Kazalo:
- Nastavitev in konfiguracija
- Integracija imenika in zagotavljanje uporabnikov
- Enkratna prijava in mobilne aplikacije
- Odlično poročanje
Video: OneLogin Connect 2020 Special Guest: Sarah Cooper! (Oktober 2024)
OneLogin ponuja bogato funkcijo storitve upravljanja identitete, ki ne bo zlomila banke. OneLogin ponuja štiri ravni cen med njihovo brezplačno različico in 8-krat na mesec na uporabnika Neomejeno. Storitev preveri vsa glavna polja funkcij za upravljanje identitete, vključno z več varnostnimi usmeritvami, mobilnimi aplikacijami za uporabniški portal in večfaktorno avtentikacijo (MFA) ter vse ključne mehanizme za preverjanje pristnosti. OneLogin ponuja celo nekaj presenečenj, ki jih med konkurenco ne boste našli. Toda, čeprav je na vrhu našega seznama, se funkcije OneLogina niso povsem ujemale z zmagovalci uredništva izbire urednika Okta Identity Management ali Microsoft Azure Active Directory (AD), odvisnost OneLogina od preslikav pa bo za nekatere nekoliko zmedena. Kljub temu pa OneLogin ostaja najboljši kandidat in lahko služi malim malim strankam za srednje velika podjetja (SMB).
Nastavitev in konfiguracija
Začeti z OneLoginom in ga povezati z obstoječo storitvijo imenikov je precej standardna zadeva. Ko se prvič prijavite na skrbniško konzolo OneLogin, vas čaka čarovnik za nastavitev, ki vas vodi do začetnih korakov, potrebnih za dokončanje konfiguracijskega postopka, vključno z ustvarjanjem poddomene, uvozom uporabnikov in dodajanjem aplikacij.
OneLogin podpira več vrst imenikov, med drugim Microsoft Active Directory (AD), Google G Suite, delovni dan in lahek protokol za dostop do imenika (LDAP) prek povezave SSL ali OneLogin. Povezava AD z OneLogin vključuje prenos in namestitev AD-priključka in izvedbo nekaj preprostih korakov konfiguracije (izbira storitvenega računa, konfiguracija številke vrat in izbira domene za sinhronizacijo). Tako kot agent Ping Identity PingOne PingFederate, se je tudi OneLogin odločil, da bo uporabil žeton, s katerim bo povezavo AD povezoval z OneLogin, namesto poverilnic računa. Ko je povezava vzpostavljena, lahko konfigurirate povezavo AD (zlasti izbiro organizacijskih enot ali skupin za sinhronizacijo). Za izravnavo obremenitve in odstopanje napak je mogoče namestiti več AD konektorjev, tako da lahko ohranite razpoložljivost, če ena ne uspe.
Tako kot več konkurentov tudi OneLogin napreduje k celostnemu pristopu k upravljanju korporativne identitete z integracijo z drugimi viri identitete, kot so sistemi upravljanja s človeškimi viri (HR), vključno z Workdayom, UltiPro in Namreč. Z naborom orodij OneLogin ne samo ustvarjate in upravljate identitete znotraj OneLogina in katere koli povezane programske opreme kot storitev (SaaS), ampak jih lahko potisnete navzdol v Active Directory, s čimer omejite dvojni vnos in izboljšate natančnost.
Integracija imenika in zagotavljanje uporabnikov
Drugi ključni vidik integracije imenika je izbira atributov, ki jih boste uvozili iz AD-ja, in njihovo konfiguriranje. OneLogin vam omogoča, da ustvarite polja po meri in določite, kateri atribut AD bo polil ta polja. Glede na vaše poslovne potrebe so ta polja lahko koristna pri konfiguriranju preslikav aplikacij ali varnostnih pravilnikov. Na primer, če je vaša organizacija razširila svojo shemo AD, tako da vključuje atribute po meri, ki vsebujejo podatke o strukturi vašega podjetja, bo OneLogin enostavno izkoristil te podatke.
Zavihek Napredno povezave AD v skrbniški konzoli OneLogin vam omogoča, da konfigurirate, ali so novi uporabniki samodejno ustvarjeni kot uporabniki OneLogin ali so preprosto uprizorjeni, kar zahteva osebni stik skrbnika pred ustvarjanjem uporabnika. Nastavitve zavihka Napredne nastavitve omogočajo tudi nastavitev, kako OneLogin upravlja z onemogočenimi ali izbrisanimi uporabniki v AD-ju.
Ključna razlika med OneLoginom in večino konkurence je, kako ravna s skupinami in nalogami aplikacij. Za začetek OneLogin ne sinhronizira varnostnih skupin iz AD-ja; raje s skupinami v OneLoginu neodvisno upravljamo. Skupine v OneLoginu se v glavnem uporabljajo za dodelitev varnostnih pravil uporabnikom, ki jih vsebujejo, medtem ko se vloge uporabljajo za dodeljevanje aplikacij. Uporabnike lahko OneLogin skupinam dodelimo ročno ali z uporabo Mappings, orodja za avtomatizacijo, ki uporablja pogoje in dejanja za upravljanje uporabnikov (dodeljevanje skupinam ali vlogam in celo spreminjanje njihovega statusa ali spreminjanje atributov med letenjem). Preslikave so glavna značilnost OneLogina, saj dodajajo fleksibilnost in dodatno zapletenost ravnanja z varnostnimi politikami in dodelitvami aplikacij. Čeprav mi je všeč koncept in fleksibilnost, ki jo zagotavlja, mislim, da stvari gotovo zmede. Zelo rad bi videl kombinacijo skupinske sinhronizacije in zmožnosti dinamičnega dodeljevanja politik ali aplikacij z uporabo podobnih preslikav.
Ko konfigurirate nekaj preslikav za dodelitev uporabnikom vlogam, lahko začnete postopek konfiguriranja dostopa za enoten prijavo (SSO) do aplikacij SaaS in dodeljevanja teh aplikacij vlogam. OneLogin ponuja katalog aplikacij, podoben drugim orodjem IDaaS, in katalog določa, kakšne metode preverjanja pristnosti so na voljo za vsako aplikacijo. Ena izmed prijetnih lastnosti, ki jih OneLogin ponuja za združljive SaaS aplikacije, je delno samodejna konfiguracija obeh strani povezave z jezikom za varnostni zapis (SAML). Google G Suite, na primer, podpira samodejno konfiguracijo po izmenjavi žeton OAuth. OneLogin tudi podpira zagotavljanje uporabnikov SaaS, vendar je tako kot pri vsaki rešitvi IDaaS to odvisno od aplikacije SaaS, ki ponuja aplikacijski programski vmesnik (API) za izvajanje funkcij zagotavljanja. Številne ključne aplikacije SaaS podpirajo zagotavljanje uporabnikov, kot so Google G Suite, Microsoft Office 365, Dropbox in potencialno številni drugi, zaradi česar je avtomatizirano zagotavljanje nujna funkcija v IDaaS rešitvi.
Ena napredna funkcija OneLogin ponudbe vključuje aplikacije SaaS, ki ne nudijo SAML podpore. S pomočjo priključka po meri vam OneLogin omogoča, da določite URL-je in elemente obrazca, ki so vključeni v postopek prijave za aplikacijo, ki ni na voljo v katalogu OneLogin. Priključki po meri vam omogočajo, da izberete obrazec in elemente obrazca z uporabo oznak HTML, na primer dejanja obrazca ali imena in ID-ja gumba, vrste, imena ali vrednosti. Skrbniki lahko dodajo tudi priključke po meri z razširitvijo brskalnika OneLogin, kar bo poenostavilo postopek zajemanja označevalcev elementov obrazca in omogočilo konektor po meri. To pomeni, da OneLogin ponuja že pripravljen način za povezovanje z malo znanimi ali celo lastnimi aplikacijami po meri takoj.
Druga značilnost, ki OneLogin loči, je njegova sposobnost podpiranja več strani s samoregistracijo. Uporabniki, ki zahtevajo račune na teh straneh, so privzeto shranjeni samo v OneLogin. Te strani za registracijo se lahko uporabljajo za vpis uporabnikov, ki niso del vašega AD-okolja, vendar potrebujejo določen nivo dostopa do nekaterih poslovnih aplikacij. Primeri uporabe teh funkcij vključujejo študente, stažiste ali prostovoljce. Med konfiguracijo strani za samoregistracijo lahko določite, ali je treba pred popolnim varovanjem računa sprejeti administrativne ukrepe, pa tudi privzeto vlogo in skupino za nove uporabnike.
Enkratna prijava in mobilne aplikacije
Skrbniki lahko na uporabniškem portalu OneLogin naredijo precej veliko prilagoditev, vključno z barvnimi spremembami, grafiko in vsebino pomoči po meri. Uporabniki lahko svojo izkušnjo na portalu tudi prilagodijo tako, da določijo, kako se zaženejo aplikacije (v novem oknu ali istem) in ali je treba uporabiti pogled z zavihki. Uporabniki lahko tudi shranijo varne opombe na svojem uporabniškem portalu in povežejo napravo za preverjanje pristnosti za uporabo z večfaktorno avtentikacijo (MFA). OneLogin ima dve mobilni aplikaciji: OneLogin Launcher, ki je mobilna različica uporabniškega portala, in OneLogin OTP, ki je večfaktorna možnost, ki uporablja enkratna gesla. OneLogin OTP lahko združite z vašim računom OneLogin, tako da vnesete ID poverilnice, ki identificira posamezno napravo in zaporedna enkratna gesla, ki jih ustvari aplikacija.
OneLogin podpira dve vrsti varnostnih politik: uporabniške in aplikacijske politike. Pravilnike o aplikacijah lahko uporabite za zahtevo enkratnega preverjanja gesla (OTP) ali uveljavite omejitve naslova IP za posamezne aplikacije, kar vam omogoča selektivno uporabo pravilnikov, ki temeljijo na omrežni lokaciji uporabnika (na primer v omrežju podjetja ali zunaj njega). Varnostne politike, ki se uporabljajo za uporabnike, je mogoče uporabiti za uveljavljanje zapletenosti gesla in posodabljanja zmogljivosti ter informacij o sejah (vključno z vedenjem zaklepanja in časovnimi omejitvami sej). Varnostne politike se lahko uporabljajo tudi za uveljavljanje večfaktorskih zahtev in omejitev naslova IP.
Uporabniške politike lahko uporabite za omogočanje družabne prijave, ki uporabnikom omogoča avtentikacijo v vaše okolje OneLogin z uporabo vseh obstoječih poverilnic, ki bi jih lahko imeli v Googlu, Facebooku, LinkedIn ali Twitterju. Te poverilnice lahko uporabite tudi za to, da poslovnim partnerjem ali strankam omogočite dostop do vaših orodij SaaS ali internih podjetniških aplikacij.
Prilagodljiva avtentikacija OneLogina je rešitev, ki temelji na strojnem učenju in je enaka zmogljivostim, ki jih ponujata Microsoft Azure AD in Centrify. Zasnovan je za izboljšanje varnosti z dodeljevanjem vrednosti tveganja določenim aplikacijam ali virom in nato priporoči dodatne korake, kot je MFA, če ocena tveganja za vir kaže, da je potrebna povečana varnost.
Odlično poročanje
Še en vrhunec storitve je poročevalnik, ki ga ponuja OneLogin. Na voljo je več poročil v pločevinkah in lahko klonirate katero koli poročilo in ga prilagodite svojim potrebam. Prav tako lahko iz nič ustvarite nova poročila in dodate želena polja in filtre. Poročila lahko celo konfigurirate tako, da jih razvrstite v stolpec. Na žalost ni mogoče, da bi načrtovali poročila, vendar lahko kateri koli iz niza rezultatov izvozite v datoteko CSV za nadaljnjo analizo. Možnost kloniranja in prilagajanja poročil je redkost v prostoru IDaaS, kar ne ponujajo niti druge vrhunske rešitve, kot sta Okta Identity Management ali Azure AD.
OneLogin podpira rešitve za upravljanje varnostnih dogodkov (SEIM), kot sta Splunk ali Sumo Logic, prek televizijskih programov. Te so konfigurirane za pošiljanje uporabnih obremenitev JavaScript Object Notation (JSON) na URL, ki so nato konfigurirani za porabo podatkov. Poleg tega lahko konfigurirate e-poštna obvestila s pogonskim mehanizmom, ki ga je OneLogin zelo enostavno nastavil.
Struktura cen OneLogina je enaka kot na večini trga, vendar OneLogin ponuja brezplačen nivo, ki uporabnike omejuje na tri korporativne aplikacije, pet osebnih aplikacij in ne ponuja MFA. 2-mesečni začetni nivo dodaja MFA in lahko upravlja SSO za neomejeno število SaaS-ovih aplikacij. Začetna stopnja ponuja tudi možnost ponastavitve gesla tako za OneLogin kot gesla za imenik. Podjetja, ki iščejo večjo varnost, bodo morala povišati 4 USD na uporabnika na mesec za raven storitve Enterprise, ki ponuja varnostne politike in bo podprla tudi sinhronizacijo iz več imenikov. Za samodejno zagotavljanje uporabnikov v SaaS aplikacijah in v prilagodljivih poljih je potrebna neomejena stopnja najvišje ravni 8 USD na uporabnika na mesec.
Poleg osnovnih stopenj cen OneLogin ponuja še nekaj dodatkov. Navidezni LDAP (2 USD na uporabnika na mesec) omogoča, da vaš OneLogin imenik deluje kot standardni imenik LDAP. Zaradi tega je dostopna številnim aplikacijam in storitvam, ki so se odločile uporabiti dolgoletni standard LDAP. Značilnosti prilagodljive avtentikacije, ki nudijo strojno učenje in nadzor nad preverjanjem pristnosti na podlagi tveganja, so tudi dodatni stroški, ki prihajajo v višini dodatnih 3 USD na uporabnika na mesec.
Omenja, da je OneLogin pred kratkim doživel pomemben varnostni incident. Čeprav je varnost izrednega pomena za orodje, ki se uporablja za povečanje vaše korporativne varnosti, je težko presoditi, kakšen vpliv je tovrstna kršitev. Mnoge korporacije se bodo OneLoginu verjetno izognile zaradi zadnjih rezultatov, medtem ko se bodo druge bolj osredotočile na reakcijo OneLogina na incident, ne pa na sam dogodek. Osebno ponavadi sodim v slednjo kategorijo in OneLogin je ves postopek komuniciral s svojo uporabniško bazo in sodeluje z njihovim ponudnikom storitev v oblaku in celo z nekaterimi strankami z ustreznim strokovnim znanjem, da bi poostril nadzor nad varnostjo in politike prepreči, da bi se ta situacija v prihodnosti pojavila.
Uporaba preslikav OneLogina ne gre podcenjevati. Če je prodajno mesto SaaS in IDaaS učinkovitost, potem preslikave to dvignejo na naslednjo raven, tako da zagotovijo zmogljivosti za avtomatizacijo, ki niso na voljo v konkurenci. Ob tem me nekoliko odloži njegova odvisnost od preslikav in dejstvo, da OneLogin ne sinhronizira varnostnih skupin, čeprav bi to lahko koristilo velikim organizacijam s tisoči skupin. Vendar pa OneLogin dobro napreduje z drugimi rešitvami IDaaS na ključnih področjih, kot so ponudba aplikacij SaaS, integracija imenikov in njihov portal SSO. Ampak, kar zadeva mene, izpustitev varnostnih skupin OneLogin samo prestraši Okta Identity Management za najboljši IDaaS v tem okrožju.