Recenzia a hodnotenie Onelogin

OneLogin ponúka službu správy identít bohatú na funkcie, ktorá banku nezlomí. OneLogin ponúka štyri cenové úrovne medzi ich bezplatnou verziou a ich neobmedzenou úrovňou 8 dolárov na používateľa a mesiac. Táto služba kontroluje všetky hlavné polia funkcií správy identít vrátane viacerých bezpečnostných politík, mobilných aplikácií pre používateľský portál a multifaktorovej autentifikácie (MFA), ako aj všetkých kľúčových mechanizmov autentifikácie. OneLogin dokonca ponúka niekoľko prekvapení, ktoré nenájdete medzi konkurenciou. Ale aj keď je to na vrchole nášho zoznamu, funkcie OneLogin sa úplne nezhodovali s výhercami editorov Choice Choice Okta Identity Management alebo Microsoft Azure Active Directory (AD) a závislosť OneLoginu od mapovania bude pre niektorých trochu mätúca. OneLogin stále zostáva najlepším uchádzačom a môže slúžiť väčšine malých a stredných podnikateľov (SMB) v pohode.

Nastavenie a konfigurácia

Začíname s programom OneLogin a jeho pripojenie k existujúcej adresárovej službe je celkom bežné. Pri prvom prihlásení do správcovskej konzoly OneLogin vás privítal sprievodca nastavením, ktorý vás prevedie počiatočnými krokmi potrebnými na dokončenie procesu konfigurácie vrátane vytvorenia subdomény, importovania používateľov a pridávania aplikácií.

OneLogin podporuje niekoľko typov adresárov, vrátane Microsoft Active Directory (AD), Google G Suite, Workday a Lightweight Directory Access Protocol (LDAP) cez SSL alebo OneLogin konektor. Pripojenie služby AD k službe OneLogin zahŕňa stiahnutie a inštaláciu ich konektora AD a dokončenie niekoľkých jednoduchých krokov konfigurácie (výber účtu služby, konfigurácia čísla portu a výber domény na synchronizáciu). Ako agent Ping Identity PingOne PingFederate sa spoločnosť OneLogin rozhodla použiť token na priradenie konektora AD k službe OneLogin, a nie k povereniam vášho účtu. Po vytvorení priradenia môžete nakonfigurovať konektor AD (najmä výber, ktoré organizačné jednotky alebo skupiny sa majú synchronizovať). Na účely vyrovnávania záťaže a odolnosti voči chybám je možné nasadiť viacero konektorov AD, aby ste si mohli zachovať dostupnosť v prípade zlyhania.

Rovnako ako niekoľko svojich konkurentov sa spoločnosť OneLogin pohybuje smerom k holistickému prístupu k správe podnikových identít integráciou s inými zdrojmi identity, ako sú systémy riadenia ľudských zdrojov (HR), vrátane Workday, UltiPro a Namely. Pomocou sady nástrojov OneLogin nielen vytvárate a spravujete identity v OneLogin a akýkoľvek pridružený softvér ako aplikácie aplikácií (SaaS), ale môžete tieto identity tlačiť nadol do služby Active Directory, čím obmedzujete duálne zadávanie a zlepšujete presnosť.

Integrácia adresárov a zabezpečenie používateľov

Ďalším kľúčovým aspektom integrácie adresárov je výber, ktoré atribúty importujete z AD, ako aj ich konfigurácia. OneLogin vám umožňuje vytvárať vlastné polia a definovať, ktorý atribút AD bude tieto polia vyplňovať. V závislosti od vašich obchodných potrieb môžu byť tieto polia užitočné pri konfigurácii mapovaní aplikácií alebo bezpečnostných politík. Ak napríklad vaša organizácia rozšírila svoju schému AD o vlastné atribúty obsahujúce informácie o štruktúre vašej spoločnosti, OneLogin uľahčuje využitie týchto informácií.

Karta Spresnenie pripojenia AD v administračnej konzole OneLogin vám umožňuje nakonfigurovať, či sa noví používatelia automaticky vytvárajú ako používatelia OneLogin, alebo či sú jednoducho usporiadaní, čo vyžaduje osobný kontakt správcu pred vytvorením používateľa. Nastavenia karty Rozšírené vám tiež umožňujú nakonfigurovať spôsob, akým OneLogin zaobchádza so zablokovanými alebo odstránenými používateľmi v službe AD.

Jedným z kľúčových rozdielov medzi programom OneLogin a väčšinou konkurencie je spôsob, akým rieši skupiny a priradenia aplikácií. Pre začiatočníkov OneLogin nesynchronizuje bezpečnostné skupiny z AD; skôr sa skupiny spravujú nezávisle v službe OneLogin. Skupiny v OneLogin sa primárne používajú na priradenie bezpečnostných politík používateľom, ktorých obsahujú, zatiaľ čo roly sa používajú na spracovanie priradení aplikácií. Používateľov je možné priradiť k skupinám OneLogin buď manuálne, alebo pomocou nástroja Mappings, automatizačného nástroja, ktorý využíva podmienky a akcie na správu používateľov (priraďuje ich skupinám alebo rolám a dokonca mení ich stav alebo menia atribúty za behu). Mapovania sú kľúčovou funkciou v OneLogin, pridávajú flexibilitu a ďalšiu zložitosť spôsobu, akým sa zaobchádzajú s bezpečnostnými politikami a priradeniami aplikácií. Aj keď sa mi páči koncepcia a flexibilita, ktorú poskytuje, myslím si, že to veci určite zmiasť. Bol by som rád, keby som videl kombináciu skupinovej synchronizácie a schopnosť dynamicky priraďovať politiky alebo aplikácie pomocou niečoho ako mapovanie.

Po nakonfigurovaní niektorých mapovaní na priradenie používateľov k rolám môžete začať s procesom konfigurovania prístupu SSO (Single Sign-On) k aplikáciám SaaS a priradením týchto aplikácií k rolám. OneLogin ponúka katalóg aplikácií podobný iným nástrojom IDaaS a katalóg identifikuje, ktoré metódy overovania sú dostupné pre každú aplikáciu. Jednou z pekných funkcií, ktorú ponúka OneLogin pre kompatibilné aplikácie SaaS, je čiastočne automatická konfigurácia oboch strán pripojenia SAML (Security Assertion Markup Language). Sada Google G Suite napríklad podporuje automatickú konfiguráciu po výmene tokenov OAuth. OneLogin tiež podporuje zabezpečenie používateľov služby SaaS, ale ako v prípade každého riešenia IDaaS, to závisí od aplikácie SaaS, ktorá ponúka aplikačné programovacie rozhranie (API) na vykonávanie funkcií zabezpečovania. Mnoho kľúčových aplikácií SaaS podporuje poskytovanie služieb používateľom, napríklad Google G Suite, Microsoft Office 365, Dropbox, a potenciálne mnoho ďalších, čím sa automatizované poskytovanie služieb stáva nevyhnutnou súčasťou riešenia IDaaS.

Jedna pokročilá funkcia, ktorú ponúka OneLogin, sa týka aplikácií SaaS, ktoré neposkytujú podporu SAML. Pomocou vlastného konektora vám OneLogin umožňuje definovať adresy URL a prvky formulárov zapojené do procesu prihlásenia pre aplikáciu, ktorá nie je ľahko dostupná v katalógu OneLogin. Vlastné konektory vám umožňujú vybrať prvky formulára a formulára pomocou značiek HTML, ako je akcia akcie alebo meno a ID tlačidla, typ, názov alebo hodnota. Správcovia môžu tiež pridať vlastné konektory pomocou rozšírenia prehľadávača OneLogin, ktoré zefektívni proces zachytávania identifikátorov elementov formulára a aktivovania vlastného konektora. To znamená, že OneLogin ponúka hotový spôsob pripojenia k málo známym alebo dokonca vlastným aplikáciám hneď po vybalení z krabice.

Ďalšou vlastnosťou, ktorá oddeľuje OneLogin od seba, je jej schopnosť podporovať viacero stránok s vlastnou registráciou. Používatelia, ktorí požadujú účty prostredníctvom týchto stránok, sa predvolene ukladajú iba v službe OneLogin. Tieto registračné stránky sa môžu použiť na registráciu používateľov, ktorí nie sú súčasťou vášho prostredia AD, ale potrebujú určitú úroveň prístupu k určitým obchodným aplikáciám. Medzi prípady použitia týchto funkcií patria študenti, stážisti alebo dobrovoľníci. Počas konfigurácie stránky samoregistrácie môžete definovať, či je potrebné vykonať administratívnu akciu pred úplným poskytnutím účtu, ako aj predvolenú rolu a skupinu pre nových používateľov.

Jednotné prihlásenie a mobilné aplikácie

Správcovia môžu na užívateľskom portáli OneLogin urobiť veľa prispôsobení vrátane zmien farieb, grafiky a vlastného obsahu Pomocníka. Používatelia môžu tiež prispôsobiť svoje portálové prostredie určením spôsobu spúšťania aplikácií (buď v novom okne alebo v tom istom) a podľa toho, či by sa malo používať zobrazenie v záložkách. Používatelia môžu tiež ukladať bezpečné poznámky na svojom užívateľskom portáli a priradiť autentifikačné zariadenie na použitie s multifaktorovým overovaním (MFA). OneLogin má dve mobilné aplikácie: OneLogin Launcher, čo je mobilná verzia používateľského portálu, a OneLogin OTP, čo je multifaktorová možnosť, ktorá používa jednorazové heslá. OTP OneLogin môžete spárovať s účtom OneLogin zadaním ID poverenia, ktoré identifikuje jednotlivé zariadenie a následných jednorazových hesiel vygenerovaných aplikáciou.

OneLogin podporuje dva typy bezpečnostných politík: užívateľské a aplikačné politiky. Aplikačné politiky sa môžu použiť na vyžadovanie jednorazového overenia hesla (OTP) alebo na vynútenie obmedzení IP adresy pre jednotlivé aplikácie, čo vám umožňuje selektívne uplatňovať politiky založené na umiestnení používateľa v sieti (ako je napríklad zapnutie alebo vypnutie siete spoločnosti). Na vynútenie zložitosti hesla a aktualizáciu schopností a informácií o relácii (vrátane správania pri blokovaní a vypršaní časového limitu relácie) sa môžu použiť bezpečnostné politiky, ktoré sa uplatňujú na používateľov. Bezpečnostné politiky sa môžu tiež použiť na presadenie požiadaviek na multifaktory a obmedzenia IP adries.

Zásady používateľa môžete využiť na aktiváciu sociálneho prihlásenia, ktoré používateľom umožňuje autentifikáciu do vášho prostredia OneLogin pomocou akýchkoľvek existujúcich poverení, ktoré môžu mať na stránkach Google, Facebook, LinkedIn alebo Twitter. Tieto poverenia môžete použiť aj na poskytnutie obchodných partnerov alebo zákazníkov k vašim nástrojom SaaS alebo k interným firemným aplikáciám.

Adaptívna autentifikácia spoločnosti OneLogin je riešením založeným na strojovom učení, ktoré je na rovnakej úrovni ako možnosti ponúkané spoločnosťami Microsoft Azure AD a Centrify. Je navrhnutý tak, aby zvyšoval bezpečnosť priradením hodnôt rizika konkrétnym aplikáciám alebo zdrojom a potom odporúča ďalšie kroky, ako napríklad makrofinančnú pomoc, ak skóre rizika zdroja naznačuje zvýšenie bezpečnosti.

Skvelé spravodajstvo

Ďalším vrcholom služby je modul správ, ktorý ponúka OneLogin. K dispozícii je viacero konzervovaných prehľadov a vy máte možnosť klonovať akýkoľvek prehľad a prispôsobiť ho vašim potrebám. Môžete tiež vytvárať nové správy od začiatku a pridávať požadované polia a filtre. Prehľady možno dokonca nakonfigurovať na zoskupenie do stĺpca. Zdá sa, že neexistuje žiadny spôsob, ako naplánovať prehľady, ale môžete exportovať ktorúkoľvek množinu výsledkov do súboru CSV na ďalšiu analýzu. Schopnosť klonovať a prispôsobovať správy je vzácnosťou v priestore IDaaS, čo dokonca neponúkajú ani iné špičkové riešenia, ako napríklad Okta Identity Management alebo Azure AD.

OneLogin podporuje riešenia správcov bezpečnostných udalostí (SEIM), ako napríklad Splunk alebo Sumo Logic, prostredníctvom vysielateľov udalostí. Sú nakonfigurované tak, aby odosielali užitočné zaťaženie JavaScriptu Object Notation (JSON) na adresy URL, ktoré sú zasa nakonfigurované na spotrebu údajov. Okrem toho môžete nakonfigurovať e-mailové upozornenia pomocou nástroja na vykonávanie podmienok, čo je proces, ktorý OneLogin veľmi ľahko nastavil.

Cenová štruktúra OneLogin je v rovnakom balíku ako väčšina trhu, ale OneLogin ponúka bezplatnú úroveň, ktorá obmedzuje používateľov na tri firemné aplikácie, päť osobných aplikácií a neponúka žiadnu MFA. Štartovacia úroveň 2 dolárov mesačne pridáva MFA a dokáže spracovávať SSO pre neobmedzený počet aplikácií SaaS. Štartovacia úroveň ponúka tiež možnosť poskytnúť funkcie na obnovenie hesla pre heslá OneLogin aj pre heslá adresárov. Spoločnosti, ktoré hľadajú väčšiu bezpečnosť, budú musieť preniesť až 4 doláre na používateľa mesačne na úroveň služieb Enterprise, ktorá ponúka bezpečnostné politiky a bude tiež podporovať synchronizáciu z viacerých adresárov. Na automatické poskytovanie používateľov v aplikáciách SaaS a prispôsobiteľné polia sa vyžaduje najvyššia neobmedzená úroveň 8 dolárov na používateľa mesačne.

OneLogin ponúka okrem základných cenových úrovní aj niekoľko doplnkov. Virtuálny LDAP ($ 2 na užívateľa za mesiac) umožňuje vášmu adresáru OneLogin správať sa ako štandardný adresár LDAP. Vďaka tomu je prístupná množstvu aplikácií a služieb, ktoré sa rozhodli využiť dlhodobý štandard LDAP. Adaptívne funkcie autentifikácie, ktoré ponúkajú strojové učenie a kontrolu nad autentifikáciou založenú na rizikách, sú tiež dodatočné náklady prichádzajúce za ďalšie 3 doláre na používateľa mesačne.

Je potrebné uviesť, že OneLogin nedávno utrpel významný bezpečnostný incident. Aj keď bezpečnosť je nanajvýš dôležitá pre nástroj používaný na zvýšenie podnikovej bezpečnosti, je ťažké posúdiť dopad tohto druhu porušenia. Mnoho spoločností sa pravdepodobne OneLoginom vyhne kvôli ich nedávnej histórii, zatiaľ čo iné sa zameriavajú viac na reakciu OneLogin na incident, nie na samotnú udalosť. Mám sklon spadať do druhej kategórie osobne a OneLogin komunikoval so svojou užívateľskou základňou počas celého procesu a spolupracuje s poskytovateľom cloudových služieb a dokonca s niektorými z ich zákazníkov s príslušnou odbornosťou, aby sprísnil svoje bezpečnostné kontroly a politiky zabrániť tejto situácii v budúcnosti.

Používanie mapovaní OneLogin by sa nemalo podceňovať. Ak je predajným miestom služieb SaaS a IDaaS efektívnosť, mapovania to jednoducho posunú na ďalšiu úroveň tým, že poskytujú možnosti automatizácie, ktoré nie sú v konkurencii k dispozícii. Ako už bolo povedané, trocha ma to odradilo závislosťou od mapovania a skutočnosťou, že OneLogin nesynchronizuje bezpečnostné skupiny, hoci to by mohlo byť prínosom pre veľké organizácie s tisíckami skupín. OneLogin však dobre zvláda ďalšie riešenia IDaaS v kľúčových oblastiach, ako je poskytovanie aplikácií SaaS, integrácia adresárov a ich portál SSO. Ale pre mňa opomenutie bezpečnostných skupín opúšťa OneLogin len plachý Okta Identity Management pre najvyššie IDaaS miesto v tomto kole.