Преглед и оценка на Onelogin

OneLogin предлага богата на функции услуга за управление на идентичност, която няма да наруши банката. OneLogin предлага четири нива на ценообразуване между безплатната им версия и техните $ 8 на потребител на месец Неограничен ред. Услугата проверява всички основни полета за управление на идентичността, включително множество политики за сигурност, мобилни приложения за потребителския портал и многофакторна автентификация (MFA), както и всички ключови механизми за удостоверяване. OneLogin дори предоставя няколко изненади, които няма да намерите сред конкуренцията. Но, въпреки че е в горната част на нашия списък, функциите на OneLogin не съвпадат напълно с победителите в избора на редактори Okta Identity Management или Microsoft Azure Active Directory (AD), а зависимостта на OneLogin от картографирането ще бъде малко объркваща за някои. Все пак OneLogin остава най-добрият претендент и може да обслужва повечето малки клиенти за средни бизнес клиенти (SMB).

Настройка и конфигурация

Първото стартиране с OneLogin и свързването му със съществуващата услуга на директория е доста стандартни неща. След като влезете в администриращата конзола на OneLogin за първи път, вие се посрещате с съветника за настройка, който ви води през първоначалните стъпки, необходими за завършване на процеса на конфигуриране, включително създаване на поддомейна, импортиране на потребители и добавяне на приложения.

OneLogin поддържа няколко типа директории, включително Microsoft Active Directory (AD), Google G Suite, работен ден и лек протокол за достъп до директория (LDAP) чрез SSL или конектора на OneLogin. Свързването на AD с OneLogin включва изтегляне и инсталиране на AD конектора и извършване на няколко прости стъпки за конфигуриране (избор на сервизен акаунт, конфигуриране на номер на порт и избор на домейна за синхронизация). Подобно на агента Ping Identity PingOne PingFederate, OneLogin избра да използва маркер, за да свърже AD конектора към OneLogin, а не идентификационните си данни на вашия акаунт. След като свързването е направено, можете да конфигурирате AD конектора (по-специално, избирайки кои организационни единици или групи да синхронизирате). За целите на балансиране на натоварването и отказ на откази могат да бъдат разгърнати множество AD съединители, така че да поддържате наличност в случай, че единият се повреди.

Подобно на няколко свои конкуренти, OneLogin преминава към цялостен подход към управлението на корпоративната идентичност, като се интегрира с други източници на идентичност като системи за управление на човешките ресурси (HR), включително Workday, UltiPro и именно. Използвайки набора от инструменти на OneLogin, вие не само създавате и управлявате идентичности в OneLogin и всеки свързан софтуер като приложения за услуга (SaaS), но можете да избутате тези идентичности надолу в Active Directory, ограничавайки двойното влизане и подобрявайки точността.

Интеграция на директории и осигуряване на потребители

Друг ключов аспект на интегрирането на директория е избора на атрибути, които ще импортирате от AD, както и конфигурирането им. OneLogin ви позволява да създавате персонализирани полета и да определяте кой атрибут AD ще попълни тези полета. В зависимост от вашите бизнес нужди, тези полета могат да бъдат полезни при конфигуриране на приложения или политики за сигурност. Например, ако вашата организация разшири схемата си за AD, така че да включва персонализирани атрибути, съдържащи информация за фирмената ви структура, OneLogin улеснява използването на тази информация.

Разделът Разширени на AD връзката в администраторската конзола на OneLogin ви позволява да конфигурирате дали новите потребители се създават автоматично като потребители на OneLogin или дали те са просто поетапно, изискващи лично докосване от администратор преди създаването на потребител. Настройките на раздела Разширени също ви позволяват да конфигурирате как OneLogin се обработват забранени или изтрити потребители в AD.

Една от основните разлики между OneLogin и по-голямата част от конкуренцията е как се справя с групите и заданията за приложения. Като за начало, OneLogin не синхронизира групите за сигурност от AD; по-скоро групите се управляват независимо в OneLogin. Групите в OneLogin се използват главно за присвояване на политики за сигурност на потребителите, които съдържат, докато ролите се използват за задаване на приложения. Потребителите могат да бъдат присвоени на OneLogin групи, ръчно или с помощта на Mappings, инструмент за автоматизация, който използва условия и действия за управление на потребителите (приписвайки ги на групи или роли и дори променяйки състоянието им или променяйки атрибутите в движение). Съпоставянето е основна функция в OneLogin, като добавя както гъвкавост, така и допълнителна сложност на начина на управление на политиките за сигурност и заданията на приложенията. Въпреки че харесвам концепцията и гъвкавостта, която предоставя, мисля, че тя със сигурност обърква нещата. Бих се радвал да видя комбинация от групова синхронизация и възможност за динамично присвояване на политики или приложения, използвайки нещо като картографиране.

След като сте конфигурирали някои карти за присвояване на потребители на роли, можете да започнете процеса на конфигуриране на достъп за един вход (SSO) към SaaS приложения и присвояване на тези приложения на роли. OneLogin предлага каталог на приложения, подобен на други инструменти IDaaS, и каталогът идентифицира какви методи за удостоверяване са достъпни за всяко приложение. Една приятна характеристика, която OneLogin предлага за съвместими приложения на SaaS, е частично автоматична конфигурация от двете страни на връзката на езика за маркиране на сигурност (SAML). Google G Suite например поддържа автоматична конфигурация след размяна на маркери на OAuth. OneLogin също така поддържа SaaS предоставяне на потребители, но, както при всяко решение за IDaaS, това зависи от приложението SaaS, предлагащо интерфейс за програмиране на приложения (API) за изпълнение на функции за предоставяне. Много от ключовите приложения на SaaS поддържат предоставяне от потребители като Google G Suite, Microsoft Office 365, Dropbox и потенциално много други, което прави автоматизираното предоставяне на задължителна функция в IDaaS решение.

Една разширена функция, която OneLogin предлага, включва SaaS приложения, които не предлагат SAML поддръжка. Използвайки персонализиран конектор, OneLogin ви позволява да определите URL адресите и елементите на формулярите, участващи в процеса на влизане за приложение, което не е лесно достъпно в каталога на OneLogin. Персонализираните конектори ви позволяват да изберете формата и елементите на формата, използвайки HTML маркери, като действието на формата или името и идентификатора на бутона, типа, името или стойността. Администраторите могат също да добавят персонализирани конектори, използвайки разширението на браузъра OneLogin, което ще опрости процеса на заснемане на обозначенията на формулярния елемент и активиране на персонализирания конектор. Това означава, че OneLogin предлага готов метод за свързване към малко известни или дори собствени персонализирани приложения, направо извън кутията.

Друга характеристика, която отличава OneLogin е способността му да поддържа множество страници за саморегистрация. Потребителите, които искат акаунти през тези страници, се съхраняват по подразбиране само в OneLogin. Тези страници за регистрация могат да се използват за записване на потребители, които не са част от вашата AD среда, но се нуждаят от известно ниво на достъп до определени бизнес приложения. Случаите за използване за тези функции включват студенти, стажанти или доброволци. По време на конфигурирането на страница за саморегистрация можете да определите дали административните действия трябва да бъдат предприети преди пълното разглеждане на акаунта, както и ролята и групата по подразбиране за новите потребители.

Единична регистрация и мобилни приложения

Администраторите могат да направят доста персонализиране на потребителския портал на OneLogin, включително промени в цвета, графиката и съдържанието на персонализирана помощ. Потребителите могат също да персонализират опита си на портал, като определят как се стартират приложенията (или в нов прозорец, или в същия този) и дали трябва да се използва изглед с раздели. Потребителите могат също да съхраняват сигурни бележки в своя потребителски портал и да свързват устройство за удостоверяване за използване с многофакторна автентификация (MFA). OneLogin има две мобилни приложения: OneLogin Launcher, която е мобилна версия на потребителския портал, и OneLogin OTP, която е многофакторна опция, която използва еднократни пароли. Можете да сдвоявате OneLogin OTP с вашия акаунт в OneLogin, като въведете идентификационен номер на идентификационен номер, който идентифицира отделното устройство и последователни еднократни пароли, генерирани от приложението.

OneLogin поддържа два типа политики за сигурност: потребителски и приложения. Политиките за приложение могат да се използват за изискване на еднократна проверка на парола (OTP) или налагане на ограничения за IP адреси за отделни приложения, което ви позволява да прилагате избирателно политики въз основа на мрежовото местоположение на потребителя (например в мрежата на компанията или извън нея). Политиките за сигурност, прилагани към потребителите, могат да се използват за налагане на сложност на паролата и актуализиране на възможностите и информация за сесията (включително поведение на блокиране и изчакване на сесията). Политиките за сигурност могат да се използват и за налагане на многофакторни изисквания и ограничения за IP адреси.

Можете да използвате потребителските политики, за да активирате социалното влизане, което позволява на потребителите да се удостоверяват във вашата OneLogin среда, използвайки всички съществуващи идентификационни данни, които биха могли да имат в Google, Facebook, LinkedIn или Twitter. Можете също да използвате тези идентификационни данни, за да предоставите на бизнес партньорите или клиентите достъп до вашите SaaS инструменти или вътрешни корпоративни приложения.

Адаптивното удостоверяване на OneLogin е решение, базирано на машинно обучение, което е наравно с възможностите, предлагани от Microsoft Azure AD и Centrify. Той е предназначен за повишаване на сигурността чрез присвояване на стойности на риска на конкретни приложения или ресурси и след това препоръчва допълнителни стъпки, като MFA, ако оценката на риска на ресурса показва повишена сигурност.

Страхотно отчитане

Двигателят на отчетите, предлаган от OneLogin, е още една отличителна черта на услугата. Предлагат се няколко отчета за консерви и имате възможност да клонирате всеки отчет и да го персонализирате според вашите нужди. Можете също така да създавате нови отчети от нулата, като добавяте полетата и филтрите, които искате. Докладите дори могат да бъдат конфигурирани да бъдат групирани в колона. За съжаление, изглежда, няма начин да планирате отчети, но можете да експортирате всеки от наборите от резултати в CSV файл за допълнителен анализ. Възможността за клониране и персонализиране на отчети е рядкост в пространството на IDaaS, нещо, което дори не се предлага от други топ решения като Okta Identity Management или Azure AD.

OneLogin поддържа решения за мениджър на събития за сигурност (SEIM) като Splunk или Sumo Logic чрез излъчватели на събития. Те са конфигурирани да изпращат полезни натоварвания с JavaScript Object Notation (JSON) до URL адреси, които от своя страна са конфигурирани да консумират данните. Освен това можете да конфигурирате известия по имейл с помощта на механизъм за действие, което процесът OneLogin направи много лесен за настройка.

Ценовата структура на OneLogin е в същия балпак като по-голямата част от пазара, но OneLogin предлага безплатен слой, който ограничава потребителите до три корпоративни приложения, пет лични приложения и не предлага MFA. $ 2 на месец стартерният слой добавя MFA и може да борави с SSO към неограничен брой SaaS приложения. Началният слой също предлага възможност за предоставяне на функционалност за нулиране на паролата както за паролите на OneLogin, така и за директорията. Компаниите, които търсят повече сигурност, ще трябва да спечелят 4 долара на потребител на месец за ниво на услугата Enterprise, което предлага политики за сигурност и също така ще поддържа синхронизация от множество директории. Необходимо е неограничено ниво от най-високо ниво от 8 долара на потребител на месец за автоматично осигуряване на потребителя в SaaS приложения, както и персонализируеми полета.

В допълнение към основните ценови нива OneLogin предлага шепа добавки. Виртуален LDAP ($ 2 на потребител на месец) позволява на вашата директория OneLogin да действа като стандартна LDAP директория. Това го прави достъпно за множество приложения и услуги, които са решили да използват дългогодишния LDAP стандарт. Функциите за адаптивно удостоверяване, които предлагат машинно обучение и контрол, базиран на риска, за проверка на автентичността, също са допълнителни разходи, които се взимат при допълнителни $ 3 на потребител на месец.

Споменава се, че наскоро OneLogin претърпя значителен инцидент със сигурността. Макар че сигурността е от изключително значение за инструмент, използван за повишаване на корпоративната ви сигурност, е трудно да се прецени въздействието на подобно нарушение. Много корпорации вероятно ще избегнат OneLogin заради скорошните си записи, докато други ще се съсредоточат повече върху реакцията на OneLogin на инцидента, а не върху самото събитие. Склонен съм да попадам в последната категория лично и OneLogin е комуникативен с тяхната потребителска база през целия процес и работи с техния доставчик на облачни услуги и дори някои от техните клиенти с подходящ опит, за да затегне контрола и политиките си за сигурност, за да предотвратяване на възникването на тази ситуация в бъдеще.

Използването на картографските карти на OneLogin не бива да се подценява. Ако продажната точка на SaaS и IDaaS е ефективност, тогава картографирането просто извежда това на следващото ниво, като предоставя възможности за автоматизация, които не са налични в конкуренцията. Като се има предвид, малко ме възпира зависимостта му от картографирането и фактът, че OneLogin не синхронизира групите за сигурност, макар че това всъщност може да е от полза за големи организации с хиляди групи. Въпреки това, OneLogin измерва добре с други IDaaS решения в ключови области като осигуряване на приложения за SaaS, интеграция на директории и техния SSO портал. Но за мен пропускането на групите за сигурност оставя OneLogin просто да се срамува от Okta Identity Management за най-високото място на IDaaS в тази група.