Pingone-gjennomgang og -vurdering

Ping Identity PingOne er en solid utøver innen IDaaS-området Identity-Management-as-a-Service. Det tilbyr flere alternativer for autentisering mot et eksisterende Active Directory-miljø (AD) i tillegg til støtte for Google Apps eller andre tredjepartskataloger. Hvor Ping Identity PingOne kommer til kort av noen av konkurransene (inkludert vinnere av Editors Choice Microsoft Azure Active Directory og Okta Identity Management er innenfor områder som autentiseringspolitikk og rapportering. I disse kategoriene tilbyr Ping Identity PingOne ganske enkelt ikke det samme nivået av raffinement som konkurransen. Til en pris på $ 28 per bruker årlig, er Ping Identity PingOnes priser konkurransedyktig med resten av feltet IDaas-løsninger. Dessuten vil fokuset på å ikke lagre data i skyen være attraktivt for noen.

Oppsett og konfigurasjon

Den første konfigureringen og konfigurasjonen av Ping Identity PingOne er en totrinns prosess. Først må din Ping Identity PingOne-konto opprettes sammen med en administrativ bruker for å administrere tjenesten. For det andre må Ping Identity PingOne være koblet til bedriftskatalogen for å utføre autentisering mot din eksisterende identitetstjeneste. Ping Identity tilbyr to alternativer for å koble et eksisterende AD-miljø: ADConnect (ikke forveksles med Microsofts Azure AD Connect) og PingFederate. ADConnect er en enkel installasjon og krever veldig liten konfigurasjon på katalogsiden. Imidlertid er det begrenset til et enkelt AD-domene, noe som betyr at de fleste større organisasjoner vil trenge å velge PingFederate.

Heldigvis er installasjon av PingFederate også grei, selv om Java Server Edition er en forutsetning. En klage jeg har er at oppsettverktøyet PingFederate ganske enkelt sier at JAVA_HOME-miljøvariabelen må peke på en gyldig Java-runtime, uten å nevne kravet til Server Edition. Mens Ping Identity PingOne tydelig uttrykker behovet for Java-kravet, vil jeg ideelt sett foretrekke at installasjonsverktøyet inkluderer all forutsetningsprogramvare - eller, i det minste, tilbyr en tydelig vei for å laste ned det som trengs før eller under installasjonen. Slik det ser ut, må du imidlertid finne, laste ned og installere Java på egenhånd før du går videre til PingFederate.

Når PingFederate er installert, starter den den webbaserte administrasjonskonsollen. Konsollen tilbyr veiviseren "Connect to an Identity Repository", som du må bruke for å lage en aktiveringsnøkkel som deretter må legges inn i PingFederate. Når aktiveringsnøkkelen er skrevet inn, må du ha grunnleggende informasjon om AD Active-miljøet ditt, inkludert ting som navn på en servicekonto og en brukercontainer. Når det er gjort, bør katalogen din være koblet til Ping Identity PingOne.

Jeg skulle gjerne sett noen grafiske elementer i katalogtilkoblingsprosessen som viser katalogtreet, la deg velge hvilke containere som skal synkroniseres, eller til og med la deg søke og bla gjennom til brukerobjekter. Ping-identitet PingOne bør innse at ikke alle forstår hva et utpreget navn er mindre enn dens riktige syntaks.

Katalogintegrasjon

Ping-identitet PingOne kan integreres med AD-domener ved å bruke enten AD Connect, PingFederate, Google G Suite eller en tredjeparts katalog (SAML) for sikkerhetstillatelse Markup Language (SAML). Mens de fleste toppleverandører på IDaaS-plassen, inkludert Okta Identity Management og OneLogin, lagrer brukere og en undergruppe av tilgjengelige attributter, lagrer ikke Ping Identity PingOne kopier av bedriftens identiteter. Snarere kobles den til identitetsleverandøren din på forespørsel ved å bruke en av de medfølgende kontaktene. På grunn av denne grunnleggende arkitektoniske forskjellen, vil de fleste IT-proffene påpeke at det er viktig å implementere PingFederate på riktig måte for å forhindre et enkelt feil punkt på grunn av at PingFederate-serveren er offline.

For å være rettferdig her, er imidlertid realiteten at det meste av konkurransen krever at du uansett opprettholder en katalogforbindelse. Den eneste forskjellen er at de fleste leverandører ganske enkelt trenger dette for autentisering, ikke for hele settet med brukerattributter. For meg er denne arkitekturdifferensieringen overkill, men det er en legitim nøling blant selskaper om å opprettholde personvern mens du flytter til skyen. Så kanskje PingIdentity har funnet en god balanse mellom å unngå skyen helt og hoppe inn uten ny tanke.

Det er flere store fordeler med å bruke PingFederate sammen med Ping Identity PingOne i tillegg til økt kontroll over hvordan identitetene dine blir utsatt. Først er muligheten til å integrere seg med flere katalogtyper, inkludert LDAP-kataloger for lettvektig katalog. Nesten knyttet til den standardbaserte funksjonaliteten er PingFederate muligheten til å koble seg til flere identitetskilder og samle dem sammen. Ping-identitet PingOne tilbyr ikke denne muligheten på skyenivå, så PingFederate er det beste alternativet for å slå sammen identiteter fra flere kilder.

PingFederate tilbyr et vell av konfigurasjonsalternativer, inkludert muligheten til å spesifisere hvilke identitetsattributter som blir utsatt for Ping Identity PingOne. Ettersom brukerattributter som e-postadresser og navn sannsynligvis vil bli brukt for enkel pålogging (SSO) til Software-as-a-Service (SaaS) -applikasjoner, kan disse attributtene være avgjørende for implementeringen din. Å velge hvilke attributter som skal synkroniseres, bruker et litt mer grafisk verktøy enn katalogsynkroniseringskonfigurasjonen, men det ligger begravet ganske dypt i PingFederate-administrasjonskonsollen.

Brukerlevering

Mens Ping Identity PingOne ikke lagrer brukernavn eller attributter, opprettholder den en liste over grupper synkronisert fra katalogen din. Disse gruppene kan tilordnes apper du har konfigurert for SSO. Brukere som har medlemskap i disse gruppene vil da få tilgang til disse appene i dock.

I de fleste tilfeller må brukerkontoer i SaaS-apper tilordnes manuelt. Et begrenset delmengde av de tilgjengelige SaaS-appene (inkludert Concur og DropBox) støtter automatisert brukerlevering, selv om dette i stor grad er på SaaS-appene for å avsløre nødvendige applikasjonsprogrammeringsgrensesnitt (APIer). Faktisk gjør ikke Microsoft Office 365 SSO-appen som er oppført som "SAML with Provisioning" noe slikt. I stedet krever det at du installerer Microsofts katalogsynkroniseringsverktøy, noe som betyr at tilbudsaspektene for den aktuelle appen ikke blir håndtert av Ping i det hele tatt.

Tjenestekonfigurasjon i Ping Identity PingOne er tungvint sammenlignet med både Okta Identity Management og OneLogin. To områder jeg bekymrer meg for, er måten noen SaaS-apper blir identifisert og hvordan administratorer muliggjør klargjøring. Konfigurering av proviant med Google G Suite krever at du velger Google Gmail-appen, noe som er ganske forvirrende. Tjenestetilførsel er aktivert gjennom appkonfigurasjonsveiviseren, men krever at du krysser av i en rute nederst på en av skjermbildene for å se alternativene for brukerstilling. Tjenestetilførsel er en av få må-ha-funksjoner for IDaaS-suitene, og den begrensede tilbudsstøtten Ping Identity PingOne tilbyr er bare et halvt skritt fra å ikke støtte det i det hele tatt.

Godkjenningstyper

Ping-identitet PingOne tilbyr sterk autentisering til apper som støtter SAML-standarden, samt muligheten til å logge på andre SaaS-apper ved å bruke lagrede legitimasjonsbeskrivelser (omtrent som et passordhvelv). Appkatalogen sier tydelig hvilken type autentisering som støttes av hver app. Noen apper støtter faktisk begge godkjenningstyper (i så fall er SAML den anbefalte metoden). Tilkobling til en app som støtter SAML-godkjenning, må vanligvis konfigureres på begge sider av tilkoblingen, noe som betyr at SaaS-appen må ha SAML-støtte aktivert og noe grunnleggende konfigurasjon må utføres. Ping-identitet PingOnes appkatalog inneholder installasjonsinformasjon for hver SAML-app, noe som gjør konfigurasjonen av denne koblingen ganske grei.

Ping-identitet PingOne støtter økt autentiseringsstyrke i form av MFA. MFA kan brukes på spesifikke apper og grupper av brukere (eller IP-adresseområder) ved å bruke en autentiseringspolicy. Imidlertid tilbyr Ping Identity PingOne bare en enkelt autentiseringspolicy og mangler evnen til å filtrere etter både gruppe og IP-adresse. Dette gjør at Ping Identity PingOne henger etter noen av konkurransene som Okta Identity Management eller Azure AD, som begge i det minste lar deg konfigurere autentiseringspolicyer per app-basis.

Ping-identitet PingOnes MFA-implementering bruker PingID, en smarttelefon-app som utfører det ekstra autentiseringstrinnet enten gjennom en bekreftelsesprosess eller et engangspassord. Brukere kan også motta engangs passord via SMS eller talemeldinger eller med en YubiKey USB sikkerhetsenhet. Selv om dette kan betjenes på et veldig grunnleggende nivå, trenger Ping Identity PingOne virkelig å styrke spillet sitt hvis de vil bli tatt på alvor fra et MFA-synspunkt. Selv LastPass Enterprise slår dem forsvarlig med tanke på MFA-evner.

Enkelt pålogging

SSO er et annet område der PingFederates arkitekturvalg har betydning. Under SSO-godkjenningsprosessen logger brukerne seg på Ping Identity PingOne-dokkingstasjonen, som omdirigerer dem til PingFederate-tjenesten som er vert på deres bedriftsnettverk. For brukere på det interne bedriftsnettverket er dette sannsynligvis et ikke-problem, men vil kreve litt ekstra brannmurkonfigurasjon (port 443) for brukere på utsiden som ser inn.

Det brukervendte SSO-dashbordet, Ping Identity PingOne-dock, har forbedret seg noe siden forrige besøk. Den enkle listen over SaaS-apper er erstattet av et rutenett med ikoner som også kan navigeres ved hjelp av en utflyttingsmeny på venstre side. Administratorer kan aktivere en personlig del av dokkingstasjonen der brukere kan legge til sine egne SaaS-kontoer. Ping-identitet PingOne-nettleserutvidelser forbedrer dockopplevelsen, og gir SSO-tilgang til apper uten å måtte gå tilbake til dock.

Ping Identity PingOne-dashbordet har noen hermetiske rapporter som viser påloggingsstatistikk, inkludert et globalt kart som viser hvor disse godkjenningene stammer fra. Rapporteringsfunksjonaliteten dekker det grunnleggende for å begynne å skaffe informasjon om brukergodkjenninger som behandles gjennom Ping Identity PingOne, men det tillater ikke noen dyp analyse eller feilsøkingsdata.

Priser og avgifter

Ping-identitet PingOne koster 28 dollar per bruker hvert år og MFA koster ytterligere 24 dollar per år. Volum- og pakkerabatter er tilgjengelige fra PingIdentity. For et produkt med klare svakheter sammenlignet med Azure AD, Okta Identity Management og OneLogin, er Ping Identity PingOnes priser konkurransedyktige, men ikke nok til å gi mye insentiv til å velge det fremfor konkurransen.

Totalt sett har Ping Identity PingOne gjort noen arkitekturvalg som er grunnleggende annerledes enn konkurransen, og noen av dem vil bli verdsatt av organisasjoner med sikkerhets- eller personvernhensyn. Dessverre gir ikke arkitekturen nok fordeler til å overvinne noen områder der Ping Identity PingOne kommer til kort - spesielt begrensningen i sikkerhetspolicyer, rapporter om barebones og mest kritisk brukertilførsel. Med mindre personvern er din største bekymring og Ping Identity PingOne hjelper deg å fjerne det hinderet, kan vi ikke anbefale det over Azure AD, Okta Identity Management eller OneLogin. Imidlertid, hvis du er i en bransje som er spesielt følsom for datasikkerhetssikkerhet, kan Ping Identity PingOne være et akseptabelt alternativ for deg.