SSO：SAML与LDAP？

Posted 2021-04-16

我在一家医疗保健SaaS公司工作，我们所有的SSO都使用SAML 2.0，我们不能使用LDAP。我们现在有一个特定的客户端想要将ADFS从他们的内部网到我们的站点使用SSO，并且好像LDAP是唯一的选择（并且他们不能为我们的握手产生SAML断言）。

SSO和SAML有什么区别？另一个人不能做到什么？为什么我的公司需要SAML over LDAP？

我从研究中得出的理论是什么，但欢迎更正：

由于身份验证/加密，-SAML比LDAP更安全（但我不知道具体细节）

-LDAP更广泛地用于公司，但SAML通常用于企业客户端

-LDAP还可用于控制用户访问他们有权访问的其他程序/站点（即IT和撤销对已终止员工的访问权限）

谢谢您的帮助！

答案

LDAP是一个Identity存储库。

SAML是一种可以使用LDAP作为存储库的Identity标准。或者它可以使用像AD这样的东西。

只是一个更正 - SAML不使用SOAP。

您可以配置ADFS 4.0（Server 2016）以对LDAP进行身份验证，ADFS支持SAML。

如果以这种方式配置ADFS，则可以使用SAML进行SSO，针对LDAP进行身份验证并返回SAML令牌。

另一答案

使用LDAP进行身份验证需要在应用程序中公开用户的凭据。如果应用程序在不同的管理域（即SaaS应用程序）中运行，则不太优选，因为用户的凭据最终在第三方域中。

OTOH SAML允许您登录应用程序，而无需向应用程序本身透露用户凭据，从而提高安全性。它还增加了便利性，因为用户只需要记住一个凭证。