SSO: SAML против LDAP?

Question

Я работаю в медицинской SaaS-компании, где все наши SSO используют SAML 2.0, а мы не можем использовать LDAP. Сейчас у нас есть один конкретный клиент, который хочет использовать ADFS для единого входа из своей интрасети на наш сайт и, похоже, действует так, как будто LDAP является единственным вариантом (и что они не могут выдавать утверждения SAML для нашего рукопожатия).

В чем разница между SSO и SAML? Что можно сделать, чего не может другой? Почему моей компании требуется SAML поверх LDAP?

Что я теоретизирую из исследования, но приветствую исправление:

-SAML безопаснее, чем LDAP из-за аутентификации / шифрования (но я не знаю особенностей)

-LDAP более широко используется в компаниях, но SAML часто используется с корпоративными клиентами

-LDAP также может использоваться для контроля доступа пользователей к другим программам / сайтам, к которым у них есть доступ (т. Е. ИТ и отзыв доступа к уволенному сотруднику)

Спасибо за вашу помощь!

Answer 1

Использование LDAP для аутентификации требует раскрытия учетных данных пользователя в приложении. Если приложение работает в другом административном домене (то есть приложении SaaS), это менее предпочтительно, поскольку учетные данные пользователя оказываются в стороннем домене.

OTOH SAML позволяет войти в приложение, не раскрывая учетные данные пользователя в самом приложении, что обеспечивает повышенную безопасность. Это также повышает удобство, поскольку пользователь должен запомнить только одно удостоверение.

Answer 2

LDAP - это хранилище идентификаторов.

SAML - это стандарт идентификации, который может использовать LDAP в качестве хранилища. Или он может использовать что-то еще, например AD.

Просто исправление - SAML не использует SOAP.

Можно настроить ADFS 4.0 (Server 2016) для проверки подлинности по LDAP, а ADFS поддерживает SAML.

Если бы ADFS был настроен таким образом, вы бы использовали SAML для единого входа, проходили аутентификацию на LDAP и получали возвращаемый токен SAML.