Revisió i valoració d’Onelogin

OneLogin ofereix un servei de gestió d’identitats molt ric en funcions que no destruirà el banc. OneLogin ofereix quatre nivells de preus entre la seva versió gratuïta i el seu nivell il·limitat de 8 USD per usuari per mes. El servei comprova totes les principals caselles de funcions de gestió de la identitat, incloses diverses polítiques de seguretat, aplicacions mòbils per al portal d’usuaris i autenticació multifactor (MFA), així com tots els mecanismes d’autenticació de claus. OneLogin fins i tot proporciona un parell de sorpreses que no trobareu a la competició. Però, si bé es troba a la part superior de la nostra llista, les funcions de OneLogin no coincideixen del tot amb els guanyadors de la selecció dels editors Okta Identity Management o Microsoft Azure Active Directory (AD), i la dependència de OneLogin dels mapatges serà una mica confusa per a alguns. Tot i això, OneLogin segueix sent un dels millors competidors i pot servir per a la majoria dels petits per a clients de mida mitjana (SMB).

Configuració i configuració

Com començar amb OneLogin i connectar-lo al servei de directori existent és bastant normal. Al iniciar la sessió d'administració de OneLogin per primera vegada, se us ofereix un assistent de configuració que us guiarà pels passos inicials necessaris per completar el procés de configuració, incloent la creació del vostre subdomini, la importació d'usuaris i l'addició d'aplicacions.

OneLogin és compatible amb diversos tipus de directoris, inclòs el Microsoft Active Directory (AD), Google G Suite, Workday i el protocol d'accés de directori lleuger (LDAP) mitjançant SSL o el connector de OneLogin. La connexió d’AD a OneLogin implica descarregar i instal·lar el seu connector AD i completar uns senzills passos de configuració (seleccionar un compte de servei, configurar un número de port i seleccionar el domini a sincronitzar). Al igual que l'agent PingFerate PingOne Identity, OneLogin va optar per utilitzar un testimoni per associar el connector AD a OneLogin en lloc de les vostres credencials del compte. Un cop feta l’associació, podeu configurar el connector AD (en particular, seleccionant quines unitats organitzatives o grups a sincronitzar). Per a l'equilibri de càrrega i la tolerància a les falles, es poden desplegar diversos connectors AD de manera que es pugui mantenir la disponibilitat en cas que falla un.

Com a diversos dels seus competidors, OneLogin avança cap a un enfocament integral per gestionar les identitats corporatives mitjançant la integració amb altres fonts d’identitat com els sistemes de gestió de recursos humans (RRHH), inclosos Workday, UltiPro i, a saber. Si utilitzeu el conjunt d'eines de OneLogin, no només podeu crear i gestionar identitats dins OneLogin i qualsevol programari associat com a aplicacions de servei (SaaS), sinó que podeu reduir aquestes identitats a Active Directory, limitant l'entrada doble i millorant la precisió.

Integració de directoris i aprovisionament d'usuaris

Un altre aspecte clau de la integració de directoris és triar quins atributs importareu d’AD i configurar-los. OneLogin us permet crear camps personalitzats i definir quin atribut AD inclourà en aquests camps. Segons les vostres necessitats empresarials, aquests camps poden ser útils per configurar mapatges de polítiques d’aplicació o de seguretat. Per exemple, si l’organització ha ampliat el seu esquema d’AD per incloure atributs personalitzats que continguin informació sobre l’estructura de la vostra empresa, OneLogin facilita aprofitar aquesta informació.

La pestanya Avançada de la connexió d’AD a la consola d’administradors de OneLogin permet configurar si els usuaris nous es creen automàticament com a usuaris OneLogin o bé si s’estableixen simplement, necessitant un toc personal d’un administrador abans de la creació d’un usuari. La configuració de la pestanya Avançada també us permetrà configurar com OneLogin gestiona els usuaris desactivats o eliminats en AD.

Una diferència clau entre OneLogin i la majoria de la competència és la forma en què gestiona els treballs de grups i les sol·licituds. Per començar, OneLogin no sincronitza grups de seguretat d'AD; més aviat, els grups es gestionen de forma independent a OneLogin. Els grups de OneLogin s’utilitzen principalment per assignar polítiques de seguretat als usuaris que contenen, mentre que els rols s’utilitzen per gestionar l’assignació d’aplicacions. Els usuaris es poden assignar a grups OneLogin manualment o bé mitjançant mapes, una eina d'automatització que utilitza condicions i accions per gestionar els usuaris (assignant-los a grups o rols i fins i tot canviar el seu estat o alterar atributs sobre la marxa). Els mapatges són una característica clau de OneLogin, que afegeix tant flexibilitat com complexitat addicional a com es gestionen les polítiques de seguretat i les assignacions d'aplicacions. Tot i que m’agrada el concepte i la flexibilitat que ofereix, crec que certament confon les coses. M’hauria encantat haver vist una combinació de sincronització de grups i la capacitat d’assignar dinàmicament polítiques o aplicacions mitjançant alguna cosa com mapatges.

Un cop hàgiu configurat alguns mapes per assignar usuaris als rols, podeu iniciar el procés de configuració de l'accés d'inici de sessió (SSO) a les aplicacions SaaS i d'assignar aquestes aplicacions als rols. OneLogin ofereix un catàleg d'aplicacions similar a d'altres eines IDaaS i el catàleg identifica quins mètodes d'autenticació hi ha disponibles per a cada aplicació. Una bona característica que ofereix OneLogin per a aplicacions SaaS compatibles és una configuració parcialment automàtica dels dos costats de la connexió SAML (Security Assertion Markup Language). Google G Suite, per exemple, admet la configuració automàtica després d'un intercanvi de testimonis OAuth. OneLogin també admet el subministrament d'usuaris de SaaS, però, com en qualsevol solució IDaaS, depèn de l'aplicació SaaS que ofereix una interfície de programació d'aplicacions (API) per realitzar funcions de subministrament. Moltes de les principals aplicacions SaaS admeten els subministraments d’usuaris com Google G Suite, Microsoft Office 365, Dropbox i, possiblement, moltes altres, fent que el subministrament automatitzat sigui una característica obligatòria en una solució IDaaS.

Una de les funcions avançades que ofereix OneLogin inclou aplicacions SaaS que no ofereixen suport SAML. Utilitzant un connector personalitzat, OneLogin permet definir els URL i els elements de formulari implicats en el procés d’inici de sessió d’una aplicació que no es troba fàcilment disponible al catàleg OneLogin. Els connectors personalitzats us permeten seleccionar el formulari i els elements de formulari mitjançant etiquetes HTML, com ara l’acció del formulari o el nom i l’ID del botó, el tipus, el nom o el valor. Els administradors també poden afegir connectors personalitzats mitjançant l'extensió del navegador OneLogin, que racionalitzarà el procés de captura dels designadors d'elements de formulari i permetrà el connector personalitzat. El que significa això és que OneLogin ofereix un mètode preparat per connectar-se a aplicacions personalitzades poc conegudes o fins i tot internes.

Una altra característica que distingeix OneLogin és la seva capacitat per admetre diverses pàgines d’autoreregistrament. Els usuaris que sol·liciten comptes mitjançant aquestes pàgines només s’emmagatzemen de manera predeterminada a OneLogin. Aquestes pàgines de registre es poden utilitzar per inscriure usuaris que no formen part del vostre entorn d’AD, però necessiten algun nivell d’accés a determinades aplicacions empresarials. Els casos d’ús d’aquestes funcions inclouen estudiants, interns o voluntaris. Durant la configuració d'una pàgina d'autoregistrament, podeu definir si cal emprendre o no l'acció administrativa abans que es doni el compte completament, així com un rol i grup predeterminat per als usuaris nous.

Aplicacions per a mòbils i sessió única

Els administradors poden fer molt personalitzar el portal d'usuaris de OneLogin, inclosos canvis de color, gràfics i contingut d'ajuda personalitzada. Els usuaris també poden personalitzar la seva experiència de portal mitjançant la determinació de com s’inicien les aplicacions (ja sigui en una finestra nova o la mateixa) i si s’ha d’utilitzar una vista amb pestanya. Els usuaris també poden emmagatzemar notes segures al seu portal d’usuaris i associar un dispositiu d’autenticació per utilitzar-lo amb l’autenticació multifactor (MFA). OneLogin té dues aplicacions mòbils: OneLogin Launcher, que és una versió mòbil del portal d’usuaris, i OneLogin OTP, que és una opció multifactor que utilitza contrasenyes d’un sol ús. Podeu associar OneLogin OTP amb el vostre compte OneLogin introduint un identificador de credencial que identifiqui el dispositiu individual i contrasenyes consecutives generades per l'aplicació.

OneLogin admet dos tipus de polítiques de seguretat: polítiques d’usuari i d’aplicacions. Les polítiques d’aplicació es poden utilitzar per requerir la verificació d’una contrasenya única (OTP) o aplicar les restriccions d’adreça IP per a aplicacions individuals, permetent aplicar polítiques de forma selectiva en funció de la ubicació de la xarxa de l’usuari (com a la xarxa de l’empresa o des de la mateixa). Les polítiques de seguretat aplicades als usuaris es poden utilitzar per aplicar la complexitat de la contrasenya i per actualitzar les capacitats i la informació de la sessió (inclòs el comportament de bloqueig i el temps d'espera de sessió). Les polítiques de seguretat també es poden utilitzar per fer complir els requisits de multifactor i les restriccions d’adreça IP.

Podeu aprofitar les polítiques d’usuari per habilitar l’inici de sessió social, que permet als usuaris autenticar-se al vostre entorn OneLogin mitjançant qualsevol credencial existent que puguin tenir a Google, Facebook, LinkedIn o Twitter. També podeu utilitzar aquestes credencials per proporcionar als socis comercials o clients accés a les vostres eines SaaS o aplicacions corporatives internes.

L’autenticació adaptativa de OneLogin és una solució basada en l’aprenentatge automàtic que és igual a les capacitats que ofereix Microsoft Azure AD i Centrify. Està dissenyat per millorar la seguretat assignant valors de risc a aplicacions o recursos específics i, tot seguit, recomanant passos addicionals, com ara MFA, si la puntuació de risc del recurs indica una seguretat més elevada.

Gran reportatge

El motor d’informes que ofereix OneLogin és un altre element destacat del servei. Hi ha diversos informes enllaunats disponibles i podeu clonar qualsevol informe i personalitzar-lo a les vostres necessitats. També podeu crear informes nous des de zero, afegint els camps i els filtres que vulgueu. Fins i tot els informes es poden configurar per agrupar-los en una columna. Malauradament, no sembla haver-hi cap forma de programar informes, però podeu exportar cap dels conjunts de resultats a un fitxer CSV per a més anàlisis. La capacitat de clonar i personalitzar informes és una raresa a l’espai IDaaS, cosa que ni tan sols s’ofereixen altres solucions més destacades com Okta Identity Management o Azure AD.

OneLogin admet solucions de gestor d’esdeveniments de seguretat (SEIM) com Splunk o Sumo Logic mitjançant emissores d’esdeveniments. Es configuren per enviar les càrregues de pagament de la notificació d'objectes JavaScript (JSON) a URL que, al seu torn, estan configurades per consumir les dades. A més, podeu configurar les notificacions per correu electrònic mitjançant un motor d’acció de condicions, un procés que OneLogin ha facilitat de configurar.

L’estructura de preus de OneLogin es troba en el mateix pal de pilota que la majoria del mercat, però OneLogin ofereix un nivell gratuït que limita els usuaris a tres aplicacions corporatives, cinc aplicacions personals i no ofereix cap MFA. El nivell inicial de 2 dòlars al mes afegeix MFA i pot gestionar SSO en un nombre il·limitat d'aplicacions SaaS. El nivell inicial també ofereix la possibilitat de proporcionar una funcionalitat de restabliment de contrasenyes tant per a les contrasenyes de OneLogin com per a directori. Les empreses que busquen més seguretat hauran de cobrar 4 dòlars per usuari al mes pel nivell de servei Enterprise, que ofereix polítiques de seguretat i també admet la sincronització de diversos directoris. El nivell il·limitat de màxim nivell a 8 dòlars per usuari al mes és necessari per a l'aprovisionament automàtic d'usuaris en aplicacions SaaS, així com per a camps personalitzables.

A més dels nivells bàsics de preus, OneLogin ofereix uns quants complements. LDAP virtual ($ 2 per usuari al mes) permet al vostre directori OneLogin actuar com un directori LDAP estàndard. Això la fa accessible a multitud d'aplicacions i serveis que han decidit aprofitar l'estàndard LDAP de llarga data. Les funcions d’autenticació adaptativa que ofereixen aprenentatge automàtic i el control basat en el risc sobre l’autenticació també suposen un cost addicional a 3 dòlars addicionals per usuari al mes.

Cal esmentar que OneLogin va patir recentment un incident de seguretat important. Si bé la seguretat és d’important importància per a una eina que s’utilitza per augmentar la seguretat corporativa, és difícil jutjar l’impacte d’una infracció d’aquest tipus. Moltes empreses probablement evitin OneLogin a causa de la seva trajectòria recent, mentre que altres es centraran més en la reacció de OneLogin davant l'incident, en lloc de l'esdeveniment en si. Jo solc entrar en aquesta darrera categoria personalment i OneLogin ha estat comunicatiu amb la seva base d’usuaris durant tot el procés i estic treballant amb el seu proveïdor de serveis en núvol i fins i tot amb alguns dels seus clients amb experiència aplicable per tal d’ajustar els seus controls i polítiques de seguretat. evitar que aquesta situació es produeixi en el futur.

No s'ha de subestimar l'ús de mapes de OneLogin. Si un punt de venda de SaaS i IDaaS és l'eficiència, els mapatges només porten això al següent nivell, proporcionant capacitats d'automatització no disponibles a la competició. Dit això, estic una mica inquiet per la seva dependència de mapeig i pel fet que OneLogin no sincronitza grups de seguretat, tot i que això podria beneficiar per a les grans organitzacions amb milers de grups. Tot i això, OneLogin mesura bé amb altres solucions IDaaS en àrees clau com ara l'aprovisionament d'aplicacions SaaS, la integració de directoris i el seu portal SSO. Però, per a mi, l’omissió dels grups de seguretat deixa que OneLogin només sigui tímid d’Okta Identity Management per a la primera llista IDaaS d’aquest cercle.