LDAPとは何ですか?

Lightweight Directory Access Protocol、または一般に LDAP として知られる、ネットワーク上のディレクトリ情報へのアクセスと管理に使用されるアプリケーション プロトコルです。これは主に、Microsoft の Active Directory、OpenLDAP、その他のディレクトリ システムなどのディレクトリ サービスのクエリと変更に使用されます。

始めましょう デモをスケジュールする

LDAP を構成する一般的なコンポーネントは何ですか?

ディレクトリ情報ツリー (DIT)

これはディレクトリの階層構造であり、ユーザー、グループ、リソースなどのエントリを編成します。

識別名 (DN)

ディレクトリ内の各エントリの一意の識別子。ユーザーの名前、役割、ドメインなどのさまざまな属性で構成されます。

LDAPエントリ

これらは、ユーザーのログイン資格情報や連絡先の詳細など、ディレクトリ内の個々のレコードです。

属性

これらはエントリのプロパティです (名前、電子メール アドレス、電話番号など)。

スキーマ

ディレクトリに保存できるデータのタイプとそれらの関係を定義する一連のルール。

LDAP の主要な要素

ディレクトリサービス

LDAP は、ユーザー資格情報、組織構造、その他のネットワーク リソースなどの情報を保存するディレクトリと対話するために使用されます。

クライアントサーバーモデル

LDAP はクライアント/サーバー アーキテクチャに従い、クライアントがクエリまたはリクエストを LDAP サーバーに送信し、LDAP サーバーがリクエストされたデータで応答します。

標準化されたプロトコル

IETF (インターネット エンジニアリング タスク フォース) によって RFC 4511 で定義されており、ディレクトリからのデータの効率的なクエリと取得を目的として設計されています。

階層構造

LDAP ディレクトリはツリー状の階層構造を使用し、多くの場合、組織のドメインを表し、各エントリは識別名 (DN) によって一意に識別されます。

LDAP の最もよく知られた使用例

認証と認可

LDAP は、認証および認可プロセスを管理するためにネットワーク環境で一般的に使用されます。これら 2 つの機能は、適切なアクセス制御を維持しながら、ユーザーがリソースに安全にアクセスできるようにするために重要です。さらに詳しく見てみましょう:

認証

LDAP は多くの場合、ユーザー ログイン システムのバックボーンです。ユーザーがシステム (Web アプリケーションや企業ネットワークなど) にログインしようとすると、提供した資格情報 (通常はユーザー名とパスワード) が LDAP サーバーに送信されます。次に、LDAP サーバーは、提供された資格情報がディレクトリ サービスに保存されている資格情報と一致するかどうかを確認します。認証が成功すると、サーバーはユーザーにアクセスを許可します。

LDAP でのバインド操作中に、クライアント (ユーザーのデバイスなど) は認証情報をサーバーに送信します。サーバーはこれらをディレクトリ データベースと照合して、ユーザーが存在するかどうか、および認証情報が正しいかどうかを確認します。

プロトコルとセキュリティ: 認証は、単純なバインド (ユーザー名とパスワード) または SASL (単純認証およびセキュリティ層) などのより安全なメカニズムを使用して実行できます。多くの組織は、LDAPS (LDAP over SSL) を使用して認証プロセス中のデータ交換を暗号化し、ユーザーの資格情報が傍受されるのを防ぐことを好みます。

認可

ユーザーが認証されると、認可によってユーザーがアクセスできるリソースと実行できるアクションが決まります。 LDAP ディレクトリには、多くの場合、さまざまなリソースへのユーザーのアクセス レベルを定義するロールベースの情報、ユーザー グループ、または特定の属性が保存されます。

ロールベースのアクセス制御 (RBAC): LDAP は、ユーザーをロールまたはグループ (管理者、マネージャー、従業員など) に関連付けることで RBAC をサポートします。ユーザーが認証されると、システムは LDAP からグループ メンバーシップを取得して、ユーザーが操作できるリソースまたはシステムを決定できます。たとえば、従業員が内部ドキュメントにアクセスできる一方で、人事管理者が従業員の機密データを表示するための昇格された権限を持っている場合があります。

きめ細かい権限: ディレクトリ エントリには、多くの場合、ACL (アクセス制御リスト) などの特定のアクセス制御属性があり、特定のデータ エントリを読み取り、変更、削除できるユーザーを定義します。たとえば、特定のユーザーがディレクトリの特定の部分に対して読み取り専用アクセス権を持っている一方で、他のユーザーはフル コントロールを持っている場合があります。

一元化されたディレクトリ サービス

大規模な企業環境やエンタープライズ環境では、LDAP は大量のユーザー データとリソース データを管理および整理するための集中ディレクトリ サービスとして機能します。一元化は、IT 管理と組織の効率に多くのメリットをもたらします。

統合ユーザー管理

LDAP を使用すると、組織はすべてのユーザー関連情報を 1 つの中央ディレクトリに保存できます。これには、ユーザー アカウント、メール アドレス、連絡先情報、役割(役職、部門など)が含まれます。

新しい従業員が入社すると、管理者は自分の情報を LDAP ディレクトリに追加できます。これは他のシステム(メール サーバー、アクセス制御システム、イントラネットなど)で自動的に利用できるようになります。

同様に、従業員が退職するときは、LDAP を無効にするか削除することで、そのアクセスをすぐに削除できます。 アカウント。

リソース管理:

LDAP は、ネットワーク プリンター、ファイル共有、サーバー、電子メール配布リストなどのユーザー以外のリソースも管理できます。これらすべてのリソースは、それぞれに関連するアクセス情報とともにディレクトリ エントリとして保存されます。これにより、権限をユーザー アカウントおよびグループに直接関連付けることにより、共有リソースへのアクセスの管理が容易になります。

他のシステムとの統合:

LDAP は標準化されたプロトコルであるため、通常、電子メール サーバー、ファイル管理システム、VPN などの他のさまざまなシステムに統合されています。 LDAP を統合することにより、組織はすべてのシステムがユーザー情報を同じ一元化されたディレクトリに依存するようになり、重複したデータや一貫性のないデータの必要性が減ります。

シングル サインオン (SSO)

LDAP は、シングル サインオン (SSO) システムを実装するための重要なコンポーネントです。 SSO を使用すると、ユーザーは資格情報を繰り返し入力することなく、一度ログインすれば複数のアプリケーションにアクセスできるようになります。 LDAP が SSO にどのように適合するかは次のとおりです。

複数のシステムにわたる認証:

SSO を使用すると、ユーザーは中央の認証サービス (多くの場合 LDAP に基づく) を使用して 1 回認証されます。この認証により、SSO ソリューションと統合されたさまざまなサービスやアプリケーションへのアクセスが許可されます。 LDAP の一元化されたユーザー ディレクトリにより、ユーザーの資格情報が 1 か所で管理され、接続された複数のシステムで認証データが利用できるようになります。

仕組み:

ユーザーが SSO 対応サービスにログインすると、その資格情報が LDAP ディレクトリに対して検証されます。認証されると、SSO システムはトークンを生成し (多くの場合、SAML、OAuth、OpenID Connect などのプロトコルを使用します)、そのトークンは接続されている他のアプリケーションと共有されます。トークンが有効である限り、ユーザーはサービスごとに再度認証する必要はありません。

セキュリティとユーザーエクスペリエンスの向上:

  • セキュリティ: SSO で LDAP を使用することで、組織はすべての認証リクエストが集中的かつ一貫して処理されるようになり、複数のシステムにわたる認証情報管理に関連するセキュリティ リスクを軽減できます。
  • 利便性: SSO により、従業員またはユーザーは電子メールからさまざまなシステムやアプリケーションにアクセスするために 1 セットの認証情報を覚えておくだけで済むため、ユーザー エクスペリエンスが向上します。
  • LDAP と ID フェデレーション: LDAP ベースのディレクトリは、多くの場合、ID フェデレーション システムのバックボーンを形成し、ユーザーが異なる組織やドメイン間で認証できるようにします。たとえば、LDAP ディレクトリは、さまざまな組織のユーザーが既存の認証情報を使用して共有リソースにアクセスできるフェデレーテッド ID システムの ID ソースとして機能する場合があります。

LDAP の仕組み

LDAP は、ディレクトリ情報へのアクセスと管理、通常は認証とリソース管理に使用されるプロトコルです。簡単に言うと、ユーザー名、パスワード、権限などのユーザーの詳細が保存され、簡単に確認できるデジタル電話帳と考えてください。 LDAP は、システムやアプリケーションへの従業員のアクセスを効率的に管理するために組織でよく使用されます。

一般的な LDAP プロセスの仕組みは次のとおりです。

クライアントのリクエスト:

クライアント (ユーザーまたはアプリケーション) は LDAP サーバーに接続して、ディレクトリ データを認証またはクエリします。

バインド操作:

クライアントは、認証のために識別名 (DN) とパスワードを指定したバインド要求を送信します。サーバーは資格情報を検証します。

ディレクトリ操作:

認証されると、クライアントは、ユーザーの詳細、グループのメンバーシップ、またはアクセス許可の取得など、ディレクトリ データのクエリ (検索) または変更を行うことができます。

アクセス制御:

LDAP サーバーは、(アクセス制御リストまたはロールを通じて) ユーザーの権限をチェックして、要求されたリソースへのアクセスを許可または拒否します。

アンバインド操作:

タスクが完了すると、クライアントはアンバインド要求を送信してセッションを終了します。

Explore More Glossary Entries

私は

すべてのエンドポイントで組織のセキュリティを強化します - デジタル ID を管理し、制御します...

続きを読む

自動プロビジョニング

自動プロビジョニングは、IT タスクを非常に効率的に支援します。手動で設定する代わりに...

続きを読む

シングルサインオン

シングル サインオン (SSO) は、企業ユーザーが複数のネットワークにアクセスできるようにする認証方法です。

続きを読む

条件付き
アクセス

条件付きアクセスは、ユーザーとデバイスの ID を統合する最新のセキュリティ アプローチです。

続きを読む


サービスとしてのアイデンティティ

Identity as a Service (IDaaS) は、組織に、クラウドベースの ID ソリューションを提供します。

続きを読む

ID ライフサイクル管理

ID ライフサイクル管理 (ILM) は、オンボーディングからオフボーディングまでのユーザー ID を管理します。

続きを読む
Get a Demo