Authentification
LDAP constitue souvent l'épine dorsale des systèmes de connexion des utilisateurs. Lorsqu'un utilisateur tente de se connecter à un système (par exemple, une application Web ou un réseau d'entreprise), les informations d'identification (généralement un nom d'utilisateur et un mot de passe) qu'il fournit sont envoyées au serveur LDAP. Le serveur LDAP vérifie ensuite si les informations d'identification fournies correspondent à celles stockées dans le service d'annuaire. Si l'authentification réussit, le serveur accorde l'accès à l'utilisateur.
Pendant l'opération de liaison dans LDAP, le client (tel que l'appareil d'un utilisateur) envoie les informations d'identification au serveur. Le serveur les compare à la base de données de l'annuaire pour vérifier si l'utilisateur existe et si les informations d'identification sont correctes.
Protocoles et sécurité : L'authentification peut être effectuée à l'aide d'une simple liaison (nom d'utilisateur et mot de passe) ou de mécanismes plus sécurisés comme SASL (Simple Authentication and Security Layer). De nombreuses organisations préfèrent utiliser LDAPS (LDAP plutôt que SSL) pour chiffrer l'échange de données pendant le processus d'authentification, protégeant ainsi les informations d'identification des utilisateurs contre toute interception.
Autorisation
Une fois qu'un utilisateur est authentifié, l'autorisation détermine à quelles ressources il peut accéder et quelles actions il peut effectuer. Les annuaires LDAP stockent souvent des informations basées sur les rôles, des groupes d'utilisateurs ou des attributs spécifiques qui définissent le niveau d'accès d'un utilisateur à diverses ressources.
Contrôle d'accès basé sur les rôles (RBAC) : LDAP prend en charge le RBAC en associant les utilisateurs à des rôles ou à des groupes (par exemple, administrateur, responsable, employé). Lorsqu'un utilisateur est authentifié, le système peut récupérer les appartenances aux groupes à partir de LDAP pour déterminer les ressources ou les systèmes avec lesquels l'utilisateur peut interagir. Par exemple, un employé peut avoir accès à des documents internes, tandis qu'un administrateur RH peut disposer d'autorisations élevées pour afficher les données sensibles des employés.
Autorisations précises : les entrées d'annuaire ont souvent des attributs de contrôle d'accès spécifiques tels que les ACL (listes de contrôle d'accès), qui définissent qui peut lire, modifier ou supprimer des entrées de données spécifiques. Par exemple, certains utilisateurs peuvent avoir un accès en lecture seule à certaines parties du répertoire, tandis que d'autres peuvent avoir un contrôle total.