Lightweight Directory Access Protocol ou mais comumente conhecido como LDAP é um protocolo de aplicativo usado para acessar e gerenciar informações de diretório em uma rede. Ele é usado principalmente para consultar e modificar serviços de diretório como Active Directory da Microsoft, OpenLDAP e outros sistemas de diretório.
Esta é a estrutura hierárquica do diretório, que organiza entradas como usuários, grupos e recursos.
Um identificador exclusivo para cada entrada no diretório, composto por vários atributos, como nome do usuário, função e domínio.
Esses são os registros individuais no diretório, como credenciais de login ou detalhes de contato de um usuário.
Estas são propriedades de uma entrada (por exemplo, nome, endereço de e-mail, número de telefone).
Um conjunto de regras que define os tipos de dados que podem ser armazenados no diretório e seus relacionamentos.
O LDAP é usado para interagir com diretórios que armazenam informações como credenciais de usuários, estruturas organizacionais e outros recursos de rede.
O LDAP segue uma arquitetura cliente-servidor onde o cliente envia consultas ou solicitações a um servidor LDAP, que responde com os dados solicitados.
Definido pela IETF (Internet Engineering Task Force) na RFC 4511, ele foi projetado para consulta e recuperação eficiente de dados de um diretório.
Os diretórios LDAP usam uma estrutura hierárquica em forma de árvore, geralmente representando o domínio de uma organização, onde cada entrada é identificada exclusivamente por um Nome Distinto (DN).
O LDAP é comumente empregado em ambientes de rede para gerenciar processos de autenticação e autorização. Estas duas funções são cruciais para garantir que os utilizadores possam aceder aos recursos de forma segura, mantendo ao mesmo tempo controlos de acesso apropriados. Aqui está uma visão mais aprofundada:
O LDAP costuma ser a espinha dorsal dos sistemas de login de usuários. Quando um usuário tenta fazer login em um sistema (por exemplo, um aplicativo da web ou uma rede corporativa), as credenciais (geralmente um nome de usuário e uma senha) fornecidas são enviadas ao servidor LDAP. O servidor LDAP verifica então se as credenciais fornecidas correspondem às armazenadas no serviço de diretório. Se a autenticação for bem-sucedida, o servidor concederá acesso ao usuário.
Durante a operação de vinculação no LDAP, o cliente (como o dispositivo do usuário) envia as credenciais ao servidor. O servidor os verifica no banco de dados do diretório para verificar se o usuário existe e se as credenciais estão corretas.
Protocolos e Segurança: A autenticação pode ser feita usando um simples bind (nome de usuário e senha) ou mecanismos mais seguros como SASL (Simple Authentication and Security Layer). Muitas organizações preferem usar LDAPS (LDAP sobre SSL) para criptografar a troca de dados durante o processo de autenticação, protegendo as credenciais do usuário contra interceptação.
Depois que um usuário é autenticado, a autorização determina quais recursos ele pode acessar e quais ações pode executar. Os diretórios LDAP geralmente armazenam informações baseadas em funções, grupos de usuários ou atributos específicos que definem o nível de acesso de um usuário a vários recursos.
Controle de acesso baseado em funções (RBAC): o LDAP oferece suporte ao RBAC associando usuários a funções ou grupos (por exemplo, administrador, gerente, funcionário). Quando um usuário é autenticado, o sistema pode recuperar associações de grupo do LDAP para determinar com quais recursos ou sistemas o usuário pode interagir. Por exemplo, um funcionário pode ter acesso a documentos internos, enquanto um administrador de RH pode ter permissões elevadas para visualizar dados confidenciais de funcionários.
Permissões refinadas: as entradas do diretório geralmente têm atributos de controle de acesso específicos, como ACLs (listas de controle de acesso), que definem quem pode ler, modificar ou excluir entradas de dados específicas. Por exemplo, determinados usuários podem ter acesso somente leitura a determinadas partes do diretório, enquanto outros podem ter controle total.
Em grandes ambientes corporativos ou empresariais, o LDAP funciona como um serviço de diretório centralizado para gerenciar e organizar grandes quantidades de dados de usuários e recursos. A centralização oferece muitos benefícios para a administração de TI e eficiência organizacional:
O LDAP permite que as organizações armazenem todas as informações relacionadas ao usuário em um diretório central. Isso pode incluir contas de usuário, endereços de e-mail, informações de contato e funções (por exemplo, cargo, departamento).
Quando novos funcionários são integrados, os administradores podem adicionar suas informações ao diretório LDAP, que fica automaticamente disponível para outros sistemas (por exemplo, servidores de e-mail, sistemas de controle de acesso, intranets).
Da mesma forma, quando os funcionários saem, seu acesso pode ser removido rapidamente desativando ou excluindo sua conta LDAP.
O LDAP também pode gerenciar recursos que não são do usuário, como impressoras de rede, compartilhamentos de arquivos, servidores e listas de distribuição de e-mail. Todos esses recursos são armazenados como entradas de diretório, com informações de acesso relevantes vinculadas a cada um. Isso facilita o gerenciamento do acesso a recursos compartilhados, associando diretamente permissões a contas de usuários e grupos.
Como o LDAP é um protocolo padronizado, ele é comumente integrado a vários outros sistemas, como servidores de e-mail, sistemas de gerenciamento de arquivos e VPNs. Ao integrar o LDAP, uma organização garante que todos os sistemas dependam do mesmo diretório centralizado para informações do usuário, reduzindo a necessidade de dados duplicados ou inconsistentes.
O LDAP é um componente essencial na implementação de sistemas de Single Sign-On (SSO). O SSO permite que os usuários façam login uma vez e obtenham acesso a vários aplicativos sem a necessidade de inserir credenciais repetidamente. Veja como o LDAP se encaixa no SSO:
Com o SSO, os usuários são autenticados uma vez com um serviço de autenticação central (geralmente baseado em LDAP). Essa autenticação concede acesso a vários serviços e aplicativos integrados à solução SSO. O diretório de usuários centralizado do LDAP garante que as credenciais dos usuários sejam gerenciadas em um só lugar e que os dados de autenticação estejam disponíveis para vários sistemas conectados.
Quando um usuário faz login em um serviço habilitado para SSO, suas credenciais são verificadas no diretório LDAP. Se forem autenticados, o sistema SSO gera um token (geralmente usando protocolos como SAML, OAuth ou OpenID Connect), que é então compartilhado com outros aplicativos conectados. Enquanto o token permanecer válido, o usuário não precisará se autenticar novamente para cada serviço.
LDAP é um protocolo usado para acessar e gerenciar informações de diretório, normalmente para autenticação e gerenciamento de recursos. Simplificando, pense nele como uma lista telefônica digital onde os detalhes do usuário, como nomes de usuário, senhas e permissões, são armazenados e facilmente verificados. O LDAP é comumente usado em organizações para gerenciar com eficiência o acesso dos funcionários a sistemas e aplicativos.
Veja como funciona um processo LDAP típico:
Um cliente (usuário ou aplicativo) se conecta a um servidor LDAP para autenticar ou consultar dados do diretório.
O cliente envia uma solicitação de Bind com um Nome Distinto (DN) e uma senha para autenticação. O servidor valida as credenciais.
Uma vez autenticado, o cliente pode consultar (pesquisar) ou modificar dados do diretório, como recuperar detalhes do usuário, associações a grupos ou permissões de acesso.
O servidor LDAP verifica as permissões do usuário (por meio de listas ou funções de controle de acesso) para conceder ou negar acesso aos recursos solicitados.
Assim que as tarefas forem concluídas, o cliente envia uma solicitação de desvinculação para encerrar a sessão.
Capacite a segurança da sua organização em todos os endpoints — gerencie identidades digitais e controle...
Ler maisO provisionamento automatizado é um assistente supereficiente para suas tarefas de TI. Em vez de configurar manualmente...
Ler maisSingle Sign-on (SSO) é um método de autenticação que permite que usuários corporativos acessem vários a...
Ler maisO acesso condicional é uma abordagem de segurança moderna que integra a identidade do usuário e do dispositivo em ...
Ler maisA identidade como serviço (IDaaS) oferece às organizações uma solução de identidade baseada em nuvem gerenciada por...
Ler maisO Identity Lifecycle Management (ILM) gerencia identidades de usuários desde a integração até a desativação, en...
Ler mais