我为一家医疗保健SaaS公司工作,该公司的所有SSO都使用SAML 2.0,而我们不能使用LDAP。现在,我们有一个特定的客户,他希望使用ADFS从其Intranet到我们的站点进行SSO,并且看起来好像LDAP是唯一的选择(并且他们不能为我们的握手生成SAML断言)。
SSO和SAML有什么区别?一个人能完成另一项不能做到的事情?我的公司为什么要通过LDAP要求SAML?
我从研究中得出的理论是什么,但欢迎您进行以下修正:
-SAML比LDAP更安全,因为它具有身份验证/加密功能(但我不知道具体细节)
-LDAP在公司中使用更广泛,但SAML通常在企业客户端中使用
-LDAP也可以用于控制用户对他们有权访问的其他程序/站点的访问(即,IT和撤销对已终止员工的访问)
谢谢您的帮助!
答案 0 :(得分:2)
LDAP是一个身份存储库。
SAML是一种身份标准,可以使用LDAP作为存储库。也可以使用AD之类的东西。
只是更正-SAML不使用SOAP。
您可以将ADFS 4.0(Server 2016)配置为针对LDAP进行身份验证,并且ADFS支持SAML。
如果以这种方式配置了ADFS,则可以将SAML用于SSO,针对LDAP进行身份验证并返回SAML令牌。
答案 1 :(得分:2)
使用LDAP进行身份验证需要在应用程序上公开用户的凭据。如果该应用程序在其他管理域(即SaaS应用程序)中运行,则由于用户的凭据最终位于第三方域中,因此不受欢迎。
OTOH SAML允许您登录应用程序,而无需向应用程序本身公开用户凭据,从而提高了安全性。由于用户只需要记住一个凭证,因此也增加了便利性。