用于单点登录(SSO)的 SAML 协议和用于企业目录的轻量级目录访问(LDAP)协议原本并没有什么交集,两者的集成倒是很有趣。终端用户只需登录一次后就能访问所需的任何 IT 资源,但现实是短期内仍无法真正实现这一效果。
所以,与其说是将 LDAP 和 单点登录(SSO)集成,其实更像是实现采用多协议的身份和访问统一管理平台,支持管理员在单个工具中同时使用 LDAP 和 SAML 协议。下面本文将讨论 LDAP 协议与身份和访问管理(IAM)的联系,IAM 行业又是如何因为 SAML 协议发生变化,最后本文也将介绍多协议身份管理平台如何实现 LDAP 和 SSO 的集成。
1. LDAP 和 IAM
在身份和访问管理 (IAM) 领域,LDAP 可以说是最重要的一种协议。自创建以来,LDAP 一直被广泛用作目录服务的核心要素,典型例子包括微软本地目录服务 Active Directory (AD)。有一段时间,LDAP 几乎成为 IAM 的代名词,微软 AD 等目录服务全都使用LDAP 协议将终端用户连接到企业 IT 资源。
云计算的兴起又使 IAM 市场发生了翻天覆地的变化。其中最明显的就是 Web 应用,这种新型应用被托管在互联网上广泛使用。随之而来的问题是 Web 应用无法像其他资源那样由本地目录服务联合访问。为此,厂商提出了一种新的解决方案来满足日益增长的 Web 应用访问需求,也就是单点登录(SSO)工具。
2. 进入 SAML 时代
借助单点登录(SSO),管理员可以利用 SAML 协议来桥接本地的 AD 实例和云服务,而这一工具和在 IAM 中使用 LDAP 协议毫不相干。另一方面,企业也需要实施单点登录(SSO)方案补充微软 AD的功能,希望通过结合单点登录(SSO)工具和 LDAP 协议来完善 IAM 体验,类似早期的 AD。然而,这两种相互独立的协议不仅提高了工作量和成本,也给管理员的 IAM 方案增加了压力。
针对本地目录和云身份平台之间的脱节,行业间开始推行单点登录(SSO)和 LDAP 协议的集成概念:管理员使用 LDAP 将单点登录(SSO)方案连接到本地 AD。只是当时市场上并没有一个集中式的解决方案可以将身份管理与两者充分结合。
3. 集成 LDAP 和 SAML 协议的统一平台
近年来,IAM 行业发展势头迅猛,转眼间也孕育出了将 SAML、LDAP 等协议集成到单一目录的下一代方法——目录即服务(Directory-as-a-Service,DaaS)或云目录平台。云目录平台将集中式用户管理、虚拟 LDAP、基于云的 RADIUS 认证、多因素认证(MFA)、系统管理等集成到一个解决方案中,通过集成 LDAP 和 SAML SSO,为管理员和终端用户提供真正无缝的单点登录体验。
![多站点单点登录实现方案[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)