SSO vs LDAP
Καθώς οι επιχειρήσεις μεγαλώνουν σε μέγεθος και πολυπλοκότητα, η χρήση ασφαλών και αποτελεσματικών συστημάτων ελέγχου ταυτότητας χρήστη έχει γίνει πολύ σημαντική απαίτηση. Το SSO που χρησιμοποιεί το LDAP είναι ένας πολύ δημοφιλής μηχανισμός ελέγχου ταυτότητας που χρησιμοποιείται σήμερα. Τα συστήματα SSO παρέχουν τη δυνατότητα πρόσβασης σε μια συλλογή συστημάτων χρησιμοποιώντας μόνο μία σύνδεση, ενώ το LDAP χρησιμοποιείται ως πρωτόκολλο ελέγχου ταυτότητας για αυτά τα συστήματα SSO.
Τι είναι το LDAP;
Το LDAP είναι μια προσαρμογή του X.500 (ένα πολύπλοκο σύστημα καταλόγου επιχειρήσεων) που αναπτύχθηκε από το Πανεπιστήμιο του Μίσιγκαν. Το LDAP σημαίνει Lightweight Directory Access Protocol. Η τρέχουσα έκδοση του LDAP είναι η έκδοση 3. Είναι ένα πρωτόκολλο εφαρμογής που χρησιμοποιείται από εφαρμογές όπως προγράμματα email, προγράμματα περιήγησης εκτυπωτών ή βιβλία διευθύνσεων για την αναζήτηση πληροφοριών από έναν διακομιστή. Τα προγράμματα-πελάτες που γνωρίζουν το LDAP μπορούν να ζητήσουν πληροφορίες από διακομιστές LDAP που εκτελούνται με διαφορετικούς τρόπους. Αυτές οι πληροφορίες βρίσκονται σε «καταλόγους» (οργανωμένους ως σύνολο εγγραφών). Όλες οι καταχωρήσεις δεδομένων ευρετηριάζονται από διακομιστές LDAP. Όταν ζητείται ένα συγκεκριμένο όνομα ή μια ομάδα, ενδέχεται να χρησιμοποιηθούν ορισμένα φίλτρα για τη λήψη των απαιτούμενων πληροφοριών. Για παράδειγμα, ένας πελάτης ηλεκτρονικού ταχυδρομείου μπορεί να αναζητήσει διευθύνσεις ηλεκτρονικού ταχυδρομείου όλων των ατόμων που ζουν στη Νέα Υόρκη και έχουν ένα όνομα με "Jo". Εκτός από τα στοιχεία επικοινωνίας, το LDAP χρησιμοποιείται για την αναζήτηση πληροφοριών όπως πιστοποιητικά κρυπτογράφησης και δείκτες σε πόρους (π.χ. εκτυπωτές) στο δίκτυο. Το LDAP χρησιμοποιείται και για SSO. Εάν οι πληροφορίες που θα αποθηκευτούν ενημερώνονται πολύ σπάνια και η γρήγορη αναζήτηση είναι απαραίτητη, τότε οι διακομιστές LDAP είναι ιδανικοί. Οι διακομιστές LDAP υπάρχουν ως δημόσιοι διακομιστές, διακομιστές οργανισμού για πανεπιστήμια/εταιρείες και μικρότεροι διακομιστές ομάδων εργασίας. Οι δημόσιοι διακομιστές LDAP δεν είναι πλέον δημοφιλείς λόγω της απειλής ανεπιθύμητης αλληλογραφίας. Ο διαχειριστής μπορεί να ορίσει δικαιώματα σε βάσεις δεδομένων LDAP.
Τι είναι SSO;
Τα συστήματα SSO (Single Sign-On) παρέχουν τη δυνατότητα στον χρήστη να συνδεθεί μόνο μία φορά και να αποκτήσει πρόσβαση σε πολλά συστήματα. Εάν ο χρήστης συνδεθεί με επιτυχία, τότε δεν του ζητείται ξανά και ξανά για κάθε μεμονωμένο σύστημα. Ομοίως, το Single sign-Off επιτρέπει στους χρήστες να αποσυνδεθούν μία φορά για να αποσυνδεθούν από πολλά συστήματα λογισμικού. Διαφορετικά συστήματα χρησιμοποιούν διαφορετικούς μηχανισμούς για τον έλεγχο ταυτότητας. Επομένως, ο SSO θα μεταφράσει αυτά τα διαφορετικά διαπιστευτήρια και θα τα χρησιμοποιήσει κατά τον αρχικό έλεγχο ταυτότητας. Τα πλεονεκτήματα της χρήσης SSO είναι η αυξημένη ασφάλεια με τη μείωση του phishing, τη μείωση της κόπωσης με τον κωδικό πρόσβασης, τη μείωση του χρόνου που απαιτείται για τη συνολική διαδικασία ελέγχου ταυτότητας και τη μείωση των δαπανών για το προσωπικό του γραφείου υποστήριξης. Τα περισσότερα συστήματα SSO χρησιμοποιούν σύστημα ελέγχου ταυτότητας LDAP. Ο χρήστης σε μια εταιρεία, η οποία χρησιμοποιεί σύστημα SSO, συνήθως εισάγει το όνομα χρήστη/κωδικό πρόσβασης σε μια φόρμα web. Το λογισμικό SSO στέλνει αυτές τις πληροφορίες στον διακομιστή ασφαλείας. Στη συνέχεια, ο διακομιστής ασφαλείας στέλνει αυτές τις πληροφορίες στον διακομιστή LDAP (ο διακομιστής ασφαλείας συνδέεται πραγματικά στον διακομιστή LDAP χρησιμοποιώντας τα διαπιστευτήρια). Εάν η διαδικασία σύνδεσης είναι επιτυχής, τότε ο διακομιστής ασφαλείας παραχωρεί πρόσβαση στον πόρο που ζητά ο χρήστης.
Ποια είναι η διαφορά μεταξύ SSO και LDAP;
Το LDAP είναι ένα πρωτόκολλο εφαρμογής που χρησιμοποιείται από εφαρμογές για την αναζήτηση πληροφοριών από έναν διακομιστή, ενώ το SSO είναι μια διαδικασία ελέγχου ταυτότητας χρήστη κατά την οποία ο χρήστης μπορεί να παρέχει διαπιστευτήρια μία φορά για πρόσβαση σε πολλά συστήματα. Το SSO είναι μια εφαρμογή, ενώ το LDAP είναι το υποκείμενο πρωτόκολλο που χρησιμοποιείται για τον έλεγχο ταυτότητας του χρήστη.