SSO與LDAP
隨著企業規模和複雜性的不斷擴大,使用安全高效的用戶認證系統已經成為一個非常重要的需求。LDAP認證是當今非常流行的一種SSO認證機制。SSO系統提供了僅使用一次登錄訪問一組系統的能力,而LDAP被用作這些SSO系統的身份驗證協議。
什麼是LDAP?
LDAP是密歇根大學開發的X.500(一個複雜的企業目錄系統)的改編版。LDAP代表輕量級目錄訪問協議。LDAP的當前版本是版本3。它是應用程序(如電子郵件程序、打印機瀏覽器或地址簿)用於從服務器查找信息的應用程序協議。“LDAP感知”的客戶端程序可以以不同的方式從運行LDAP的服務器請求信息。這些信息保存在“目錄”中(按記錄集組織)。所有數據條目都由LDAP服務器編制索引。當請求某個名稱或組時,可以使用某些篩選器來獲取所需的信息。例如,電子郵件客戶端可以搜索居住在紐約、名字以“Jo”開頭的所有人的電子郵件地址。除了聯繫信息外,LDAP還用於查找諸如加密證書和指向網絡中資源(例如打印機)的指針之類的信息。LDAP也用於SSO。如果要存儲的信息很少更新,並且必須快速查找,那麼LDAP服務器是理想的選擇。LDAP服務器以公共服務器、大學/公司的組織服務器和較小的工作組服務器的形式存在。由於垃圾郵件的威脅,公共LDAP服務器不再流行。管理員可以設置LDAP數據庫的權限。
什麼是SSO?
單點登錄(Single Sign-On)系統允許用戶只登錄一次並訪問多個系統。如果用戶成功登錄,則不會針對每個單獨的系統反覆提示用戶。類似地,單次註銷允許用戶註銷一次,以便從多個軟件系統註銷。不同的認證系統使用不同的認證機制。因此,SSO將轉換這些不同的憑據,並在初始身份驗證期間使用它。使用SSO的優點是通過減少網絡釣魚來提高安全性,減少密碼疲勞,減少整個身份驗證過程所需的時間,以及減少幫助臺人員的開支。大多數SSO系統使用LDAP認證系統。使用SSO系統的公司的用戶通常會在web表單上輸入用戶名/密碼。SSO將安全信息發送到服務器。安全服務器然後將此信息發送到LDAP服務器(安全服務器實際上使用憑據登錄到LDAP服務器)。如果登錄過程成功,則安全服務器將授予對用戶請求的資源的訪問權限。
SSO和LDAP有什麼區別?
