Преглед и оценка за идентичност на pingone

Ping Identity PingOne е солиден изпълнител в пространството Identity-Management-as-a-Service (IDaaS). Той предлага множество опции за удостоверяване спрямо съществуваща среда на Active Directory (AD), както и поддръжка за Google Apps или други директории на трети страни. Когато Ping Identity PingOne изостава от част от конкуренцията (включително победителите в избора на редактора Microsoft Azure Active Directory и Okta Identity Management е в области като политики за удостоверяване и отчитане. В тези категории Ping Identity PingOne просто не предлага същото ниво на изтънченост като конкуренцията. Въпреки това при цена от 28 долара на потребител годишно ценообразуването на Ping Identity PingOne е конкурентноспособно с останалата част от решенията на IDaas. Освен това фокусът му върху не съхраняване на данни в облака ще бъде привлекателен за някои.

Настройка и конфигурация

Първоначалната настройка и конфигурация на Ping Identity PingOne е процес в две стъпки. Първо, вашият акаунт за Ping Identity PingOne трябва да бъде създаден заедно с административен потребител, който да управлява услугата. Второ, Ping Identity PingOne трябва да бъде свързан с вашата корпоративна директория, за да извърши удостоверяване спрямо съществуващата ви услуга за самоличност. Ping Identity предлага две опции за свързване на съществуваща AD среда: ADConnect (да не се бърка с Azure AD Connect на Microsoft) и PingFederate. ADConnect е директна инсталация и изисква много малко конфигурация от страна на директорията. Това обаче е ограничено до един AD домейн, което означава, че повечето по-големи организации ще трябва да изберат PingFederate.

За щастие инсталирането на PingFederate също е ясно, въпреки че Java Server Edition е задължително условие. Едно оплакване имам, че помощната програма за настройка на PingFederate просто заявява, че променливата на средата JAVA_HOME трябва да сочи към валидно изпълнение на Java, без да се споменава изискването за Server Edition. Докато Ping Identity PingOne ясно очертава необходимостта от изискването за Java, в идеалния случай бих предпочел помощната програма за настройка да включва целия необходим софтуер - или, като минимум, да предложа ясен път за изтегляне на необходимото преди или по време на инсталирането. В сегашния си вид обаче ще трябва да намерите, изтеглите и инсталирате Java самостоятелно, преди да преминете към PingFederate.

След като PingFederate е инсталиран, той стартира уеб базираната конзола за администриране. Конзолата предлага съветника "Свързване към хранилище за идентичност", който трябва да използвате, за да създадете ключ за активиране, който след това трябва да въведете в PingFederate. След като въведете ключа за активиране, имайте удобна основна информация за вашата AD Active среда, включително неща като разграничени имена за акаунт за услуга и потребителски контейнер. След като това е направено, вашата директория трябва да бъде свързана към Ping Identity PingOne.

Бих искал да видя някои графични елементи в процеса на свързване с директорията, показващи дървото на директория, което ви позволява да изберете кои контейнери да синхронизирате или дори да ви позволи да търсите и разглеждате потребителски обекти. Ping Identity PingOne трябва да осъзнае, че не всеки разбира какво отличаващо се име е много по-малко от правилния му синтаксис.

Интеграция с директории

Ping Identity PingOne може да се интегрира с AD домейни, като използва директорията AD Connect, PingFederate, Google G Suite или директорията за маркиране на език за сигурност на трети страни (SAML). Докато повечето топ доставчици в пространството на IDaaS, включително Okta Identity Management и OneLogin, съхраняват потребители и подмножество от наличните им атрибути, Ping Identity PingOne не съхранява копия на вашата корпоративна идентичност. По-скоро се свързва с вашия доставчик на идентичност при поискване, като използва един от предоставените конектори. Поради тази фундаментална архитектурна разлика, повечето ИТ професионалисти ще посочат, че е изключително важно правилното прилагане на PingFederate, за да се предотврати една точка на отказ поради сървъра на PingFederate да е офлайн.

За да бъдете честни тук обаче, реалността е, че по-голямата част от конкуренцията изисква да поддържате връзка с директория така или иначе. Единствената разлика е, че повечето доставчици просто се нуждаят от това за удостоверяване, а не за пълния набор от потребителски атрибути. За мен това разграничаване на архитектурата е прекомерно, но има основателно колебание сред корпорациите относно запазването на поверителността при преместване в облака. Така че, може би PingIdentity е намерил добър баланс между избягването на облака и скока без да се замисля.

Има няколко големи предимства от използването на PingFederate заедно с Ping Identity PingOne в допълнение към засиления контрол върху това как са изложени вашите самоличности. Първо е възможността да се интегрира с допълнителни типове директории, включително директории с лек протокол за достъп (LDAP). Тясно обвързана със стандартната функционалност е възможността PingFederate да се свързва с множество източници на идентичност и да ги агрегира заедно. Ping Identity PingOne не предлага тази възможност на облачно ниво, така че PingFederate е най-добрият ви залог за сливане на идентичности от множество източници.

PingFederate предлага множество опции за конфигуриране, включително възможност да се определи кои атрибути на идентичност са изложени на Ping Identity PingOne. Тъй като атрибутите на потребители, като имейл адреси и имена, вероятно ще се използват за еднократно влизане (SSO) в приложения за софтуер като услуга (SaaS), тези атрибути могат да бъдат от решаващо значение за вашата реализация. Избирането на кои атрибути да се синхронизира използва малко по-графичен инструмент от конфигурацията на синхронизацията на директорията, но е погребан доста дълбоко в административната конзола на PingFederate.

Предоставяне на потребителя

Докато Ping Identity PingOne не съхранява имена на потребители или техните атрибути, той поддържа списък на групи, синхронизирани от вашата директория. Тези групи могат да бъдат назначени приложения, които сте конфигурирали за SSO. Потребителите, които имат членство в тези групи, след това ще получат достъп до тези приложения в дока си.

В повечето случаи потребителските акаунти в приложенията на SaaS ще трябва да бъдат ръчно създадени. Ограничен подмножество от наличните приложения на SaaS (включително Concur и DropBox) поддържа автоматизирано предоставяне на потребители, въпреки че това е до голяма степен в приложенията SaaS, за да се разкрият необходимите интерфейси за програмиране (API). Всъщност приложението на Microsoft Office 365 SSO, изброено като „SAML with Provisioning“, не прави такова нещо. Вместо това той изисква да инсталирате инструментите за синхронизация на директории на Microsoft, което означава, че аспектите за осигуряване на това конкретно приложение изобщо не се обработват от Ping.

Предоставянето на конфигурация в Ping Identity PingOne е тромаво в сравнение с управление на Identity Okta и OneLogin. Две области, в които имам притеснения, са начинът, по който са идентифицирани някои SaaS приложения и как администраторите дават възможност за предоставяне. Конфигурирането на осигуряването с Google G Suite изисква да изберете приложението Google Gmail, което е доста объркващо. Предоставянето е активирано чрез съветника за конфигуриране на приложението, но изисква да поставите отметка в квадратчето в долната част на един от екраните, за да видите опциите за предоставяне на потребител. Предоставянето е една от малкото задължителни функции за IDaaS пакети, а ограничената поддръжка за предоставяне на Ping Identity PingOne предлага само на половин стъпка от това да не я поддържате изобщо.

Видове за удостоверяване

Ping Identity PingOne предлага силна автентификация на приложения, поддържащи стандарта SAML, както и възможността да влизате в други приложения на SaaS, като използвате съхранени идентификационни данни (подобно на трезор на паролата). Каталогът на приложенията ясно посочва какъв тип удостоверяване се поддържа от всяко приложение. Всъщност някои приложения поддържат и двата типа удостоверяване (в този случай SAML е препоръчителният метод). Свързването с приложение, поддържащо удостоверяване на SAML, обикновено трябва да бъде конфигурирано от двете страни на връзката, което означава, че приложението SaaS трябва да има активирана поддръжка на SAML и трябва да се извърши някаква основна конфигурация. Ping Identity Каталогът на приложенията на PingOne включва информация за настройките за всяко приложение SAML, което прави конфигурацията на тази връзка доста проста.

Ping Identity PingOne поддържа повишена сила на автентификация под формата на MFA. MFA може да се приложи към конкретни приложения и групи потребители (или диапазони на IP адреси), като се използва политика за удостоверяване. Обаче Ping Identity PingOne предлага само една политика за удостоверяване и няма възможност за филтриране както по групови, така и по IP адреси. Това прави Ping Identity PingOne да изостава от част от конкуренцията като Okta Identity Management или Azure AD, като и двете най-малкото ви позволяват да конфигурирате политиките за удостоверяване на базата на приложение.

Ping Identity Реализацията на MFA на PingOne използва PingID, приложение за смартфони, което изпълнява допълнителната стъпка за удостоверяване или чрез процес на потвърждение или еднократна парола. Потребителите могат също така да получават еднократни пароли чрез SMS или гласови съобщения или с USB устройство за сигурност на YubiKey. Въпреки че това е полезно на много основно ниво, Ping Identity PingOne наистина трябва да засили играта си, ако иска да бъде взето сериозно от гледна точка на МВнР. Дори LastPass Enterprise звучно ги бие по отношение на възможностите на MFA.

Единичен вход

SSO е друга област, в която архитектурният избор на PingFederate оказва влияние. По време на процеса на удостоверяване на SSO, потребителите влизат в докинга си Ping Identity PingOne, който ги пренасочва към услугата PingFederate, хоствана в тяхната корпоративна мрежа. За потребители във вътрешната корпоративна мрежа това вероятно не е проблем, но ще изисква допълнителна конфигурация на защитната стена (порт 443) за потребители отвън, които търсят.

Насоченото от потребителите табло за SSO, док Ping Identity PingOne, се подобри донякъде след последното ни посещение. Непосредственият списък на приложенията на SaaS е заменен от мрежа от икони, които също могат да се навигират с помощта на менюто за полети от лявата страна. Администраторите могат да разрешат личен раздел на дока, където потребителите могат да добавят свои собствени SaaS акаунти. Ping Identity Разширенията на браузъра PingOne подобряват изживяването на дока, осигурявайки SSO достъп до приложенията, без да се налага да се връщате на дока.

Таблото за управление на Ping Identity PingOne има някои отчети за консерви, които показват статистики за вход, включително глобална карта, показваща откъде произхождат тези удостоверения. Функционалността на отчитане обхваща основните положения, необходими за започване на получаване на информация за удостоверяване на потребител, обработвана чрез Ping Identity PingOne, но не позволява задълбочен анализ или отстраняване на проблеми.

Цени и такси

Ping Identity PingOne струва $ 28 на потребител всяка година, а MFA струва допълнителни $ 24 годишно. Отстъпките за обем и пакет са достъпни от PingIdentity. За продукт с явни слабости в сравнение с Azure AD, Okta Identity Management и OneLogin, Ping Identity Ценообразуването на PingOne е конкурентно, но не достатъчно, за да даде много стимул да го избере пред конкуренцията.

Като цяло, Ping Identity PingOne направи някои архитектурни решения, които са коренно различни от конкуренцията и някои от тях ще бъдат оценени от организации, които имат проблеми със сигурността или поверителността. За съжаление, архитектурата не предоставя достатъчно ползи за преодоляване на някои области, в които Ping Identity PingOne не достига - по-специално ограничението в политиките за сигурност, отчитането на безбожните кости и най-критичното предоставяне на потребителите. Освен ако поверителността не е ваша голяма грижа и Ping Identity PingOne ви помага да изчистите това препятствие, не можем да го препоръчаме през Azure AD, Okta Identity Management или OneLogin. Ако обаче сте в индустрия, която е особено чувствителна към безопасността на данните в облака, Ping Identity PingOne може да бъде приемлива опция за вас.