Single sign-on: het verschil tussen ADFS en LDAP

Wat gebeurt er voordat u in een vliegtuig stapt? U overhandigt uw boardingpass en paspoort aan de medewerker van de luchtvaartmaatschappij die uw naam en paspoortnummer vergelijkt aan de hand van een database. Komen die overeen, dan kunt u aan boord van het vliegtuig stappen. Stel u nu eens voor dat die medewerker geen toegang had tot een volledige lijst van passagiers die een ticket hebben gekocht. Zonder die data zou het controleren van persoonlijke gegevens zinloos zijn omdat er niks is om te vergelijken. Het systeem zou dus gewoon niet werken.

Hetzelfde geldt voor single sign-on (SSO). Als u geen toegang heeft tot gebruikersdata die op een veilige, georganiseerde manier is opgeslagen, kunt u die data niet vergelijken met wat gebruikers sturen voor authenticatie en kunt u hun identiteit niet verifiëren en hen geen toegang verlenen. Een solide directoryservice is een cruciale vereiste voor SSO. Er zijn twee hoofdprotocollen voor toegang die u wellicht kent: Active Directory Federation Services (ADFS) en Lightweight Directory Access Protocol (LDAP). Laten we eens kijken hoe die werken en wat de verschillen tussen de twee zijn.

Active Directory Federation Services (ADFS)

Microsoft ontwikkelde ADFS om enterprise-identity ook buiten de firewall mogelijk te maken. Het protocol biedt via single sign-on toegang tot off-prem servers. ADFS gebruikt een op claims gebaseerd autorisatiemodel voor toegangsbeheer. In dit proces worden gebruikers geverifieerd via cookies en Security Assertion Markup Language (SAML).

Dit betekent dat ADFS van het type Security Token Service, of STS, is. U kunt STS configureren voor vertrouwensrelaties die ook OpenID-accounts accepteren. Daardoor hoeven organisaties geen aparte registratie en inloggegevens voor gebruikers in te stellen wanneer er nieuwe gebruikers worden toegevoegd: ze kunnen daarvoor gewoon de bestaande OpenID-inloggegevens gebruiken.

ADFS is een waardevolle tool, maar heeft wel enkele nadelen

  • Het gebruik ervan is omslachtig bij het integreren van mobiele apps in de cloud of mobiele apps die niet van Microsoft zijn
  • Er zijn IT-resources nodig voor installatie, configuratie en onderhoud
  • ADFS is moeilijk te schalen en vereist tijdrovende installatie van apps

Hoewel het technisch gezien een gratis functie van Microsoft is, kan het gebruik van ADFS verborgen kosten met zich meebrengen, zoals IT-kosten voor onderhoud.

LDAP

LDAP is een gemakkelijk te gebruiken subset van het X.500 Directory Access Protocol en is al sinds het begin van de jaren 90 in gebruik. Het protocol dat werd ontwikkeld door de Universiteit van Michigan als een softwareprotocol voor de authenticatie van gebruikers in een AD-netwerk, maakt het voor iedereen mogelijk resources te vinden op internet of op het intranet van de organisatie. Met LDAP single sign-on kunnen systeembeheerders bovendien de toegang tot de LDAP-database regelen. Zo bent u er altijd zeker van dat data privé blijft.

Waar ADFS vooral bedoeld is voor Windows-omgevingen, is LDAP flexibeler. LDAP is ook geschikt voor andere omgevingen zoals Linux/Unix.

Het protocol is ideaal voor situaties waar regelmatig toegang tot data nodig is, die echter maar af en toe hoeft te worden uitgebreid of gewijzigd. Dit betekent dat het heel goed werkt met wachtwoorden: het kan overweg met het vervallen van wachtwoorden, het valideren van wachtwoordkwaliteit en het vergrendelen van accounts nadat een gebruiker te veel mislukte pogingen heeft gedaan. Een LDAP-agent kan gebruikers in real time verifiëren door de verstrekte data onmiddellijk te vergelijken met wat er in de LDAP-database is opgeslagen, zodat er geen gevoelige gebruikersdata in de cloud hoeft te worden opgeslagen.

Dit zijn maar een paar van de redenen waarom LDAP onze voorkeur heeft. De LDAP single sign-on-oplossing van Okta maakt het makkelijker om authenticatie voor uw gebruikers af te handelen, met efficiënte en veilige authenticatie die gekoppeld is aan het beleid en de gebruikersstatus in Active Directory.

Okta kosteloos uitproberen

U kunt onze LDAP single sign-on-oplossing, adaptieve MFA, Lifecycle Management en Universal Directory 30 dagen kosteloos uitproberen.