Kazalo:
- Nastavitev in konfiguracija
- Integracija imenika
- Zagotavljanje uporabnikov
- Vrste preverjanja pristnosti
- Enkratna prijava
- Cene in pristojbine
Video: PingOne for Enterprise and PingID (Oktober 2024)
Identiteta Ping PingOne je trden izvajalec v prostoru IDaaS za upravljanje identitete. Ponuja več možnosti za avtentifikacijo obstoječega okolja Active Directory (AD), pa tudi podporo za Google Apps ali druge imenike drugih proizvajalcev. Kjer Ping Identity PingOne ne dosega konkurence (vključno z zmagovalci uredništva izbire Microsoft Azure Active Directory in Okta Identity Management je na področjih, kot so politike preverjanja pristnosti in poročanje. V teh kategorijah identiteta PingOne preprosto ne ponuja enake ravni sofisticiranost kot konkurenca. Vendar pa bo cena PingOne identitete PingOne letno s ceno 28 dolarjev na uporabnika konkurenčna ostalim preostalim rešitvam IDaas, nekaterim pa bo privlačna tudi njegova osredotočenost na ne shranjevanje podatkov v oblaku.
Nastavitev in konfiguracija
Začetna namestitev in konfiguracija Ping Identity PingOne je dvostopenjski postopek. Najprej morate za upravljanje storitve ustvariti svoj račun Ping Identity PingOne skupaj s skrbniškim uporabnikom. Drugič, Ping Identity PingOne mora biti povezan z vašim podjetniškim imenikom, da izvede overjanje glede na obstoječo identitetno storitev. Ping Identity ponuja dve možnosti za povezavo obstoječega AD-ja: ADConnect (ki ga ne bomo zamenjali z Microsoftovim Azure AD Connect) in PingFederate. ADConnect je enostavna namestitev in zahteva zelo malo konfiguracije na strani imenika. Vendar je omejena na eno domeno AD, kar pomeni, da se bo večina večjih organizacij morala odločiti za PingFederate.
Na srečo je namestitev PingFederateja enostavna, čeprav je predpogoj Java Server Edition. Imam en očitek, da pripomoček za nastavitev PingFederate preprosto navaja, da mora spremenljivka okolja JAVA_HOME kazati na veljaven čas izvajanja Java, pri čemer ni treba omeniti zahteve za izdajo strežnika. Medtem ko Ping Identity PingOne jasno navaja potrebo po zahtevi po Javi, bi v najboljšem primeru raje pripomoček za nastavitev vključil vso predpogojno programsko opremo - ali bi vsaj ponudil jasno pot do prenosa tistega, kar je potrebno pred ali med namestitvijo. Kakor že stoji, boste morali Java, preden začnete premikati na PingFederate, poiskati, prenesti in namestiti sam.
Ko je PingFederate nameščen, zažene spletno konzolo za upravljanje. Konzola ponuja čarovnika "Poveži se z repozitorij identitete", ki ga morate uporabiti za ustvarjanje aktivacijskega ključa, ki ga morate nato vnesti v PingFederate. Ko vnesete aktivacijski ključ, imejte pri roki nekaj osnovnih informacij o vašem AD Active okolja, vključno s stvarmi, kot so različna imena za račun storitve in uporabniški vsebnik. Ko to storite, bi morali imenik povezati s Ping Identity PingOne.
Želel bi si, da bi v postopku povezave imenika videli nekaj grafičnih elementov, ki prikazujejo drevo imenikov, kar vam omogoča, da izberete, katere posode sinhronizirate ali celo omogočite iskanje in brskanje po uporabniških objektih. Identiteta Ping PingOne bi se moral zavedati, da vsi ne razumejo, kakšno odlikovano ime je veliko manj pravilno skladenje.
Integracija imenika
Identiteta Ping PingOne se lahko integrira z domenami AD z uporabo imenika AD Connect, PingFederate, Google G Suite ali imenika označevalnega jezika za varnostne izjave drugega proizvajalca (SAML). Medtem ko večina najboljših prodajalcev v prostoru IDaaS, vključno z upravljanjem identitete Okta in OneLogin, shranjuje uporabnike in podmnožico njihovih razpoložljivih atributov, Ping Identity PingOne ne shranjuje kopij vaše korporativne identitete. Namesto tega se poveže s ponudnikom identitete na zahtevo z uporabo enega od priloženih konektorjev. Zaradi te temeljne arhitekturne razlike bo večina IT strokovnjakov poudarila, da je za pravilno izvajanje PingFederate ključnega pomena, da prepreči eno samo napako, ker strežnik PingFederate ne deluje.
Če smo tukaj pošteni, pa je resničnost, da večina konkurence vseeno zahteva, da vzdržujete povezavo z imenikom. Razlika je le v tem, da večina ponudnikov to preprosto potrebuje za preverjanje pristnosti, ne pa za celoten nabor uporabniških lastnosti. Zdi se mi, da je to razlikovanje v arhitekturi preveč, vendar med korporacijami obstaja upravičeno oklevanje glede ohranjanja zasebnosti med premikanjem v oblak. Mogoče je PingIdentity našel dobro ravnovesje med izogibanjem oblaku in skokom brez pomisleka.
Nekaj večjih prednosti uporabe PingFederate ob Ping Identity PingOne poleg povečanega nadzora nad izpostavljenostjo vaše identitete. Prva je zmožnost vključevanja z dodatnimi vrstami imenikov, vključno z lažjimi imeniki LDAP. Tesno povezana s funkcionalnostjo, ki temelji na standardih, je sposobnost, da se PingFederate poveže z več viri identitete in jih združi. Identiteta Ping PingOne ne ponuja te sposobnosti na ravni oblaka, zato je PingFederate najboljša stava za združitev identitet iz več virov.
PingFederate ponuja veliko možnosti konfiguracije, vključno z možnostjo določitve, kateri identitetni atributi so izpostavljeni Ping Identity PingOne. Ker bodo uporabniški atributi, kot so e-poštni naslovi in imena, verjetno uporabljeni za samostojno prijavo (SSO) v aplikacije Software-as-a-Service (SaaS), so ti atributi lahko ključni za vašo implementacijo. Izbira atributov za sinhronizacijo uporablja nekoliko bolj grafično orodje kot konfiguracija sinhronizacije imenika, vendar je zakopana precej globoko v skrbniški konzoli PingFederate.
Zagotavljanje uporabnikov
Medtem ko identiteta Ping PingOne ne hrani uporabniških imen ali njihovih atributov, vseeno ohranja seznam skupin, sinhroniziranih iz vašega imenika. Tem skupinam je mogoče dodeliti aplikacije, ki ste jih konfigurirali za SSO. Uporabniki, ki so člani teh skupin, bodo nato dobili dostop do teh aplikacij v dok.
V večini primerov bo treba uporabniške račune v aplikacijah SaaS ročno določiti. Omejena podskupina razpoložljivih aplikacij SaaS (vključno z Concur in DropBox) podpira avtomatizirano zagotavljanje uporabnikov, čeprav je to večinoma v aplikacijah SaaS izpostavljeno potrebnim vmesnikom za programiranje aplikacij (API-ji). Pravzaprav aplikacija Microsoft Office 365 SSO, navedena kot "SAML with Provisioning", tega ne počne. Namesto tega zahteva namestitev Microsoftovih orodij za sinhronizacijo imenikov, kar pomeni, da vidiki določitve te posebne aplikacije Ping sploh ne obravnavajo.
Zagotavljanje konfiguracije v identiteti Ping PingOne je v primerjavi z upravljanjem identitete Okta in OneLogin okorno. Skrbim za dve področji, kako so določene nekatere aplikacije SaaS in kako skrbniki omogočajo zagotavljanje. Če želite konfigurirati ponudbo s programom Google G Suite, morate izbrati aplikacijo Google Gmail, ki je precej nejasna. Zagotavljanje je omogočeno prek čarovnika za konfiguracijo aplikacije, vendar morate potrditi polje na dnu enega od zaslonov, da vidite možnosti za zagotavljanje uporabnikov. Zagotavljanje je ena izmed nekaj nujnih funkcij za pakete IDaaS, omejena podpora za zagotavljanje identitete Ping Identity PingOne ponuja le pol koraka, da je sploh ne podpira.
Vrste preverjanja pristnosti
Identiteta Ping PingOne ponuja močno avtentikacijo aplikacij, ki podpirajo standard SAML, in možnost prijave v druge aplikacije SaaS s pomočjo shranjenih poverilnic (podobno kot trezor gesla). V katalogu aplikacij je jasno navedeno, katero vrsto overjanja podpira vsaka aplikacija. V resnici nekatere aplikacije podpirajo obe vrsti preverjanja pristnosti (v tem primeru je SAML priporočen način). Povezava z aplikacijo, ki podpira preverjanje pristnosti SAML, mora biti ponavadi konfigurirana na obeh straneh povezave, kar pomeni, da mora imeti aplikacija SaaS omogočeno podporo SAML in opraviti nekaj osnovne konfiguracije. Identiteta Ping V katalogu aplikacij PingOne so informacije o nastavitvah za vsako aplikacijo SAML, zaradi česar je konfiguracija te povezave dokaj enostavna.
Identiteta Ping PingOne podpira povečano moč preverjanja pristnosti v obliki MFA. MFA se lahko uporabi za določene aplikacije in skupine uporabnikov (ali obsege naslovov IP) z uporabo pravilnika za preverjanje pristnosti. Vendar pa Ping Identity PingOne ponuja le eno samo politiko preverjanja pristnosti in nima možnosti filtriranja tako po skupini kot po naslovu IP. Zaradi tega Ping Identity PingOne zaostaja za konkurenco, kot sta Okta Identity Management ali Azure AD, ki vam vsaj omogočata konfiguriranje pravilnikov za preverjanje pristnosti na podlagi aplikacije.
Identiteta Ping Uvedba MFA v PingOne uporablja PingID, aplikacijo za pametne telefone, ki izvede dodatni postopek preverjanja pristnosti bodisi s postopkom potrditve bodisi z enkratnim geslom. Uporabniki lahko prejmejo tudi enkratna gesla prek SMS ali govornih sporočil ali z varnostno napravo YubiKey USB. Čeprav je to uporabno na zelo osnovni ravni, mora Ping Identity PingOne resnično okrepiti svojo igro, če želijo z vidika MFA jemati resno. Tudi LastPass Enterprise jih zanesljivo premaga glede zmogljivosti MFA.
Enkratna prijava
SSO je drugo področje, na katerega izbira arhitekture PingFederate vpliva. Med postopkom preverjanja pristnosti SSO se uporabniki prijavijo na svojo priklopno enoto Ping Identity PingOne, ki jih preusmeri na storitev PingFederate, ki je gostila njihovo korporacijsko omrežje. Za uporabnike v notranjem podjetniškem omrežju to verjetno ni težava, vendar bo potrebna dodatna konfiguracija požarnega zidu (vrata 443) za uporabnike, ki iščejo zunaj.
Uporabniška usmerjena plošča SSO, priklopna enota Ping Identity PingOne, se je od našega zadnjega obiska nekoliko izboljšala. Neposredni seznam SaaS-jevih programov je nadomeščen z mrežo ikon, do katerih je mogoče krmariti tudi z letečim menijem. Skrbniki lahko omogočijo osebni del dok, kjer lahko uporabniki dodajo svoje račune SaaS. Identiteta Ping Razširitve brskalnikov PingOne izboljšujejo izkušnjo dok, omogočajo SSO dostop do aplikacij, ne da bi se morali vrniti na dok.
Nadzorna plošča Ping Identity PingOne ima nekaj poročil v pločevinkah, ki prikazujejo statistiko prijave, vključno s globalnim zemljevidom, od kod izvirajo te avtentikacije. Funkcija poročanja zajema osnove, potrebne za začetek pridobivanja informacij o avtentikacijah uporabnikov, ki se obdelujejo prek Ping Identity PingOne, vendar ne omogoča globljih analiz ali odpravljanja napak.
Cene in pristojbine
Ping identiteta PingOne stane 28 dolarjev na uporabnika vsako leto, MFA pa stane dodatnih 24 dolarjev letno. Popusti za količino in sveženj so na voljo pri PingIdentity. Za izdelek z očitnimi pomanjkljivostmi v primerjavi z Azure AD, Okta Identity Management in OneLogin je cena Ping Identity PingOne konkurenčna, vendar ne dovolj, da bi zagotovila veliko spodbudo, da jo izberejo pred konkurenco.
Na splošno je Ping Identity PingOne sprejel nekaj arhitekturnih odločitev, ki so bistveno drugačne od konkurence, nekatere pa bodo cenile organizacije z varnostjo ali zasebnostjo. Na žalost arhitektura ne prinaša dovolj koristi za premagovanje nekaterih področij, na katerih Ping Identity PingOne primanjkuje - zlasti omejitev varnostnih politik, poročanja o brezpotjih in najbolj kritičnega zagotavljanja uporabnikov. Če vam zasebnost ne najbolj skrbi in vam Ping Identity PingOne pomaga očistiti to oviro, je ne moremo priporočiti prek Azure AD, Okta Identity Management ali OneLogin. Če pa ste v panogi, ki je še posebej občutljiva za varnost podatkov v oblaku, bo PingOne identiteta morda sprejemljiva možnost za vas.