Cos'è LDAP?

Il Lightweight Directory Access Protocol, comunemente noto come LDAP, è un protocollo applicativo utilizzato per accedere, organizzare e gestire le informazioni di directory su una rete. Viene spesso utilizzato per interrogare e modificare servizi di directory come Microsoft Active Directory, OpenLDAP e altri sistemi di directory aziendali. LDAP fornisce un modo standardizzato per applicazioni e servizi per autenticare gli utenti, convalidare le identità e recuperare informazioni da directory centralizzate.

Inizia la prova gratuita Pianifica una demo

Quali sono i componenti tipici che costituiscono LDAP?

Directory Information Tree (DIT)

Il Directory Information Tree è la struttura gerarchica che organizza tutte le voci in una directory LDAP. È organizzato come un albero genealogico, con rami che rappresentano dipartimenti, regioni, utenti, dispositivi e altre risorse. Questa struttura spesso rispecchia il modo in cui è organizzata un'azienda, rendendo più facile per gli amministratori individuare e gestire i dati di identità.

Distinguished Name (DN)

Ogni voce in LDAP è identificata in modo univoco da un Distinguished Name. Un DN è come un indirizzo completo che mostra dove si trova la voce all'interno del DIT. È composto da più attributi come il nome comune di un utente, l'unità organizzativa e il dominio. Poiché ogni DN è unico, LDAP può fare riferimento e autenticare in modo affidabile le singole voci ovunque nella directory.

Voci LDAP

Le voci sono i singoli record memorizzati in LDAP. Questi record possono rappresentare account utente, gruppi, applicazioni, dispositivi, principali di servizio o risorse condivise. Ogni voce è trattata come un oggetto con il proprio set di attributi, consentendo alle applicazioni di fare riferimento alle informazioni di identità in modo coerente.

Attributi

Gli attributi sono i dettagli o le proprietà memorizzati all'interno di ogni voce. Esempi comuni includono nome utente, dipartimento, numero di telefono, indirizzo email e titolo di lavoro. Questi attributi aiutano i sistemi a determinare come un utente deve essere identificato o quali permessi dovrebbe avere all'interno di una rete.

Schema

Lo schema definisce la struttura della directory delineando le classi di oggetti e gli attributi consentiti. Garantisce che i dati inseriti nella directory seguano formattazione, denominazione e regole coerenti. Grazie allo schema, le directory LDAP evitano campi duplicati, tipi di dati incompatibili e incongruenze strutturali.

Elementi chiave di LDAP

Servizi di directory

LDAP interagisce con servizi di directory centralizzati che memorizzano informazioni su identità e risorse. Questi servizi consentono alle organizzazioni di gestire utenti, gruppi e permessi da un'unica posizione anziché aggiornare ogni sistema individualmente. Questa centralizzazione semplifica il provisioning degli utenti, il controllo degli accessi e la disattivazione quando i dipendenti lasciano l'azienda.

Modello client-server

LDAP opera basandosi su un'architettura client-server. Il client, che può essere un'applicazione o un dispositivo, invia richieste come autenticazione o query di ricerca. Il server LDAP elabora queste richieste e risponde con i dati richiesti. Questo modello consente a più applicazioni sulla rete di utilizzare la stessa fonte di identità.

Protocollo standardizzato

LDAP è definito dall'Internet Engineering Task Force sotto RFC 4511, il che garantisce che si comporti in modo coerente su vari sistemi e fornitori. Poiché il protocollo è standardizzato, diversi strumenti, servizi e sistemi operativi possono comunicare con le directory LDAP in modo affidabile, riducendo i problemi di compatibilità.

Struttura gerarchica

Le directory LDAP seguono una struttura ad albero che organizza logicamente le voci in base alla loro posizione all'interno dell'organizzazione. Ogni voce è identificata da un Distinguished Name, che riflette il suo posto nella gerarchia. Questa struttura consente una ricerca, un filtraggio e un raggruppamento efficienti di utenti, dispositivi e risorse.

Come funziona LDAP?

LDAP è un protocollo utilizzato per accedere e gestire le informazioni di directory, tipicamente per l'autenticazione, l'autorizzazione e la gestione delle risorse. Puoi pensarlo come un elenco telefonico digitale per un'organizzazione, dove i dettagli dell'utente come nomi utente, password, gruppi e permessi sono archiviati centralmente e possono essere rapidamente consultati. Le aziende si affidano a LDAP per gestire l'accesso dei dipendenti ai sistemi interni e per mantenere i dati di identità coerenti su più applicazioni.

Ecco come funziona un tipico processo LDAP:

Richiesta del client

Un client, come un dispositivo utente o un'applicazione, si connette a un server LDAP tramite una porta di rete. Questa connessione viene spesso attivata automaticamente quando un utente effettua l'accesso o necessita di accedere a una risorsa.

Operazione di Bind

Per dimostrare l'identità, il client invia una richiesta di Bind con le credenziali associate a un Distinguished Name (DN). Il server verifica queste informazioni per assicurarsi che il client sia legittimo prima di concedere l'accesso.

Operazioni di directory

Una volta autenticato, il client può eseguire attività di directory come la ricerca di informazioni utente, la lettura dei dettagli di contatto, il recupero delle appartenenze a gruppi o l'aggiornamento delle voci di directory. Queste operazioni consentono alle applicazioni di convalidare i permessi e i ruoli utente in tempo reale.

Controllo degli accessi

Il server LDAP controlla le regole interne di controllo degli accessi per determinare cosa l'utente autenticato può vedere o fare. L'accesso potrebbe dipendere dall'appartenenza a un gruppo, dal dipartimento o dal ruolo lavorativo. Gli utenti con permessi limitati possono solo visualizzare gli attributi di base, mentre gli amministratori possono modificare o eliminare le voci.

Operazione di Unbind

Quando il client termina la sua richiesta, invia una richiesta di Unbind per chiudere la connessione e terminare la sessione. Questo mantiene le prestazioni della directory efficienti e sicure.

LDAP fornisce un modo centralizzato e scalabile per gestire le identità degli utenti, applicare i controlli degli accessi e semplificare l'autenticazione in ambienti di rete. Questa coerenza aiuta a ridurre il carico di lavoro amministrativo, migliorare la sicurezza e garantire che gli utenti possano accedere ai sistemi di cui hanno bisogno senza ritardi.

LDAP vs Active Directory: Differenza chiave

Molte persone usano LDAP e Active Directory in modo intercambiabile, ma si riferiscono a due cose diverse. Lavorano insieme ma svolgono ruoli diversi.

Active Directory è un servizio di directory Microsoft utilizzato per organizzare risorse IT come utenti, computer, stampanti, gruppi e policy. Memorizza le informazioni di identità e gestisce l'autenticazione negli ambienti Windows.

LDAP è il linguaggio o protocollo utilizzato per accedere e interrogare directory come Active Directory. LDAP può anche comunicare con altri sistemi, incluse directory basate su Linux, OpenLDAP o archivi di identità personalizzati. LDAP è indipendente dal fornitore, mentre Active Directory è proprietario di Microsoft.

In breve, Active Directory è un database di directory e LDAP è uno dei protocolli utilizzati per interagirvi. Sono complementari, non competitivi.

Casi d'uso più noti di LDAP

Autenticazione e Autorizzazione

LDAP funge da fonte di autenticazione centrale. Quando gli utenti accedono a una rete o un'applicazione, le loro credenziali vengono validate rispetto alla directory. Se l'operazione di binding ha successo, l'accesso viene concesso. Per una protezione più forte, le organizzazioni possono utilizzare SASL o LDAPS per crittografare i dati in transito.

Una volta autenticato, LDAP determina quali risorse l'utente può accedere. Gruppi, ruoli e attributi definiscono quali permessi si applicano, supportando il controllo degli accessi basato sui ruoli. Gli amministratori possono assegnare privilegi di lettura, scrittura o limitati a seconda della voce di directory.

Servizi di directory centralizzati

Nelle grandi aziende, LDAP raggruppa tutti i dati utente in un'unica directory gestita. Gli attributi utente come titolo di lavoro, dipartimento, email e appartenenza a gruppi sono memorizzati in un unico posto. Quando un dipendente si unisce o lascia l'azienda, gli amministratori possono effettuare l'onboarding o revocare l'accesso istantaneamente. Questa centralizzazione riduce la duplicazione e garantisce la coerenza tra i sistemi.

LDAP può anche gestire risorse di rete come stampanti, unità condivise, server ed elenchi email. L'associazione diretta dei permessi di accesso alle voci LDAP semplifica la gestione delle risorse.

Poiché LDAP è standardizzato, si integra facilmente con server di posta elettronica, VPN, strumenti di gestione file e molti sistemi di livello aziendale. Questo elimina i silos di dati e rende la gestione delle identità prevedibile.

Single Sign-On (SSO)

LDAP spesso funge da fonte di identità fondamentale per le soluzioni Single Sign-On. Con l'SSO, gli utenti si autenticano una volta e accedono senza problemi a più applicazioni senza dover inserire ripetutamente le credenziali.

Quando un utente effettua l'accesso, LDAP convalida la sua identità. Un provider SSO emette quindi un token a tempo che le app fidate possono accettare. Tecnologie come SAML o OAuth supportano questa esperienza mentre LDAP fornisce i dati di identità dietro le quinte.

Questo approccio rafforza la sicurezza, riduce la fatica da password e migliora l'esperienza utente su più applicazioni.

Le directory LDAP sono anche frequentemente utilizzate nella federazione delle identità, che consente agli utenti di diverse organizzazioni di accedere in modo sicuro a sistemi condivisi utilizzando le credenziali esistenti.

Presentazione di Scalefusion OneIdP

Scalefusion OneIdP è una soluzione moderna, basata su cloud, per la gestione delle identità e degli accessi, creata per le aziende che desiderano sia semplicità che robustezza. A differenza degli strumenti IAM tradizionali, OneIdP si integra perfettamente con la Unified Endpoint Management (UEM), offrendo ai team IT un'unica piattaforma per gestire le identità degli utenti, proteggere i dispositivi e applicare la conformità.

Con il Single Sign-On (SSO) integrato, gli utenti possono accedere in modo sicuro a tutte le loro app di lavoro con un unico login, mentre l'IT applica forti politiche di autenticazione. Questo migliora la sicurezza, elimina la fatica da login e crea un'esperienza di lavoro senza interruzioni.

Unificando IAM, SSO e UEM, OneIdP convalida sia l'utente che il dispositivo prima di concedere l'accesso. Riduce i rischi, semplifica le operazioni IT e la gestione su desktop, laptop e dispositivi mobili.

Come funziona OneIdP con LDAP?

Scalefusion OneIdP estende il valore di LDAP collegando i servizi di directory tradizionali con i moderni requisiti di identità cloud. Aiuta le organizzazioni a unificare l'autenticazione, semplificare l'accesso e modernizzare la sicurezza senza sostituire l'infrastruttura esistente. Ecco come OneIdP funziona insieme a LDAP per migliorare la gestione delle identità e degli accessi:

Integrazione AD locale

Collega il tuo Active Directory on-premise esistente a Scalefusion OneIdP per abilitare moderne funzionalità di login federato senza ristrutturare i controller di dominio interni. OneIdP applica controlli di autenticazione basati su cloud, come MFA o politiche contestuali, pur onorando il tuo AD locale come fonte di identità primaria. Questo consente alle organizzazioni di introdurre gradualmente una sicurezza più forte, senza interrompere i flussi di lavoro quotidiani.

Usa LDAP o fonti di identità personalizzate

Scalefusion OneIdP si integra con più directory conformi a LDAP, inclusi archivi di identità di terze parti o personalizzati. Questo ti dà la libertà di mantenere ambienti legacy consolidando la logica di autenticazione nel cloud. Invece di gestire manualmente più silos di identità, OneIdP centralizza il controllo, la visibilità e l'applicazione delle policy, riducendo la complessità tra sistemi distribuiti.

Abilita l'accesso senza interruzioni da AD locali

I dipendenti possono continuare ad accedere con i loro nomi utente e password familiari, mentre OneIdP federa tali credenziali ad app cloud, piattaforme SaaS e servizi remoti. Ciò garantisce un'adozione più fluida delle applicazioni moderne e delle iniziative di lavoro ibrido. I team IT possono offrire esperienze di accesso coerenti su dispositivi e posizioni senza costringere gli utenti a gestire più credenziali.

Mantieni identità e accessi aggiornati

Le voci di directory, gli attributi utente e le appartenenze a gruppi si sincronizzano automaticamente tra LDAP e OneIdP. Quando i dipendenti si uniscono, cambiano ruolo o lasciano l'azienda, questi aggiornamenti si propagano istantaneamente attraverso le applicazioni connesse. Questo previene account orfani, minimizza la deriva degli accessi ed elimina la necessità di attività di provisioning manuale ripetitive.

Insieme, LDAP e Scalefusion OneIdP offrono un'esperienza di identità unificata che supporta ambienti ibridi, migliora la postura di sicurezza e semplifica la gestione del ciclo di vita degli utenti.

Scopri come OneIdP combina l'integrazione della directory con la sicurezza zero trust.

Prova gratuitamente Pianifica una demo

Explore more glossary entries

IAM

Empower your organization's security at every endpoint — manage digital identities and control user access to critica...

Leggi di più

Access Management

Access Management streamlines operations by unifying authentication, authorization, and auditing in a single solution...

Leggi di più

Single Sign On

Single Sign-on (SSO) is an authentication method allowing enterprise users to access multiple applications and websit...

Leggi di più
Explore more
Ottieni una demo