Javascript is actually
a good thing!
Make sure it's turned on
so that pingidentity.com can work properly.
Le LDAP, c’est quoi ? | Ping Identity
Fondamentaux de la Gestion des Identités
Orchestration des Identités
Gestion des Identités et des Accès
Fournisseurs d’identité et fournisseurs de service
Gestion Centralisée et Décentralisée des Identités
Sécurité Zero Trust
Authentification
Authentification à facteur simple, à double facteur et multifacteur
L’authentification passwordless
FIDO (Fast Identity Online)
Authentification basée sur le niveau de risque
Authentification basée sur un certificat
Authentification basée sur des jetons
Single Sign-On (SSO)
Gestion des identités fédérées
Authentification CHAP
Qu’est-ce que l’authentification continue ?
Autorisation
Méthodes d’autorisation
Provisioning des utilisateurs et des comptes
Comment le single sign-on fonctionne avec un annuaire
l’Autorisation Dynamique
Standards d’authentification et d’autorisation
SAML
OAuth
OpenID Connect (OIDC)
Protocoles d’authentification et d’autorisation
Expand All | Collapse All

Le LDAP, c’est quoi ?


Le LDAP (Lightweight Directory Access Protocol) est un langage ouvert et multi plateforme utilisé entre un client et un serveur lors d’une connexion permanente. Il définit la façon dont les clients doivent coder les requêtes et la façon dont les serveurs doivent coder les réponses.

 

Le LDAP est une manière sécurisée d’authentifier les utilisateurs car il utilise des règles strictes de codage qui ne permettent pas aux utilisateurs de créer des mots de passe faibles.

 

L’objectif premier lors de la création du LDAP était de procurer un outil d’authentification sécurisé pour les entreprises, mais il a aussi d’autres fonctions. Il peut être utilisé dans l’annuaire actif d’un réseau, où il code, stocke, accède à et gère les informations des utilisateurs et des terminaux (ainsi que d’autres données). Les types de données stockées sont les noms d’utilisateur, les mots de passe, les détails sur les comptes, les connexions imprimante, les adresses email, et d’autres données sensibles.

 

Ses fonctions spécifiques comprennent :

 

  • Stocker un ensemble systématique de dossiers et de données dans une structure hiérarchique

  • Chercher et récupérer dans cette structure des données correspondant à un ensemble de critères précis

  • Authentifier et autoriser des utilisateurs et des appareils

  • Organiser des groupes

  • Créer une politique

 

Comment le LDAP fonctionne avec l’authentification

Pour commencer une session d’authentification LDAP, un client doit se connecter au serveur. Une fois qu’une connexion a été établie, le client et le serveur peuvent échanger des packs de données. Lorsque la requête d’un utilisateur parvient au serveur, ses identifiants sont authentifiés en les comparant aux données précédemment saisies par les administrateurs. Si les données correspondent, l’accès est autorisé. Si ce n’est pas le cas, l’accès est refusé.

 

EXEMPLE

  • Patricia saisit son nom et son mot de passe sur une application web.

  • Sa demande d’accès est envoyée à un service, qui utilise des données codées par LDAP pour que ses identifiants correspondent aux identifiants déjà présents dans sa base de données.    

  • Si le nom d’utilisateur ou le mot de passe de Patricia ne correspond pas aux identifiants stockés dans la base de données codée par LDAP, le LDAP renvoie un message d’erreur.

  • Si les identifiants de Patricia correspondent aux identifiants de la base de données LDAP, le service l’authentifie et son accès est autorisé.

 

 

Comment le LDAP fonctionne avec les demandes de non authentification

L’annuaire LDAP sur le serveur est paramétré avec une structure en forme d’arbre ou hiérarchique. Lorsqu’un utilisateur demande des informations, la base de données n’a pas besoin de connaître l’emplacement des données. Elle utilise le LDAP pour chercher dans les données, les organisations, les individus ou les ressources (comme des fichiers ou des appareils) avec une approche de haut en bas. Elle part de la cime de l’arbre et descend jusqu’à trouver les informations demandées. Pour une précision accrue, chaque groupe de cet arbre peut aussi avoir sa propre hiérarchie.

 

Un graphique dcrit la hirarchie de lannuaire LDAP En haut se trouve un site web Examplecom qui dcoule vers quatre nuds 1 Groupes qui vont vers lAssistance en direction de Jane Doe et John Doe les Ventes et la Comptabilit 2 Imprimantes 3 Ordinateurs 4 et Comptes utilisateurs qui vont vers Bureau central en direction de John Doe et distance en direction de Jane Doe

 

Pourquoi avons-nous besoin du LDAP ?

Le LDAP simplifie le processus d’identification d’un employé parmi des milliers. Chaque employé a ses propres données stockées en langage LDAP, avec ses permissions. Il est autorisé à accéder à des applis, des services et des systèmes, et d’autres domaines auxquels il n’a pas accès. Le LDAP garde la trace de cela pour que vos administrateurs n’aient pas à le faire. La politique de sécurité peut vivre dans le contrôleur du domaine pour que vous puissiez définir qui a accès à quoi (comme un fichier, un appareil ou une permission pour changer l’arrière-plan du bureau ou télécharger un fichier).

 

EXEMPLE

Gordon veut partager un fichier avec certains employés, mais pas tous. Pour ce faire, Gordon pourrait créer un groupe spécial dans la hiérarchie . En fonction de ce qu’il a besoin de partager, il décide de créer un groupe pour les employés sur service comptabilité. Pour ce groupe seulement, Gordon peut ajouter une politique de sécurité selon laquelle seuls les membres du service comptabilité peuvent accéder à ce type de fichier Excel.

 

S’il voulait être plus précis, Gordon pourrait aussi créer une hiérarchie au sein du groupe service comptabilité. Il pourrait aussi créer deux sous-groupes qui réduisent encore plus les permissions : Groupe A et Groupe B. Étant donné que Gordon gère le groupe Comptabilité, il peut aussi donner des permissions à des sous-groupes qu’il crée. Il peut attribuer des permissions à une, quelques ou plusieurs personnes pour qu’elles aient accès à un ensemble spécifique de fichiers, d’appareils, etc.  

 

Cette capacité à créer des groupes et des sous-groupes dans une structure hiérarchique LDAP simplifie le processus des permissions car l’employé du service comptabilité doit seulement contacter Gordon pour obtenir la permission d’accéder à des fichiers et des appareils, sans devoir remonter l’administrateur du réseau principal.

 

Conclusion

Le LDAP est une manière de parler à un annuaire actif. Il procure une manière standardisée de stocker, d’identifier et de définir des données de façon hiérarchique et organisée. Lorsque l’utilisateur sollicite la base de données LDAP avec un objet précis, il descend l’arbre de l’annuaire pour trouver l’objet pour le demandeur. Toutes les permissions sont contenues dans les divers domaines, donc l’accès peut être rapidement accordé ou refusé. Il existe plusieurs autres façons d’utiliser le LDAP pour simplifier le stockage, l’accès et la récupération des données, ce qui en fait actuellement une option très populaire auprès des entreprises.

Ressources annexes

Web

Lightweight Directory Access Protocol

  

Capacité

Ping Directory

  

Lancez-vous dès Aujourd'hui

Contactez-Nous

sales@pingidentity.com

Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.