我在一家医疗保健SaaS公司工作,我们所有的SSO都使用SAML 2.0,我们不能使用LDAP。我们现在有一个特定的客户端想要将ADFS从他们的内部网到我们的站点使用SSO,并且好像LDAP是唯一的选择(并且他们不能为我们的握手产生SAML断言)。
SSO和SAML有什么区别?另一个人不能做到什么?为什么我的公司需要SAML over LDAP?
我从研究中得出的理论是什么,但欢迎更正:
由于身份验证/加密,-SAML比LDAP更安全(但我不知道具体细节)
-LDAP更广泛地用于公司,但SAML通常用于企业客户端
-LDAP还可用于控制用户访问他们有权访问的其他程序/站点(即IT和撤销对已终止员工的访问权限)
谢谢您的帮助!
LDAP是一个Identity存储库。
SAML是一种可以使用LDAP作为存储库的Identity标准。或者它可以使用像AD这样的东西。
只是一个更正 - SAML不使用SOAP。
您可以配置ADFS 4.0(Server 2016)以对LDAP进行身份验证,ADFS支持SAML。
如果以这种方式配置ADFS,则可以使用SAML进行SSO,针对LDAP进行身份验证并返回SAML令牌。
使用LDAP进行身份验证需要在应用程序中公开用户的凭据。如果应用程序在不同的管理域(即SaaS应用程序)中运行,则不太优选,因为用户的凭据最终在第三方域中。
OTOH SAML允许您登录应用程序,而无需向应用程序本身透露用户凭据,从而提高安全性。它还增加了便利性,因为用户只需要记住一个凭证。