SSO:SAML与LDAP?

时间:2018-08-29 21:24:17

标签: ldap single-sign-on saml saas

我为一家医疗保健SaaS公司工作,该公司的所有SSO都使用SAML 2.0,而我们不能使用LDAP。现在,我们有一个特定的客户,他希望使用ADFS从其Intranet到我们的站点进行SSO,并且看起来好像LDAP是唯一的选择(并且他们不能为我们的握手生成SAML断言)。

SSO和SAML有什么区别?一个人能完成另一项不能做到的事情?我的公司为什么要通过LDAP要求SAML?

我从研究中得出的理论是什么,但欢迎您进行以下修正:

-SAML比LDAP更安全,因为它具有身份验证/加密功能(但我不知道具体细节)

-LDAP在公司中使用更广泛,但SAML通常在企业客户端中使用

-LDAP也可以用于控制用户对他们有权访问的其他程序/站点的访问(即,IT和撤销对已终止员工的访问)

谢谢您的帮助!

2 个答案:

答案 0 :(得分:2)

LDAP是一个身份存储库。

SAML是一种身份标准,可以使用LDAP作为存储库。也可以使用AD之类的东西。

只是更正-SAML不使用SOAP。

您可以将ADFS 4.0(Server 2016)配置为针对LDAP进行身份验证,并且ADFS支持SAML。

如果以这种方式配置了ADFS,则可以将SAML用于SSO,针对LDAP进行身份验证并返回SAML令牌。

答案 1 :(得分:2)

使用LDAP进行身份验证需要在应用程序上公开用户的凭据。如果该应用程序在其他管理域(即SaaS应用程序)中运行,则由于用户的凭据最终位于第三方域中,因此不受欢迎。

OTOH SAML允许您登录应用程序,而无需向应用程序本身公开用户凭据,从而提高了安全性。由于用户只需要记住一个凭证,因此也增加了便利性。