに先立ち、搭乗券と身分証明書を渡すと、航空会社は乗客の名前とパスポート番号をデータベースと照合し、搭乗の許可を確認します。しかし、チケットを購入した乗客の完全なディレクトリに航空会社がアクセスできなかったとしたらどうなるでしょうか。データがなければ、個人情報をチェックしても、比較するものがないので意味がありません。システムがまったく機能しなくなってしまうでしょう。

シングルサインオン(SSO)でも同様です。保存された完全なユーザーデータに安全かつ整理された方法でアクセスできなければ、そのデータとユーザーが認証のために提出したデータを比較できず、ユーザーのアイデンティティを確認してアクセスを許可することは不可能です。SSOを実現するには、堅固なディレクトリサービスが不可欠です。アクセスプロトコルとして、主にADFS(Active Directory Federation Services)とLDAP(Lightweight Directory Access Protocol)の2つがよく知られています。ここでは、これらの仕組みと違いを紹介します。

Active Directory Federation Services(ADFS)

Microsoftは、企業のアイデンティティをファイアウォールを越えて拡張するためにADFSを開発しました。これによって、オンプレミス以外のサーバーへのシングルサインオンアクセスを提供します。ADFSが採用しているのは、クレームベースのアクセス制御認可モデルです。このプロセスは、CookieやSecurity Assertion Markup Language(SAML)を介してユーザーを認証します。

つまり、ADFSはセキュリティトークンサービス(STS)の一種ということになります。OpenIDアカウントを受け入れる信頼関係を持つようにSTSを構成することも可能です。これにより、新しいユーザーを追加する際に、登録とユーザー資格情報を別々に設定する必要がなくなり、既存のOpenID認証を使用できます。

ADFSは貴重なツールですが、いくつかの難点もあります。

  • クラウドアプリケーションやMicrosoft以外のモバイルアプリケーションとの連携では使い勝手が悪い
  • インストール、構成、保守にはITリソースが必要
  • スケールアップが難しく、面倒なアプリケーションのインストールが必要

名目上はMicrosoftが無償で提供していますが、ADFSを使用すると、保守のITコストなど、大きな隠れたコストが発生するという問題もあります。

LDAP

LDAPは、X.500 Directory Access Protocolの軽量のサブセットであり、1990年代初頭から利用されています。ADネットワーク上のユーザーを認証するソフトウェアプロトコルとしてミシガン大学で開発されたものであり、誰でもインターネットや企業イントラネット上のリソースを検索できます。また、LDAPシングルサインオンでは、システム管理者がLDAPデータベースへのアクセスを制御するためのアクセス許可を設定できます。これにより、データの機密性を確保できます。

ADFSがWindows環境に特化しているのに対し、LDAPにはより高い柔軟性があります。Linux/Unixを含む他のタイプのコンピューティングにも対応しています。

頻繁にデータにアクセスしなければならない一方で、データの追加や変更を頻繁に行わない状況には、LDAPが最適です。パスワードの有効期限、パスワードの品質の検証、ユーザーが何度も認証に失敗した場合のアカウントのロックアウトなどでは特に有用です。LDAPエージェントは、ユーザーをリアルタイムで認証できます。提示されたデータとLDAPデータベースに保存されているデータを瞬時に比較するため、機密性の高いユーザーデータをクラウドに保存する必要がありません。

上記をはじめとする多くの理由から、OktaはLDAPを推奨しています。OktaのLDAPシングルサインオンソリューションは、ユーザーの認証を簡単に処理でき、Active Directoryのポリシーやユーザーの状態にリンクした効率的で安全な認証を提供します。

Oktaの無償トライアル

OktaのLDAPシングルサインオンソリューション、アダプティブMFA、ライフサイクル管理、ユニバーサルディレクトリは、30日間無償でお試しいただけます。