Огляд та рейтинг Onelogin

OneLogin пропонує багатофункціональну послугу управління ідентифікацією, яка не порушить банк. OneLogin пропонує чотири рівні ціноутворення між їх безкоштовною версією та своїм необмеженим рівнем $ 8 на кожного користувача на місяць. Служба перевіряє всі основні вікна функцій управління ідентичністю, включаючи безліч політик безпеки, мобільних додатків для порталу користувачів та багатофакторної аутентифікації (MFA), а також усі ключові механізми аутентифікації. OneLogin навіть пропонує пару сюрпризів, яких ви не знайдете серед конкуренції. Але, хоча він знаходиться у верхній частині нашого списку, функції OneLogin не зовсім збігаються з переможцями вибору редакторів Okta Identity Management або Microsoft Azure Active Directory (AD), і залежність OneLogin від відображень буде дещо заплутаною для деяких. Тим не менш, OneLogin залишається найкращим претендентом і може служити більшості малих клієнтів середнього бізнесу (SMB).

Налаштування та конфігурація

Початок роботи з OneLogin та підключення до існуючої служби каталогів - це досить стандартні речі. Після першого входу в консоль адміністратора OneLogin вас зустрічає майстер налаштування, який проводить вас через початкові кроки, необхідні для завершення процесу конфігурації, включаючи створення піддомену, імпорт користувачів та додавання програм.

OneLogin підтримує декілька типів каталогів, включаючи Microsoft Active Directory (AD), Google G Suite, робочий день та протокол доступу до легкого каталогу (LDAP) через роз'єм SSL або OneLogin. Підключення AD до OneLogin передбачає завантаження та встановлення їх роз'єму AD та виконання декількох простих кроків налаштування (вибір облікового запису послуги, налаштування номера порту та вибір домену для синхронізації). Як і агент Ping Identity PingOne PingFederate, OneLogin вирішив використовувати маркер для приєднання роз'єму AD до OneLogin, а не облікових даних облікового запису. Після створення асоціації ви можете налаштувати роз'єм AD (зокрема, вибравши, які організаційні підрозділи чи групи для синхронізації). Для збалансування навантаження та відмовостійкості можуть бути розгорнуті кілька роз'ємів AD, щоб ви могли підтримувати доступність у разі виходу з ладу.

Як і декілька його конкурентів, OneLogin рухається до цілісного підходу до управління корпоративними ідентичностями шляхом інтеграції з іншими джерелами ідентичності, такими як системи управління людськими ресурсами (HR), включаючи Workday, UltiPro та саме. Використовуючи набір інструментів OneLogin, ви не тільки створюєте та керуєте ідентифікаціями в межах OneLogin та будь-якого пов’язаного з ним програмного забезпечення як службових (SaaS) додатків, але й можете висувати ці ідентичності вниз в Active Directory, обмежуючи подвійний запис та підвищуючи точність.

Інтеграція каталогів та забезпечення користувачів

Ще одним ключовим аспектом інтеграції каталогів є вибір атрибутів, які ви імпортуватимете з AD, а також їх налаштування. OneLogin дозволяє створювати власні поля та визначати, який атрибут AD буде заповнювати ці поля. Залежно від потреб вашого бізнесу, ці поля можуть бути корисними для налаштування відображень програми чи політики безпеки. Наприклад, якщо ваша організація розширила схему рекламних оголошень на спеціальні атрибути, що містять інформацію про структуру вашої компанії, OneLogin дозволяє легко використовувати цю інформацію.

Вкладка «Додатково» підключення AD в консолі адміністратора OneLogin дозволяє налаштувати, чи створюються нові користувачі автоматично як користувачі OneLogin або вони просто інсценовані, що вимагає особистого контакту з адміністратором перед створенням користувача. Налаштування вкладки «Додаткові» також дозволяють налаштувати, як OneLogin керує відключеними або видаленими користувачами в AD.

Основна відмінність OneLogin від більшості змагань полягає в тому, як він обробляє групи та завдання програми. Для початку OneLogin не синхронізує групи безпеки з AD; швидше, групами незалежно керуються в OneLogin. Групи в OneLogin в основному використовуються для призначення політик безпеки користувачам, які вони містять, тоді як ролі використовуються для призначення прикладних програм. Користувачів можна призначати до груп OneLogin як вручну, так і за допомогою Mappings, засобу автоматизації, який використовує умови та дії для управління користувачами (присвоюючи їх групам або ролям і навіть змінюючи їх статус або змінюючи атрибути на льоту). Відображення є ключовою особливістю OneLogin, що додає гнучкість та додаткову складність в обробці політик безпеки та призначення додатків. Хоча мені подобається ця концепція та гнучкість, яку вона надає, я думаю, що це неодмінно заплутує речі. Мені б хотілося, щоб вони бачили комбінацію групової синхронізації та можливість динамічного призначення політик чи програм, використовуючи щось на зразок відображення.

Після налаштування деяких відображень для присвоєння користувачам ролей, ви можете розпочати процес налаштування доступу з єдиним входом (SSO) до програм SaaS та призначення цих програм ролям. OneLogin пропонує каталог додатків, подібний до інших інструментів IDaaS, і каталог визначає, які методи аутентифікації доступні для кожної програми. Однією приємною особливістю пропозицій OneLogin для сумісних програм SaaS є частково автоматична конфігурація обох сторін підключення до мови безпеки безпеки (SAML). Наприклад, Google G Suite підтримує автоматичну конфігурацію після обміну маркерами OAuth. OneLogin також підтримує надання користувачеві SaaS, але, як і будь-яке рішення IDaaS, це залежить від програми SaaS, що пропонує інтерфейс програмування прикладних програм (API) для виконання функцій забезпечення. Багато ключових програм SaaS підтримують користувальницькі послуги, такі як Google G Suite, Microsoft Office 365, Dropbox та багато інших, що робить автоматичне надання необхідною функцією в рішенні IDaaS.

Однією з розширених функцій пропозицій OneLogin є програми SaaS, які не підтримують SAML. Використовуючи спеціальний роз'єм, OneLogin дозволяє визначити URL-адреси та елементи форми, що беруть участь у процесі входу для додатка, який недоступний у каталозі OneLogin. Спеціальні з'єднувачі дозволяють вибирати форму та елементи форми за допомогою тегів HTML, наприклад дії форми чи імені та ідентифікатора кнопки, типу, імені чи значення. Адміністратори також можуть додавати спеціальні роз'єми за допомогою розширення браузера OneLogin, що впорядкує процес захоплення позначень елементів форми та включення користувацького з'єднувача. Це означає, що OneLogin пропонує готовий метод підключення до маловідомих або навіть власних спеціальних програм прямо з коробки.

Ще одна особливість, яка відрізняє OneLogin - це здатність підтримувати кілька сторінок самореєстрації. Користувачі, які запитують облікові записи через ці сторінки, за замовчуванням зберігаються лише в OneLogin. Ці реєстраційні сторінки можуть використовуватися для реєстрації користувачів, які не входять до вашого AD-середовища, але потребують певного рівня доступу до певних ділових програм. Скористайтеся випадками використання цих функцій: студенти, інтерни або волонтери. Під час налаштування сторінки самореєстрації ви можете визначити, чи потрібно вживати адміністративних дій до повного забезпечення облікового запису, а також роль та групу за замовчуванням для нових користувачів.

Програми для єдиного входу та мобільних програм

Адміністратори можуть зробити досить багато налаштувань на порталі користувачів OneLogin, включаючи зміни кольору, графіки та спеціальний вміст довідки. Користувачі також можуть налаштувати свій досвід роботи на порталі, визначаючи, як запускати програми (у новому вікні чи тому ж самому) та чи потрібно використовувати подання з вкладками. Користувачі також можуть зберігати захищені нотатки на своєму користувальницькому порталі та пов’язувати пристрій аутентифікації для використання з багатофакторною автентифікацією (MFA). OneLogin має два мобільних додатки: OneLogin Launcher, що є мобільною версією порталу користувачів, і OneLogin OTP, що є багатофакторним варіантом, що використовує одноразові паролі. Ви можете з’єднати OneLogin OTP зі своїм обліковим записом OneLogin, ввівши ідентифікаційний номер, який ідентифікує окремий пристрій та послідовні одноразові паролі, згенеровані програмою.

OneLogin підтримує два типи політики безпеки: політику користувача та програми. Політики прикладних програм можуть використовуватися для того, щоб вимагати одноразової перевірки пароля (OTP) або застосовувати обмеження IP-адреси для окремих додатків, дозволяючи вибірково застосовувати політику, що базується на мережевому розташуванні користувача (наприклад, у мережі мережі компанії або поза нею). Політики безпеки, що застосовуються до користувачів, можна використовувати для забезпечення складності пароля, оновлення можливостей та інформації про сеанси (включаючи поведінку блокування та час очікування сеансу). Політики безпеки можуть також використовуватися для забезпечення багатофакторних вимог та обмежень IP-адреси.

Ви можете використовувати політику користувачів, щоб увімкнути соціальний вхід, який дозволяє користувачам аутентифікуватись у вашому середовищі OneLogin, використовуючи будь-які наявні облікові дані, які вони можуть мати в Google, Facebook, LinkedIn або Twitter. Ви також можете використовувати ці дані, щоб надати діловим партнерам або клієнтам доступ до ваших інструментів SaaS або внутрішніх корпоративних додатків.

Адаптивна автентифікація OneLogin - це рішення, засноване на машинному навчанні, нарівні з можливостями, пропонованими Microsoft Azure AD та Centrify. Він розроблений для підвищення безпеки шляхом присвоєння значень ризику певним програмам або ресурсам, а потім рекомендує додаткові кроки, наприклад МЗС, якщо оцінка ризику ресурсу вказує на необхідність підвищеної безпеки.

Чудова звітність

Двигун звітів, пропонований OneLogin, є ще однією родзинкою сервісу. Доступно кілька звітів із консервами, і ви маєте можливість клонувати будь-який звіт і налаштувати його під свої потреби. Ви також можете створювати нові звіти з нуля, додаючи потрібні поля та фільтри. Звіти можна навіть налаштувати для згрупування у стовпчик. На жаль, не існує жодного способу планувати звіти, але ви можете експортувати будь-який з наборів результатів у файл CSV для подальшого аналізу. Можливість клонувати та налаштовувати звіти є рідкістю в просторі IDaaS, що навіть не пропонується іншими топ-рішеннями, такими як Okta Identity Management або Azure AD.

OneLogin підтримує рішення для керування подіями безпеки (SEIM), такі як Splunk або Sumo Logic, через транслятори подій. Вони налаштовані для надсилання корисних навантажень JavaScript Object Notation (JSON) до URL-адрес, які, у свою чергу, налаштовані на споживання даних. Крім того, ви можете налаштувати сповіщення електронною поштою за допомогою механізму дії, який створив OneLogin дуже просто.

Цінова структура OneLogin знаходиться в тому ж самому плані, що і більшість ринку, але OneLogin пропонує безкоштовний рівень, який обмежує користувачів до трьох корпоративних додатків, п'яти персональних додатків і не пропонує МЗС. Стартовий рівень 2 доларів на місяць додає MFA і може працювати з SSO необмеженою кількістю програм SaaS. Етап початкового рівня також пропонує можливість скидання паролів як для OneLogin, так і для паролів каталогів. Компаніям, які шукають більшу безпеку, потрібно буде заробляти 4 долари на користувача на місяць за рівень обслуговування Enterprise, який пропонує політику безпеки, а також підтримуватиме синхронізацію з декількох каталогів. Необхідний необмежений рівень верхнього рівня, що становить 8 доларів США на місяць, необхідний для автоматичного забезпечення користувачем програм SaaS, а також налаштованих полів.

Окрім основних рівнів ціноутворення, OneLogin пропонує ще кілька доповнень. Віртуальний LDAP ($ 2 на користувача на місяць) дозволяє вашому каталогу OneLogin діяти як стандартний каталог LDAP. Це робить його доступним для безлічі додатків та служб, які вирішили використовувати давній стандарт LDAP. Функції адаптивного аутентифікації, які пропонують машинне навчання та контроль на основі аутентифікації на основі ризику, - це також додаткові витрати, що приходять за додаткових 3 доларів на користувача на місяць.

Слід згадати, що нещодавно OneLogin зазнав значного інциденту із безпекою. Хоча безпека має надзвичайно важливе значення для інструменту, що використовується для підвищення вашої корпоративної безпеки, важко судити про вплив такого роду. Багато корпорацій, швидше за все, уникатимуть OneLogin через недавній досвід, а інші зосереджуватимуться більше на реакції OneLogin на інцидент, а не на самій події. Я, як правило, потрапляю до останньої категорії особисто, і OneLogin протягом усього процесу спілкується зі своєю базою користувачів і співпрацює з їхнім постачальником послуг хмари та навіть деякими клієнтами, які мають відповідний досвід, щоб посилити їх контроль та політику безпеки для запобігати виникненню цієї ситуації в майбутньому.

Використання відображень OneLogin не слід недооцінювати. Якщо точкою продажу SaaS та IDaaS є ефективність, то картографування просто піднімає це на наступний рівень, надаючи можливості автоматизації, недоступні для конкуренції. Попри це, я трохи відкладений його залежністю від відображень та тим, що OneLogin не синхронізує групи безпеки, хоча це насправді може принести користь великим організаціям з тисячами груп. Однак OneLogin добре співпрацює з іншими рішеннями IDaaS у ключових сферах, таких як забезпечення програм SaaS, інтеграція каталогів та їхній портал SSO. Але, для мене, упущення груп безпеки залишає OneLogin просто сором'язливою для управління Identity Okta за перше місце в цій групі.