Single Sign-On: Skillnaden mellan ADFS och LDAP

Har du flugit nyligen? När du visar upp ditt boardingkort och legitimation så prickar flygbolaget av ditt namn och passnummer i sin databas innan du kan gå ombord. Tänk dig nu att de inte hade en fullständig lista över passagerare som hade biljetter. Utan dessa data skulle det vara meningslöst att kontrollera passagerarna eftersom man inte hade något att jämföra med. Systemet skulle helt enkelt inte fungera.

Samma sak gäller för Single Sign-On (SSO). Om du inte har tillgång till alla användardata som lagrats på ett säkert och systematiskt sätt så har du inget att jämföra med de data som användaren anger för autentisering och du kan då inte verifiera användarens identitet och tillåta åtkomst. En solid katalogtjänst är en förutsättning för SSO. Det finns två huvudsakliga protokoll för åtkomst som du kanske känner till: ADFS (Active Directory Federation Services) och LDAP (Lightweight Directory Access Protocol). Låt oss ta en närmare titt på hur de fungerar och skillnaderna mellan dem.

ADFS (Active Directory Federation Services)

Microsoft utvecklade ADFS för att expandera företagets identiteter bortom brandväggen. Den ger åtkomst med single sign-on av servers som inte är lokala. ADFS använder en kravbaserad auktoriseringsmodell för åtkomstkontroll. Denna process involverar autentisering av användare via cookies och SAML (Security Assertion Markup Language).

Detta betyder att ADFS är en sorts STS (Security Token Service). Du kan konfigurera STS så att den har förtroenderelationer som även accepterar OpenID-konton. Det gör att företag kan slippa separat registrering och användares inloggningsdata när nya användare läggs till, de använder bara befintliga inloggningsdata för OpenID.

ADFS är ett värdefullt verktyg men det medför några nackdelar:

  • Det är krångligt att använda när det integreras med molnet eller mobila appar från andra än Microsoft
  • Det kräver IT-resurser för installation, konfigurering och underhåll
  • Det är svårt att skala upp och kräver omständliga installationer av appar

Trots att det tekniskt sett är en gratislösning från Microsoft så kan ADFS medföra dolda och kostsamma problem såsom IT-kostnader för underhåll.

LDAP

LDAP är en nedbantad version av X.500 Directory Access Protocol och den har funnits sedan tidigt 90-tal. Den utvecklades på University of Michigan som ett protokoll för autentisering av användare i AD-nätverk och gör att alla kan lokalisera resurser på Internet eller på företagets intranät. LDAP single sign-on gör också att systemadministratörer kan kontrollera åtkomst av LDAP-databasen. På så sätt kan du vara säker på att data förblir privata.

Medan ADFS är fokuserat på Windows-miljöer så är LDAP mer flexibelt. Det stöder även andra operativsystem såsom Linux/Unix.

LDAP är idealiskt i situationer där du behöver komma åt data ofta men bara ibland lägga till eller ändra data. Det betyder att det fungerar särskilt väl för lösenord: det kan hantera giltighetstid för lösenord, validering av lösenords kvalitet och nedstängning av konton efter för många felaktigt angivna lösenord. En LDAP-agent kan autentisera användare i realtid, den jämför givna data med de i LDAP-databasen på nolltid så att inga känsliga användardata behöver lagras i molnet.

Dessa är bara några av orsakerna till att vi föredrar LDAP. Oktas LDAP Single Sign-On-lösning gör det enklare att hantera autentisering av användare, ger effektiv och säker autentisering länkad till principer och användarstatus i Active Directory.

Prova Okta gratis

Prova vår LDAP Single Sign-on-lösning, Adaptive MFA, Lifecycle Management och Universal Directory kostnadsfritt under 30 dagar.