Le LDAP (Lightweight Directory Access Protocol) est un langage ouvert et multi plateforme utilisé entre un client et un serveur lors d’une connexion permanente. Il définit la façon dont les clients doivent coder les requêtes et la façon dont les serveurs doivent coder les réponses.
Le LDAP est une manière sécurisée d’authentifier les utilisateurs car il utilise des règles strictes de codage qui ne permettent pas aux utilisateurs de créer des mots de passe faibles.
L’objectif premier lors de la création du LDAP était de procurer un outil d’authentification sécurisé pour les entreprises, mais il a aussi d’autres fonctions. Il peut être utilisé dans l’annuaire actif d’un réseau, où il code, stocke, accède à et gère les informations des utilisateurs et des terminaux (ainsi que d’autres données). Les types de données stockées sont les noms d’utilisateur, les mots de passe, les détails sur les comptes, les connexions imprimante, les adresses email, et d’autres données sensibles.
Ses fonctions spécifiques comprennent :
Stocker un ensemble systématique de dossiers et de données dans une structure hiérarchique
Chercher et récupérer dans cette structure des données correspondant à un ensemble de critères précis
Authentifier et autoriser des utilisateurs et des appareils
Organiser des groupes
Créer une politique
Pour commencer une session d’authentification LDAP, un client doit se connecter au serveur. Une fois qu’une connexion a été établie, le client et le serveur peuvent échanger des packs de données. Lorsque la requête d’un utilisateur parvient au serveur, ses identifiants sont authentifiés en les comparant aux données précédemment saisies par les administrateurs. Si les données correspondent, l’accès est autorisé. Si ce n’est pas le cas, l’accès est refusé.
EXEMPLE
Patricia saisit son nom et son mot de passe sur une application web.
Sa demande d’accès est envoyée à un service, qui utilise des données codées par LDAP pour que ses identifiants correspondent aux identifiants déjà présents dans sa base de données.
Si le nom d’utilisateur ou le mot de passe de Patricia ne correspond pas aux identifiants stockés dans la base de données codée par LDAP, le LDAP renvoie un message d’erreur.
Si les identifiants de Patricia correspondent aux identifiants de la base de données LDAP, le service l’authentifie et son accès est autorisé.
L’annuaire LDAP sur le serveur est paramétré avec une structure en forme d’arbre ou hiérarchique. Lorsqu’un utilisateur demande des informations, la base de données n’a pas besoin de connaître l’emplacement des données. Elle utilise le LDAP pour chercher dans les données, les organisations, les individus ou les ressources (comme des fichiers ou des appareils) avec une approche de haut en bas. Elle part de la cime de l’arbre et descend jusqu’à trouver les informations demandées. Pour une précision accrue, chaque groupe de cet arbre peut aussi avoir sa propre hiérarchie.
Le LDAP simplifie le processus d’identification d’un employé parmi des milliers. Chaque employé a ses propres données stockées en langage LDAP, avec ses permissions. Il est autorisé à accéder à des applis, des services et des systèmes, et d’autres domaines auxquels il n’a pas accès. Le LDAP garde la trace de cela pour que vos administrateurs n’aient pas à le faire. La politique de sécurité peut vivre dans le contrôleur du domaine pour que vous puissiez définir qui a accès à quoi (comme un fichier, un appareil ou une permission pour changer l’arrière-plan du bureau ou télécharger un fichier).
EXEMPLE
Gordon veut partager un fichier avec certains employés, mais pas tous. Pour ce faire, Gordon pourrait créer un groupe spécial dans la hiérarchie . En fonction de ce qu’il a besoin de partager, il décide de créer un groupe pour les employés sur service comptabilité. Pour ce groupe seulement, Gordon peut ajouter une politique de sécurité selon laquelle seuls les membres du service comptabilité peuvent accéder à ce type de fichier Excel.
S’il voulait être plus précis, Gordon pourrait aussi créer une hiérarchie au sein du groupe service comptabilité. Il pourrait aussi créer deux sous-groupes qui réduisent encore plus les permissions : Groupe A et Groupe B. Étant donné que Gordon gère le groupe Comptabilité, il peut aussi donner des permissions à des sous-groupes qu’il crée. Il peut attribuer des permissions à une, quelques ou plusieurs personnes pour qu’elles aient accès à un ensemble spécifique de fichiers, d’appareils, etc.
Cette capacité à créer des groupes et des sous-groupes dans une structure hiérarchique LDAP simplifie le processus des permissions car l’employé du service comptabilité doit seulement contacter Gordon pour obtenir la permission d’accéder à des fichiers et des appareils, sans devoir remonter l’administrateur du réseau principal.
Le LDAP est une manière de parler à un annuaire actif. Il procure une manière standardisée de stocker, d’identifier et de définir des données de façon hiérarchique et organisée. Lorsque l’utilisateur sollicite la base de données LDAP avec un objet précis, il descend l’arbre de l’annuaire pour trouver l’objet pour le demandeur. Toutes les permissions sont contenues dans les divers domaines, donc l’accès peut être rapidement accordé ou refusé. Il existe plusieurs autres façons d’utiliser le LDAP pour simplifier le stockage, l’accès et la récupération des données, ce qui en fait actuellement une option très populaire auprès des entreprises.
Lancez-vous dès Aujourd'hui
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite
Nous vous remercions ! Veuillez consulter votre boîte email.