Onelogin anmeldelse og vurdering

OneLogin tilbyr en funksjonsrik identitetsadministrasjonstjeneste som ikke vil bryte banken. OneLogin tilbyr fire prisnivåer mellom gratisversjonen og deres $ 8 per bruker-per-måned ubegrenset nivå. Tjenesten sjekker alle de viktigste boksene for identitetsstyring, inkludert flere sikkerhetspolicyer, mobilapplikasjoner for brukerportalen og multifaktorautentisering (MFA), samt alle nøkkelgodkjenningsmekanismer. OneLogin gir til og med et par overraskelser som du ikke finner blant konkurransen. Men selv om den er øverst på listen vår, stemte OneLogins funksjoner ikke helt opp med Editors 'Choice-vinnere Okta Identity Management eller Microsoft Azure Active Directory (AD), og OneLogins avhengighet av kartlegginger vil være litt forvirrende for noen. Fortsatt er OneLogin en av de største utfordrerne og kan tjene de fleste små til mellomstore bedriftskunder (SMB) kunder.

Oppsett og konfigurasjon

Det er ganske standard å komme i gang med OneLogin og få den koblet til din eksisterende katalogtjeneste. Når du logger deg på OneLogin administrasjonskonsoll for første gang, blir du møtt med en installasjonsveiviser som guider deg gjennom de første trinnene som kreves for å fullføre konfigurasjonsprosessen, inkludert oppretting av underdomen, importere brukere og legge til applikasjoner.

OneLogin støtter flere katalogtyper, inkludert Microsoft Active Directory (AD), Google G Suite, Workday og Lightweight Directory Access Protocol (LDAP) via SSL eller OneLogins kontakt. Koble AD til OneLogin innebærer å laste ned og installere AD-kontakten deres og fullføre noen få enkle konfigurasjonstrinn (velge en servicekonto, konfigurere et portnummer og velge domenet som skal synkroniseres). I likhet med Ping Identity PingOne PingFederate-agenten valgte OneLogin å bruke et symbol for å knytte AD-kontakten til OneLogin snarere enn kontoopplysningene. Når tilknytningen er opprettet, kan du konfigurere AD-kontakten (spesielt velge hvilke organisasjonsenheter eller grupper som skal synkroniseres). For lastbalansering og feiltoleranse kan flere AD-kontakter distribueres slik at du kan opprettholde tilgjengeligheten i tilfelle en mislykkes.

Som flere av konkurrentene beveger OneLogin seg mot en helhetlig tilnærming til å håndtere bedriftsidentiteter ved å integrere med andre identitetskilder som HR-ledelsessystemer, inkludert Workday, UltiPro og Namely. Ved å bruke OneLogins sett med verktøy kan du ikke bare opprette og administrere identiteter i OneLogin og all tilknyttet programvare som en tjeneste (SaaS) -apper, men du kan skyve disse identitetene ned i Active Directory, begrense dobbelt oppføring og forbedre nøyaktigheten.

Katalogintegrasjon og brukertjeneste

Et annet sentralt aspekt ved katalogintegrasjon er å velge hvilke attributter du vil importere fra AD, samt konfigurere dem. OneLogin lar deg lage tilpassede felt og definere hvilket AD-attributt som skal fylle disse feltene. Avhengig av forretningsbehov, kan disse feltene være nyttige i konfigurering av applikasjons- eller sikkerhetspolitiske kartlegginger. Hvis organisasjonen din for eksempel har utvidet AD-skjemaet til å inkludere tilpassede attributter som inneholder informasjon om selskapets struktur, gjør OneLogin det enkelt å utnytte denne informasjonen.

Fanen Avansert i AD-tilkoblingen i OneLogin-administrasjonskonsoll lar deg konfigurere om nye brukere automatisk opprettes som OneLogin-brukere eller om de ganske enkelt er iscenesatt, noe som krever personlig berøring fra en administrator før en bruker opprettes. Avanserte faneinnstillinger lar deg også konfigurere hvordan deaktiverte eller slettede brukere i AD blir håndtert av OneLogin.

En viktig forskjell mellom OneLogin og majoriteten av konkurransen er hvordan den håndterer grupper og applikasjonsoppgaver. For det første synkroniserer OneLogin ikke sikkerhetsgrupper fra AD; snarere styres grupper uavhengig av hverandre i OneLogin. Grupper i OneLogin brukes først og fremst til å tilordne sikkerhetspolicyer til brukerne de inneholder, mens roller brukes til å håndtere tildelingen av applikasjoner. Brukere kan tilordnes OneLogin-grupper enten manuelt eller ved å bruke Mappings, et automatiseringsverktøy som bruker betingelser og handlinger for å administrere brukere (tilordne dem til grupper eller roller og til og med endre status eller endre attributter i farta). Kartlegging er en nøkkelfunksjon i OneLogin, og gir både fleksibilitet og ekstra kompleksitet til hvordan sikkerhetspolicyer og applikasjonsoppgaver blir håndtert. Selv om jeg liker konseptet og fleksibiliteten det gir, tror jeg det absolutt forvirrer ting. Jeg ville ha elsket å ha sett en kombinasjon av gruppesynkronisering og muligheten til å tilordne policyer eller applikasjoner dynamisk ved hjelp av noe som tilordninger.

Når du har konfigurert noen tilordninger for å tilordne brukere til roller, kan du begynne prosessen med å konfigurere SSO-tilgang til SaaS-applikasjoner og tilordne disse applikasjonene til roller. OneLogin tilbyr en applikasjonskatalog som ligner på andre IDaaS-verktøy, og katalogen identifiserer hvilke godkjenningsmetoder som er tilgjengelige for hver applikasjon. En fin funksjon OneLogin tilbyr for kompatible SaaS-applikasjoner er en delvis automatisk konfigurasjon av begge sider av SAML-forbindelsen (Security Assertion Markup Language). Google G Suite støtter for eksempel automatisk konfigurasjon etter en OAuth-token-utveksling. OneLogin støtter også SaaS-brukerprovisjonering, men som alle IDaaS-løsninger er dette avhengig av at SaaS-applikasjonen tilbyr et applikasjonsprogrammeringsgrensesnitt (API) for å utføre klargjøringsfunksjoner. Mange av de viktigste SaaS-applikasjonene støtter brukerlevering som Google G Suite, Microsoft Office 365, Dropbox, og potensielt mange andre, noe som gjør automatisert levering til en må-ha-funksjon i en IDaaS-løsning.

Én avansert funksjon OneLogin tilbyr involverer SaaS-apper som ikke tilbyr SAML-støtte. Ved hjelp av en tilpasset kontakt gir OneLogin deg muligheten til å definere nettadressene og skjemaelementene som er involvert i påloggingsprosessen for en app som ikke er lett tilgjengelig i OneLogin-katalogen. Med tilpassede kontakter kan du velge skjema- og skjemaelementer ved hjelp av HTML-koder, for eksempel skjemahandlingen eller navn og knapp-ID, type, navn eller verdi. Administratorer kan også legge til tilpassede kontakter ved bruk av nettleserutvidelsen OneLogin, som vil effektivisere prosessen med å fange skjemaelementdesignatorene og aktivere den tilpassede kontakten. Hva dette betyr er at OneLogin tilbyr en ferdig metode for å koble til lite kjente eller til og med interne tilpassede apper rett utenfor boksen.

En annen funksjon som skiller OneLogin er dens evne til å støtte flere sideregistrering. Brukere som ber om kontoer via disse sidene, lagres kun i OneLogin som standard. Disse registreringssidene kan brukes til å registrere brukere som ikke er en del av ditt AD-miljø, men trenger et visst nivå av tilgang til visse forretningsapplikasjoner. Bruk saker for disse funksjonene inkluderer studenter, praktikanter eller frivillige. Under konfigurasjonen av en egenregistreringsside kan du definere om administrative tiltak må gjøres før kontoen er fullstendig klarert, i tillegg til en standardrolle og gruppe for nye brukere.

Enkeltpåloggings- og mobilapper

Administratorer kan gjøre ganske mye tilpassing på OneLogin brukerportal, inkludert fargeendringer, grafikk og tilpasset hjelpeinnhold. Brukere kan også tilpasse portalopplevelsen sin ved å bestemme hvordan applikasjoner blir lansert (enten i et nytt vindu eller det samme) og om en fanevisning skal brukes. Brukere kan også lagre sikre notater i brukerportalen og knytte en autentiseringsenhet til bruk med multifaktorautentisering (MFA). OneLogin har to mobilapplikasjoner: OneLogin Launcher, som er en mobilversjon av brukerportalen, og OneLogin OTP, som er et multifaktoralternativ som bruker engangspassord. Du kan koble OneLogin OTP med OneLogin-kontoen din ved å oppgi en legitimasjons-ID som identifiserer den enkelte enhet og påfølgende engangspassord generert av applikasjonen.

OneLogin støtter to typer sikkerhetspolicyer: bruker- og applikasjonspolicyer. Applikasjonspolicyer kan brukes til å kreve verifisering av engangs passord (OTP) eller håndheve IP-adressebegrensninger for individuelle applikasjoner, slik at du selektivt kan bruke retningslinjer basert på brukerens nettverksplassering (for eksempel på eller utenfor firmaets nettverk). Sikkerhetspolicyer som brukes for brukere kan brukes til å håndheve passordkompleksitet, og oppdatere evner og sesjonsinformasjon (inkludert lockout-oppførsel og timeout-økter) Sikkerhetspolicyer kan også brukes til å håndheve multifaktorkrav og IP-adressebegrensninger.

Du kan utnytte brukerpolicyer for å aktivere sosial pålogging, som lar brukere autentisere til OneLogin-miljøet ved å bruke eksisterende opplysninger de har på Google, Facebook, LinkedIn eller Twitter. Du kan også bruke disse opplysningene for å gi forretningspartnere eller kunder tilgang til SaaS-verktøyene eller interne bedriftsappene dine.

OneLogins adaptive autentisering er en maskinlæringsbasert løsning som er på linje med funksjonene som tilbys av Microsoft Azure AD og Centrify. Den er designet for å forbedre sikkerheten ved å tildele risikoværdier til spesifikke apper eller ressurser og deretter anbefale flere trinn, som MFA, hvis ressurens risikoscore indikerer økt sikkerhet er nødvendig.

Flott rapportering

Rapporteringsmotoren som tilbys av OneLogin er et annet høydepunkt i tjenesten. Flere hermetiske rapporter er tilgjengelige, og du har muligheten til å klone en hvilken som helst rapport og tilpasse den til dine behov. Du kan også lage nye rapporter fra grunnen av, legge til feltene og filtrene du ønsker. Rapporter kan til og med konfigureres til å bli gruppert i en kolonne. Dessverre ser det ikke ut til å være noen måte å planlegge rapporter, men du kan eksportere noen av resultatsettene til en CSV-fil for videre analyse. Muligheten til å klone og tilpasse rapporter er en sjeldenhet i IDaaS-plassen, noe som ikke en gang tilbys av andre toppløsninger som Okta Identity Management eller Azure AD.

OneLogin støtter SEIM-løsninger (Security Event Manager) som Splunk eller Sumo Logic gjennom kringkastere. Disse er konfigurert til å sende JavaScript Object Notation (JSON) nyttelast til URLer som på sin side er konfigurert til å konsumere dataene. I tillegg kan du konfigurere e-postvarsler ved hjelp av en tilstandsaksjonsmotor, en prosess som OneLogin har gjort veldig enkelt å sette opp.

OneLogins prisstruktur er i samme ballpark som størstedelen av markedet, men OneLogin tilbyr et gratis nivå som begrenser brukere til tre bedriftsapper, fem personlige apper, og tilbyr ingen MFA. Startnivået på $ 2 per måned legger til MFA og kan håndtere SSO til et ubegrenset antall SaaS-applikasjoner. Startlisten tilbyr også muligheten til å gi passord tilbakestillingsfunksjonalitet for både OneLogin og katalogpassord. Bedrifter som ønsker mer sikkerhet, må pony opp $ 4 per bruker per måned for Enterprise-servicenivået, som tilbyr sikkerhetspolicyer og vil også støtte synkronisering fra flere kataloger. Det øverste nivået ubegrenset nivå til $ 8 per bruker per måned er nødvendig for automatisk brukerlevering i SaaS-applikasjoner så vel som tilpassbare felt.

I tillegg til de grunnleggende prisnivåene tilbyr OneLogin en håndfull tilleggsprogrammer. Virtuell LDAP ($ 2 per bruker per måned) gjør det mulig for OneLogin-katalogen å fungere som en standard LDAP-katalog. Det gjør det tilgjengelig for en rekke apper og tjenester som har bestemt seg for å utnytte den mangeårige LDAP-standarden. De adaptive autentiseringsfunksjonene som tilbyr maskinlæring og risikobasert kontroll over autentisering er også en ekstra kostnad som koster 3 dollar per bruker per måned.

Det nevnes at OneLogin nylig har pådratt seg en betydelig sikkerhetshendelse. Selv om sikkerhet er av største betydning for et verktøy som brukes til å øke bedriftens sikkerhet, er det vanskelig å bedømme virkningen av et brudd av denne typen. Mange selskaper vil sannsynligvis unngå OneLogin på grunn av den nylige merittlisten, mens andre vil fokusere mer på OneLogins reaksjon på hendelsen, i stedet for selve begivenheten. Jeg har en tendens til å falle i sistnevnte kategori personlig, og OneLogin har vært kommunikativ med deres brukerbase gjennom hele prosessen, og jobber med deres skytjenesteleverandør og til og med noen av kundene deres med relevant kompetanse for å stramme sikkerhetskontrollene og policyene til forhindre at denne situasjonen oppstår i fremtiden.

OneLogins bruk av kartlegginger bør ikke undervurderes. Hvis et salgssted for SaaS og IDaaS er effektivitet, vil kartlegginger bare ta det til neste nivå ved å tilby automatiseringsfunksjoner som ikke er tilgjengelige i konkurransen. Når det er sagt, er jeg litt utsatt for avhengigheten av kartlegginger og det faktum at OneLogin ikke synkroniserer sikkerhetsgrupper, selv om det faktisk kan være en fordel for store organisasjoner med tusenvis av grupper. Imidlertid måler OneLogin godt med andre IDaaS-løsninger på viktige områder som SaaS-applikasjonslevering, katalogintegrasjon og deres SSO-portal. Men for meg lar utelatelsen av sikkerhetsgrupper OneLogin bare være sjenert for Okta Identity Management for den beste IDaaS-plassen i denne omgangen.