Огляд і оцінка ідентифікації Pingone

Ідентичність Ping PingOne є надійним виконавцем у просторі Identity-Management-as-a-Service (IDaaS). Він пропонує безліч варіантів аутентифікації на існуючому середовищі Active Directory (AD), а також підтримку Google Apps або інших сторонніх каталогів. Якщо Ping Identity PingOne не відповідає конкуренції (включаючи переможців вибору редакторів Microsoft Azure Active Directory та Okta Identity Management знаходиться в таких сферах, як політика автентифікації та звітування. У цих категоріях PingOne PentOne просто не пропонує того самого рівня витонченості як конкуренції. Однак, за ціною 28 доларів на користувача щорічно, ціна Ping Identity PingOne є конкурентоспроможною для решти областей рішень IDaas, а також її спрямованість на не зберігання даних у хмарі буде привабливою для деяких.

Налаштування та конфігурація

Початкова настройка та конфігурація Ping Identity PingOne - це двоетапний процес. По-перше, ваш обліковий запис Ping Identity PingOne повинен бути створений разом з адміністративним користувачем для управління послугою. По-друге, ідентифікатор Ping PingOne повинен бути підключений до вашого корпоративного каталогу, щоб здійснити автентифікацію щодо вашої існуючої служби ідентифікації. Ping Identity пропонує два варіанти підключення наявного середовища AD: ADConnect (не плутати з Azure AD Connect Microsoft) та PingFederate. ADConnect - це проста установка і вимагає дуже малої конфігурації на стороні каталогу. Однак він обмежений одним доменом AD, що означає, що більшості організацій потрібно буде вибрати PingFederate.

На щастя, установка PingFederate також проста, хоча Java Server Edition є обов'язковою умовою. Однією з моїх скарг є те, що утиліта установки PingFederate просто стверджує, що змінна середовища JAVA_HOME повинна вказувати на дійсний час виконання Java, не зазначаючи вимоги для серверного видання. Хоча Ping Identity PingOne чітко визначає необхідність вимоги Java, в ідеалі я вважаю за краще, щоб утиліта налаштування включала все необхідне програмне забезпечення - або, як мінімум, пропонувала чіткий шлях до завантаження необхідного до або під час встановлення. Однак, перед тим, як перейти на PingFederate, вам потрібно буде самостійно знайти, завантажити та встановити Java.

Після встановлення PingFederate він запускає веб-консоль адміністрування. Консоль пропонує майстра "Підключення до сховища ідентичності", який потрібно використовувати для створення ключа активації, який потім повинен бути введений у PingFederate. Після введення ключа активації знайдіть частину основної інформації про AD Active Environment, зокрема такі речі, як відомі імена для облікового запису послуги та контейнера користувача. Після цього ваш каталог повинен бути підключений до Ping Identity PingOne.

Мені б хотілося, щоб у процесі підключення до каталогу деякі графічні елементи відображали дерево дерев каталогів, дозволяючи вам вибрати, які контейнери для синхронізації, або навіть дозволяти вам шукати та переглядати об’єкти користувача. Ідентичність Ping PingOne повинен усвідомити, що далеко не всі розуміють, що відоме ім’я набагато менше його синтаксису.

Інтеграція каталогів

Ідентичність Ping PingOne може інтегруватися з доменами AD, використовуючи або AD Connect, PingFederate, Google G Suite, або сторонній каталог мови розмітки безпеки (SAML). Хоча більшість провідних постачальників у просторі IDaaS, включаючи Okta Identity Management та OneLogin, зберігають користувачів та підмножину їх доступних атрибутів, Ping Identity PingOne не зберігає копії вашого фірмового стилю. Швидше, він підключається до вашого постачальника посвідчень на вимогу за допомогою одного з наданих роз'ємів. Через цю принципову архітектурну відмінність більшість ІТ-профі відзначають, що важливо правильно впровадити PingFederate для запобігання єдиної точки відмови через відсутність сервера PingFederate в автономному режимі.

Щоб бути справедливим тут, однак, реальність полягає в тому, що більшість конкурентів вимагає від вас підтримувати з'єднання з каталогом. Єдина відмінність полягає в тому, що більшість провайдерів просто потребують цього для автентифікації, а не для повного набору атрибутів користувача. Для мене ця диференціація архітектури є надмірною, але серед корпорацій є законне вагання щодо збереження конфіденційності під час переходу до хмари. Тож, можливо, PingIdentity знайшов хороший баланс між тим, щоб взагалі уникати хмари та заскакувати без другої думки.

Є кілька великих переваг використання PingFederate поряд із Ping Identity PingOne, на додаток до посиленого контролю над тим, як виявляються ваші особи. По-перше, це можливість інтегруватися з додатковими типами каталогів, включаючи полегшені каталоги протоколу доступу (LDAP). Тісно пов'язана з функціоналом на основі стандартів - це можливість PingFederate з'єднуватися з декількома джерелами ідентичності та об'єднувати їх разом. Ідентичність Ping PingOne не пропонує такої можливості на хмарному рівні, тому PingFederate - найкраща ставка для об'єднання ідентифікацій із кількох джерел.

PingFederate пропонує безліч параметрів конфігурації, включаючи можливість вказувати, які атрибути ідентичності піддаються Ping Identity PingOne. Оскільки атрибути користувачів, такі як адреси електронної пошти та імена, ймовірно, будуть використовуватися для єдиного входу (SSO) у додатки Software-as-a-Service (SaaS), ці атрибути можуть мати вирішальне значення для вашої реалізації. Вибір атрибутів для синхронізації використовує дещо графічніший інструмент, ніж конфігурація синхронізації каталогу, але він закопаний досить глибоко в консолі адміністрування PingFederate.

Забезпечення користувачів

Хоча Ping Identity PingOne не зберігає імена користувачів або їх атрибути, він підтримує список груп, синхронізованих з вашого каталогу. До цих груп можна призначити програми, які ви налаштували для SSO. Користувачі, які мають членство в цих групах, отримають доступ до цих додатків у док-станції.

У більшості випадків облікові записи користувачів у додатках SaaS потрібно буде вручну налаштувати. Обмежена підмножина доступних програм SaaS (включаючи Concur і DropBox) підтримує автоматизоване забезпечення користувачів, хоча це в значній мірі в додатках SaaS для відкриття необхідних інтерфейсів програмування програм (API). Насправді додаток Microsoft Office 365 SSO, зазначений як "SAML with Provisioning", такого не робить. Натомість вимагає встановити інструменти синхронізації каталогів Microsoft, тобто аспекти забезпечення цього конкретного додатка Ping взагалі не обробляються.

Надання конфігурації в Ping Identity PingOne є громіздким порівняно з управлінням Identity Okta та OneLogin. Дві сфери, в яких я маю занепокоєння, - це те, як визначено деякі програми SaaS та як адміністратори дозволяють забезпечити надання послуг. Налаштування резервування Google G Suite вимагає вибрати додаток Google Gmail, що досить заплутано. Надання послуг увімкнено за допомогою майстра налаштування додатків, але потрібно встановити прапорець у нижній частині одного з екранів, щоб побачити параметри надання користувача. Надання є однією з небагатьох функцій для пакетів IDaaS, а обмежена підтримка надання послуг Ping Identity PingOne пропонує лише на півкроку від того, щоб її взагалі не підтримувати.

Типи аутентифікації

Ідентифікатор Ping PingOne пропонує сильну автентифікацію додаткам, що підтримують стандарт SAML, а також можливість входу в інші програми SaaS за допомогою збережених облікових даних (подібно до сховища пароля). У каталозі додатків чітко зазначено, який тип автентифікації підтримується кожним додатком. Насправді деякі програми підтримують обидва типи аутентифікації (у цьому випадку SAML є рекомендованим методом). Підключення до програми, що підтримує аутентифікацію SAML, зазвичай має бути налаштовано з обох сторін з'єднання, тобто додаток SaaS повинен мати підтримку SAML і має бути виконана деяка основна конфігурація. Ідентичність Ping Каталог додатків PingOne містить інформацію про налаштування для кожного додатку SAML, що робить конфігурацію цього посилання досить простою.

Ідентичність Ping PingOne підтримує підвищену силу аутентифікації у вигляді MFA. MFA можна застосувати до конкретних програм та груп користувачів (або діапазонів IP-адрес), використовуючи політику аутентифікації. Однак Ping Identity PingOne пропонує лише єдину політику аутентифікації і не має можливості фільтрувати як за груповою, так і за IP-адресою. Це робить Ping Identity PingOne відставати від конкурентів, таких як Okta Identity Management або Azure AD, обидва, принаймні, дозволяють вам налаштовувати політику аутентифікації на основі програми.

Ідентифікатор Ping Ідентифікатор MFA PingOne використовує PingID, додаток для смартфонів, який виконує додатковий крок аутентифікації через процес підтвердження або одноразовий пароль. Користувачі також можуть отримувати одноразові паролі через SMS або голосові повідомлення або за допомогою пристрою безпеки YubiKey USB. Хоча це є корисним на дуже базовому рівні, Ping Identity PingOne дійсно потребує активізації своєї гри, якщо вони хочуть сприйматись серйозно з позиції МЗС. Навіть LastPass Enterprise чудово перемагає їх з точки зору можливостей МЗС.

Єдиний вхід

SSO - це ще одна сфера, на яку вибір архітектури PingFederate має вплив. Під час процесу аутентифікації SSO користувачі входять у свою док-станцію PingOne Identity PingOne, яка перенаправляє їх до сервісу PingFederate, розміщеного у їх корпоративній мережі. Для користувачів внутрішньої корпоративної мережі це, ймовірно, не є проблемою, але для користувачів, які шукають зовні, знадобиться додаткова конфігурація брандмауера (порт 443).

Користувальницька панель інструментів SSO, док-станція Ping Identity PingOne, дещо покращилася з моменту нашого останнього відвідування. Прямий список програм SaaS був замінений сіткою піктограм, за якою також можна переходити за допомогою меню вильотів ліворуч. Адміністратори можуть включити особистий розділ доку, де користувачі можуть додавати власні облікові записи SaaS. Ідентичність Ping Розширення браузера PingOne розширюють док-станцію, забезпечуючи доступ SSO до додатків без необхідності повертатися до док-станції.

На інформаційній панелі Ping Identity PingOne є кілька консервованих звітів, які показують статистику входу, включаючи глобальну карту, що показує, звідки ці аутентифікації походять. Функціонал звітування охоплює основи, необхідні для початку отримання інформації про автентифікацію користувачів, що обробляється через Ping Identity PingOne, але це не дозволяє глибокого аналізу або усунення несправностей.

Ціноутворення та збори

Ідентифікатор Ping PingOne коштує 28 доларів за кожного користувача, а MFA коштує додаткові 24 долари щорічно. Знижки на обсяг та пакет доступні у PingIdentity. Для продукту з чіткими слабкими сторонами порівняно з Azure AD, Okta Identity Management та OneLogin, Ping Identity Ціноутворення PingOne є конкурентоспроможним, але недостатньо для того, щоб забезпечити великий стимул для вибору його над конкуренцією.

Загалом, Ping Identity PingOne зробив деякі архітектурні рішення, які принципово відрізняються від конкуренції, і деякі з них будуть оцінені організаціями, які мають проблеми із безпекою та конфіденційністю. На жаль, архітектура не дає достатньо переваг для подолання деяких областей, де PingOne PingOne не відповідає - особливо обмеження в політиці безпеки, звітування про безперешкодні кістки та найбільш критично важливе забезпечення користувачів. Якщо конфіденційність не викликає ваших проблем, і Ping Identity PingOne не допоможе вам зрозуміти цю перешкоду, ми не можемо рекомендувати її через Azure AD, Okta Identity Management або OneLogin. Однак, якщо ви в галузі, яка особливо чутлива до безпеки хмарних даних, PingOne PingOne може бути прийнятним варіантом для вас.