Pingone hodnotenie a hodnotenie

Ping Identity PingOne je solídny umelec v priestore Identity-Management-as-a-Service (IDaaS). Ponúka viacero možností na overenie totožnosti proti existujúcemu prostrediu Active Directory (AD), ako aj podporu pre Google Apps alebo iné adresáre tretích strán. Tam, kde Ping Identity PingOne zaostáva za konkurenciou (vrátane výhercov Editors 'Choice, Microsoft Azure Active Directory a Okta Identity Management je v oblastiach, ako sú autentizačné politiky a reporting, v týchto kategóriách Ping Identity PingOne jednoducho neponúka rovnakú úroveň sofistikovanosti ako konkurencia. Cena Ping Identity PingOne je však za cenu 28 dolárov na používateľa ročne konkurencieschopná so zvyškom oblasti riešení IDaas. Aj jej zameranie na neukladanie údajov v cloude bude pre niektorých atraktívne.

Nastavenie a konfigurácia

Počiatočné nastavenie a konfigurácia Ping Identity PingOne je dvojkrokový proces. Najprv musí byť váš účet Ping Identity PingOne vytvorený spolu s administratívnym používateľom na správu služby. Po druhé, Ping Identity PingOne musí byť pripojený k vášmu firemnému adresáru, aby sa vykonalo overenie proti vašej existujúcej službe identity. Ping Identity ponúka dve možnosti na pripojenie existujúceho AD prostredia: ADConnect (nezamieňať s Azure AD Connect od Microsoftu) a PingFederate. ADConnect je priama inštalácia a vyžaduje len veľmi malú konfiguráciu na strane adresára. Je však obmedzená na jednu doménu AD, čo znamená, že väčšina väčších organizácií sa bude musieť rozhodnúť pre PingFederate.

Našťastie je inštalácia programu PingFederate tiež jednoduchá, hoci predpokladom je vydanie Java Server Edition. Jednou sťažnosťou je, že inštalačný program PingFederate jednoducho uvádza, že premenná prostredia JAVA_HOME musí ukazovať na platné runtime Java, bez zmienky o požiadavke na vydanie servera. Aj keď Ping Identity PingOne jasne vysvetľuje potrebu požiadavky Java, v ideálnom prípade by som radšej uprednostnil inštalačný program, ktorý obsahuje všetok nevyhnutný softvér - alebo aspoň ponúkam jasnú cestu na stiahnutie toho, čo je potrebné pred alebo počas inštalácie. Predtým, ako prejdete na stránku PingFederate, si však musíte nájsť, stiahnuť a nainštalovať Javu sami.

Po inštalácii programu PingFederate sa spustí webová administračná konzola. Konzola ponúka sprievodcu „Connect to a Identity Repository“, ktorý musíte použiť na vytvorenie aktivačného kľúča, ktorý potom musíte zadať do PingFederate. Po zadaní aktivačného kľúča majte po ruke niekoľko základných informácií o vašom prostredí AD Active vrátane vecí, ako sú napríklad rozlišovacie názvy pre účet služby a kontajner používateľa. Po dokončení by mal byť váš adresár pripojený k službe Ping Identity PingOne.

Bol by som rád, keby som videl niektoré grafické prvky v procese pripojenia adresárov zobrazujúce strom adresárov, čo vám umožní vybrať, ktoré kontajnery sa majú synchronizovať, alebo dokonca nechať prehľadávať a prezerať objekty používateľov. Identita Ping PingOne by si mala uvedomiť, že nie každý chápe, čo rozlišujúce meno je oveľa menej jeho vlastná syntax.

Integrácia adresárov

Ping Identity PingOne sa môže integrovať do domén AD pomocou adresárov AD Connect, PingFederate, Google G Suite alebo adresára jazyka zabezpečovacieho výrazu tretej strany (SAML). Zatiaľ čo väčšina popredných dodávateľov v priestore IDaaS vrátane Okta Identity Management a OneLogin ukladá používateľov a podmnožinu ich dostupných atribútov, Ping Identity PingOne neuchováva kópie vašej firemnej identity. Namiesto toho sa pripojí k poskytovateľovi identity na požiadanie pomocou jedného z poskytnutých konektorov. Z dôvodu tohto zásadného rozdielu v architektúre väčšina IT profesionálov poukáže na to, že je nevyhnutné správne implementovať PingFederate, aby sa predišlo jedinému bodu zlyhania kvôli serveru offline PingFederate.

Aby sme tu boli spravodliví, realita je taká, že väčšina konkurencie si napriek tomu vyžaduje udržiavanie adresárového pripojenia. Jediný rozdiel je v tom, že väčšina poskytovateľov to jednoducho potrebuje na autentifikáciu, nie na celú skupinu užívateľských atribútov. Táto diferenciácia architektúry je pre mňa nadbytočná, ale medzi spoločnosťami existuje legitímne váhanie týkajúce sa zachovania súkromia pri prechode na cloud. Možno, že PingIdentity našla dobrú rovnováhu medzi úplným vyhýbaním sa mrakom a skokom bez druhého myslenia.

Existuje niekoľko veľkých výhod použitia PingFederate spolu s Ping Identity PingOne okrem zvýšenej kontroly nad tým, ako sú vaše identity vystavené. Prvou je možnosť integrácie s ďalšími typmi adresárov vrátane adresárov Lightweight Directory Access Protocol (LDAP). S funkciou založenou na štandardoch úzko súvisí schopnosť PingFederate prepojiť sa s viacerými zdrojmi identity a agregovať ich dohromady. Ping Identity PingOne neponúka túto schopnosť na cloudovej úrovni, takže PingFederate je vaša najlepšia stávka na zlúčenie identít z viacerých zdrojov.

PingFederate ponúka množstvo konfiguračných možností, vrátane možnosti určiť, ktoré atribúty identity sú vystavené Ping Identity PingOne. Keďže atribúty používateľa, ako sú e-mailové adresy a mená, sa pravdepodobne budú používať pre aplikácie jednotného prihlásenia (SSO) k aplikáciám Software-as-a-Service (SaaS), tieto atribúty môžu byť pre vašu implementáciu kľúčové. Výber atribútov, ktoré sa majú synchronizovať, používa o niečo viac grafického nástroja ako konfigurácia synchronizácie adresárov, ale je umiestnený pomerne hlboko v administračnej konzole PingFederate.

Poskytovanie používateľov

Zatiaľ čo Ping Identity PingOne neukladá užívateľské mená ani ich atribúty, zachováva zoznam skupín synchronizovaných z vášho adresára. Týmto skupinám môžu byť priradené aplikácie, ktoré ste nakonfigurovali pre SSO. Používatelia, ktorí majú členstvo v týchto skupinách, potom získajú prístup k týmto aplikáciám v doku.

Vo väčšine prípadov bude potrebné zadať používateľské účty v aplikáciách SaaS ručne. Obmedzená podmnožina dostupných aplikácií SaaS (vrátane Concur a DropBox) podporuje automatické zabezpečovanie používateľov, hoci to je do značnej miery aplikácií SaaS na odhalenie nevyhnutných rozhraní pre programovanie aplikácií (API). Aplikácia SSO Microsoft Office 365 uvedená v zozname ako „SAML with Provisioning“ v skutočnosti nič také neurobí. Namiesto toho si vyžaduje nainštalovanie nástrojov na synchronizáciu adresárov spoločnosti Microsoft, čo znamená, že aspekty poskytovania tejto konkrétnej aplikácie spoločnosť Ping vôbec nerieši.

Poskytovanie konfigurácie v Ping Identity PingOne je ťažkopádne v porovnaní s Okta Identity Management a OneLogin. Dvomi oblasťami, v ktorých mám obavy, sú spôsob identifikácie niektorých aplikácií SaaS a spôsob, akým správcovia umožňujú poskytovanie prostriedkov. Konfigurácia poskytovania služieb pomocou balíka Google G Suite vyžaduje, aby ste si vybrali aplikáciu Google Gmail, ktorá je dosť mätúca. Poskytovanie je povolené prostredníctvom sprievodcu konfiguráciou aplikácie, ale vyžaduje, aby ste začiarkli políčko v dolnej časti jednej z obrazoviek, aby ste videli možnosti poskytovania používateľov. Poskytovanie služieb je jednou z mála nevyhnutných funkcií pre sady IDaaS a obmedzená podpora poskytovania služieb Ping Identity, ktorú ponúka služba PingOne, je len o krok vzdialená od toho, aby ste ju vôbec nepodporovali.

Typy autentifikácie

Ping Identity PingOne ponúka silnú autentifikáciu pre aplikácie podporujúce štandard SAML, ako aj možnosť prihlásiť sa do iných aplikácií SaaS pomocou uložených poverení (podobne ako úschovňa hesiel). Katalóg aplikácií jasne uvádza, aký typ overovania podporuje každá aplikácia. Niektoré aplikácie v skutočnosti podporujú oba typy overovania (v takom prípade je odporúčaná metóda SAML). Pripojenie k aplikácii podporujúcej autentizáciu SAML musí byť spravidla nakonfigurované na oboch stranách spojenia, čo znamená, že v aplikácii SaaS musí byť povolená podpora SAML a musí sa vykonať nejaká základná konfigurácia. Ping Identity Katalóg aplikácií PingOne obsahuje informácie o nastavení pre každú aplikáciu SAML, vďaka čomu je konfigurácia tohto odkazu pomerne jednoduchá.

Ping Identity PingOne podporuje zvýšenie sily autentifikácie vo forme MFA. MFA je možné aplikovať na konkrétne aplikácie a skupiny používateľov (alebo rozsahy adries IP) pomocou politiky overovania. Ping Identity PingOne však ponúka iba jednu autentifikačnú politiku a chýba jej schopnosť filtrovať podľa skupín aj IP adries. Vďaka tomu Ping Identity PingOne zaostáva za konkurenciou, ako je napríklad Okta Identity Management alebo Azure AD. Obidva tieto možnosti vám umožňujú aspoň nakonfigurovať zásady autentifikácie pre jednotlivé aplikácie.

Identifikácia Ping Identifikácia PingOne pri implementácii MFA využíva aplikáciu PingID, aplikáciu pre smartfóny, ktorá vykonáva ďalší krok autentifikácie prostredníctvom procesu potvrdenia alebo jednorazového hesla. Používatelia môžu tiež prijímať jednorazové heslá prostredníctvom SMS alebo hlasových správ alebo pomocou bezpečnostného zariadenia USB YubiKey. Aj keď je to použiteľné na veľmi základnej úrovni, Ping Identity PingOne skutočne potrebuje zintenzívniť svoju hru, ak chce byť braná vážne z hľadiska MFA. Dokonca aj program LastPass Enterprise ich spoľahlivo prekonáva, pokiaľ ide o možnosti MFA.

Jednotné prihlásenie

SSO je ďalšou oblasťou, v ktorej majú výber architektúry PingFederate vplyv. Počas procesu autentifikácie SSO sa používatelia prihlásia do svojho doku Ping Identity PingOne, ktorý ich presmeruje na službu PingFederate hostovanú v ich podnikovej sieti. Pre používateľov v internej podnikovej sieti je to pravdepodobne problém, ale bude to vyžadovať ďalšiu konfiguráciu brány firewall (port 443), aby sa používatelia zvonku, ktorí sa na ne pozerajú.

Prístrojová doska SSO zameraná na používateľa, dokovacia stanica Ping Identity PingOne, sa od našej poslednej návštevy o niečo zlepšila. Priamy zoznam aplikácií SaaS bol nahradený mriežkou ikon, ktorú je možné navigovať aj pomocou rozbaľovacej ponuky na ľavej strane. Správcovia môžu povoliť osobnú časť doku, kde používatelia môžu pridať svoje vlastné účty SaaS. Rozšírenia prehliadača Ping Identity Rozšírenia prehliadača PingOne vylepšujú zážitok z doku a poskytujú prístup k aplikáciám SSO bez potreby návratu do doku.

Informačný panel Ping Identity PingOne obsahuje niekoľko konzervovaných správ, ktoré zobrazujú štatistiku prihlásenia vrátane globálnej mapy ukazujúcej, odkiaľ tieto autentifikácie pochádzajú. Funkcie reportovania pokrývajú základy potrebné na to, aby ste mohli začať získavať informácie o autentifikáciách používateľov spracovávaných prostredníctvom Ping Identity PingOne, neumožňuje však žiadne hĺbkové analýzy ani údaje na riešenie problémov.

Ceny a poplatky

Ping Identity PingOne stojí každý rok 28 dolárov na používateľa a MFA stojí ďalších 24 dolárov ročne. Množstevné a zväzkové zľavy sú k dispozícii od PingIdentity. V prípade produktu so zreteľnými slabými stránkami v porovnaní s produktmi Azure AD, Okta Identity Management a OneLogin je cena produktu Ping Identity PingOne konkurencieschopná, ale nestačí na to, aby poskytla veľkú motiváciu na jej výber pred konkurenciou.

Ping Identity PingOne celkovo urobil niekoľko rozhodnutí týkajúcich sa architektúry, ktoré sa zásadne líšia od konkurencie, a niektoré z nich ocenia organizácie, ktoré sa zaoberajú bezpečnosťou alebo ochranou súkromia. Architektúra nanešťastie neposkytuje dostatok výhod na prekonanie niektorých oblastí, v ktorých Ping Identity PingOne zaostáva - najmä obmedzenia v bezpečnostných politikách, hlásení barebone a najkritickejšie zabezpečenie používateľov. Pokiaľ nie je vaše súkromie najväčšou starosťou a Ping Identity PingOne vám pomôže vyjasniť túto prekážku, nemôžeme ju odporučiť v prípade Azure AD, Okta Identity Management alebo OneLogin. Ak ste však v odvetví, ktoré je zvlášť citlivé na bezpečnosť údajov v cloude, môže byť pre vás Ping Identity PingOne prijateľnou možnosťou.