SSO与LDAP
随着企业规模和复杂性的不断扩大,使用安全高效的用户认证系统已经成为一个非常重要的需求。LDAP认证是当今非常流行的一种SSO认证机制。SSO系统提供了仅使用一次登录访问一组系统的能力,而LDAP被用作这些SSO系统的身份验证协议。
什么是LDAP?
LDAP是密歇根大学开发的X.500(一个复杂的企业目录系统)的改编版。LDAP代表轻量级目录访问协议。LDAP的当前版本是版本3。它是应用程序(如电子邮件程序、打印机浏览器或地址簿)用于从服务器查找信息的应用程序协议。“LDAP感知”的客户端程序可以以不同的方式从运行LDAP的服务器请求信息。这些信息保存在“目录”中(按记录集组织)。所有数据条目都由LDAP服务器编制索引。当请求某个名称或组时,可以使用某些筛选器来获取所需的信息。例如,电子邮件客户端可以搜索居住在纽约、名字以“Jo”开头的所有人的电子邮件地址。除了联系信息外,LDAP还用于查找诸如加密证书和指向网络中资源(例如打印机)的指针之类的信息。LDAP也用于SSO。如果要存储的信息很少更新,并且必须快速查找,那么LDAP服务器是理想的选择。LDAP服务器以公共服务器、大学/公司的组织服务器和较小的工作组服务器的形式存在。由于垃圾邮件的威胁,公共LDAP服务器不再流行。管理员可以设置LDAP数据库的权限。
什么是SSO?
单点登录(Single Sign-On)系统允许用户只登录一次并访问多个系统。如果用户成功登录,则不会针对每个单独的系统反复提示用户。类似地,单次注销允许用户注销一次,以便从多个软件系统注销。不同的认证系统使用不同的认证机制。因此,SSO将转换这些不同的凭据,并在初始身份验证期间使用它。使用SSO的优点是通过减少网络钓鱼来提高安全性,减少密码疲劳,减少整个身份验证过程所需的时间,以及减少帮助台人员的开支。大多数SSO系统使用LDAP认证系统。使用SSO系统的公司的用户通常会在web表单上输入用户名/密码。SSO将安全信息发送到服务器。安全服务器然后将此信息发送到LDAP服务器(安全服务器实际上使用凭据登录到LDAP服务器)。如果登录过程成功,则安全服务器将授予对用户请求的资源的访问权限。
SSO和LDAP有什么区别?