Revisió i qualificació del pingó d’identitat del ping

Ping Identity PingOne és un executant sòlid a l’espai Identity-Management-as-a-Service (IDaaS). Ofereix múltiples opcions per autenticar-se en un entorn Active Directory (AD) existent, així com suport per a Google Apps o altres directoris de tercers. Quan Ping Identity PingOne es queda al marge d'alguna competició (inclosos els guanyadors de l'Editors 'Choice, el directori actiu Microsoft Azure i Okta Identity Management, es troba en àrees com ara polítiques d'autenticació i informes. En aquestes categories, Ping Identity PingOne simplement no ofereix el mateix nivell. de sofisticació com la competència, però, amb un cost de 28 dòlars per usuari anualment, el preu de Ping Identity PingOne és competitiu amb la resta del camp de solucions IDaas, a més, el seu focus en no emmagatzemar dades al núvol serà atractiu per a alguns.

Configuració i configuració

La configuració inicial i la configuració de Ping Identity PingOne és un procés de dos passos. Primer, s’ha de crear el vostre compte PingO Identity PingOne juntament amb un usuari administratiu per gestionar el servei. En segon lloc, PingO Identity PingOne s'ha de connectar al vostre directori corporatiu per realitzar l'autenticació amb el servei d'identitat existent. Ping Identity ofereix dues opcions per connectar un entorn AD existent: ADConnect (no confondre’s amb Azure AD Connect de Microsoft) i PingFederate. ADConnect és una instal·lació senzilla i requereix molt poca configuració al directori. Tot i això, està limitat a un sol domini d’AD, cosa que significa que la majoria d’organitzacions més grans hauran d’optar per PingFederate.

Afortunadament, la instal·lació de PingFederate també és senzilla, tot i que Java Server Edition és un requisit previ. Una queixa que tinc és que l’utilitat de configuració PingFederate afirma simplement que la variable d’entorn JAVA_HOME ha d’apuntar a un temps d’execució Java vàlid, sense fer menció del requisit per a l’edició del servidor. Si bé Ping Identity PingOne explica clarament la necessitat del requeriment Java, preferiria que l'utilitat de configuració inclogui tots els programes previs o, com a mínim, ofereixi un camí clar per descarregar el que cal abans o durant la instal·lació. Tal com està, però, haureu de localitzar, descarregar i instal·lar Java pel vostre compte abans de passar a PingFederate.

Un cop instal·lat PingFederate, llança la consola d'administració basada en la web. La consola ofereix l'assistent "Connectar-se a un dipòsit d'identitat", que heu d'utilitzar per crear una clau d'activació que després cal introduir a PingFederate. Un cop introduïda la clau d’activació, tingueu a la vostra disposició informació bàsica sobre el vostre entorn Active Active, incloses coses com ara noms distingits per a un compte de servei i un contenidor d’usuaris. Un cop fet això, el vostre directori hauria de connectar-se a PingOing Identity PingOne.

M’hauria agradat haver vist alguns elements gràfics en el procés de connexió de directori que mostra l’arbre de directoris, permetent-vos seleccionar quins contenidors voleu sincronitzar o, fins i tot, deixar-vos cercar i navegar per objectes d’usuari. Ping Identity PingOne hauria d’adonar-se que no tothom entén el que un nom distingit és molt menys la seva sintaxi adequada.

Integració de directoris

PingO Identity PingOne es pot integrar amb dominis AD mitjançant un directori AD Connect, PingFederate, Google G o un directori SAML (tercer assertion Markup Language). Tot i que la majoria de venedors principals a l’espai IDaaS, inclosos Okta Identity Management i OneLogin, emmagatzemen usuaris i un subconjunt dels seus atributs disponibles, Ping Identity PingOne no emmagatzema còpies de les vostres identitats corporatives. Més aviat, es connecta al proveïdor d’identitat sota demanda mitjançant un dels connectors proporcionats. A causa d'aquesta diferència arquitectònica fonamental, la majoria de professionals de les TI remarquen que és fonamental implementar PingFederate adequadament per evitar un únic punt de fracàs a causa que el servidor PingFederate estigui fora de línia.

Per ser justos, però, la realitat és que la majoria de la competència requereix que teniu una connexió de directori de totes maneres. L’única diferència és que la majoria dels proveïdors simplement necessiten això per a l’autenticació, no per al conjunt complet d’atributs dels usuaris. Per a mi, aquesta diferenciació d’arquitectura és excessiva, però hi ha una legítima vacil·lació entre les empreses per mantenir la privadesa mentre es mouen al núvol. Així doncs, potser PingIdentity ha trobat un bon equilibri entre evitar el núvol del tot i saltar-se sense un segon pensament.

Hi ha diversos avantatges d’utilitzar PingFederate al costat de Ping Identity PingOne, a més del major control sobre com s’exposen les vostres identitats. Primer, és la possibilitat d’integrar-se amb tipus de directori addicionals, inclosos els directoris LDAP (Directory Light Access Access Protocol). Està íntimament lligada a la funcionalitat basada en estàndards la capacitat de PingFederate de connectar-se amb diverses fonts d’identitat i agregar-les. Ping Identity PingOne no ofereix aquesta habilitat a nivell del núvol, de manera que PingFederate és la vostra millor aposta per combinar identitats de diverses fonts.

PingFederate ofereix una gran quantitat d’opcions de configuració, incloent la capacitat d’especificar quins atributs d’identitat estan exposats a PingOing Identity PingOne. Com que els atributs d'usuari, com ara les adreces de correu electrònic i els noms, probablement s'utilitzin per a les aplicacions de sessió única (SSO) a les aplicacions de Programari com a servei (SaaS), aquests atributs poden ser crucials per a la seva implementació. La selecció dels atributs a sincronitzar utilitza una eina gràfica lleugerament més que la configuració de sincronització de directoris, però està enterrada força a la consola d'administració PingFederate.

Provisió d'usuaris

Si bé Ping Identity PingOne no emmagatzema noms d'usuari ni els seus atributs, sí que manté una llista de grups sincronitzats del vostre directori. A aquests grups es poden assignar aplicacions que heu configurat per a SSO. Els usuaris que s’adhereixin a aquests grups podran accedir a aquestes aplicacions al seu moll.

En la majoria dels casos, els comptes d'usuari de les aplicacions SaaS hauran de ser proporcionats manualment. Un subconjunt limitat de les aplicacions SaaS disponibles (incloses Concur i DropBox) admeten els subministraments automàtics d'usuaris, tot i que això depèn principalment de les aplicacions SaaS per exposar les interfícies de programació d'aplicacions necessàries (API). De fet, l’aplicació SSO de Microsoft Office 365 inclosa com a "SAML amb aprovisionament" no fa res. En el seu lloc, requereix que instal·leu eines de sincronització de directori de Microsoft, és a dir, els aspectes de subministrament d'aquesta aplicació concreta no es gestionen en absolut.

La configuració de la provisió a Ping Identity PingOne és feixuga en comparació amb Okta Identity Management i OneLogin. Dues àrees sobre les quals tinc preocupacions són la forma en què s’identifiquen algunes aplicacions de SaaS i la manera com els administradors permeten el subministrament. Configurar el subministrament amb Google G Suite requereix que trieu l’aplicació Google Gmail, que resulta bastant confusa. El subministrament està activat mitjançant l'assistent de configuració de l'aplicació, però requereix que marqueu una casella a la part inferior d'una de les pantalles per veure les opcions de aprovisionament dels usuaris. El subministrament és una de les poques característiques imprescindibles per a les suites IDaaS i el suport de subministrament limitat que ofereix Ping Identity PingOne està a només un mig pas de no donar-ne cap suport.

Tipus d'autenticació

Ping Identity PingOne ofereix una autenticació forta a les aplicacions que admeten l'estàndard SAML, així com la possibilitat d'iniciar sessió en altres aplicacions SaaS mitjançant les credencials emmagatzemades (com una volta de contrasenya). El catàleg d'aplicacions estableix clarament quin tipus d'autenticació és compatible amb cada aplicació. De fet, algunes aplicacions admeten ambdós tipus d’autenticació (en aquest cas SAML és el mètode recomanat). La connexió a una aplicació que admet l'autenticació SAML normalment s'ha de configurar a banda i banda de la connexió, és a dir, que l'aplicació SaaS ha de tenir habilitat la compatibilitat SAML i s'ha de realitzar alguna configuració bàsica. El catàleg d'aplicacions de PingO Identity PingOne inclou informació de configuració per a cada aplicació SAML, cosa que fa que la configuració d'aquest enllaç sigui bastant senzilla.

Ping Identity PingOne permet augmentar la força d'autenticació en forma de MFA. MFA es pot aplicar a aplicacions i grups específics d’usuaris (o rangs d’adreces IP) mitjançant una política d’autenticació. Tanmateix, Ping Identity PingOne només ofereix una política d’autenticació única i no té la capacitat de filtrar tant per adreça de grup com per IP. Això fa que PingOing Identity PingOne quedi al marge d'alguna de les competències com Okta Identity Management o Azure AD, ambdues que, almenys, us permetran configurar polítiques d'autenticació de forma independent per aplicació.

PingO Identity La implementació MFA de PingOne utilitza PingID, una aplicació per a telèfons intel·ligents que realitza el pas d'autenticació addicional mitjançant un procés de confirmació o una contrasenya única. Els usuaris també poden rebre contrasenyes d’un sol ús mitjançant missatges SMS o de veu o amb un dispositiu de seguretat USB YubiKey. Tot i que això pot ser útil a un nivell molt bàsic, Ping Identity PingOne necessita realment intensificar el seu joc si es vol prendre seriosament des del punt de vista de l'MFA. Fins i tot LastPass Enterprise els supera perfectament en termes de capacitats MFA.

Inici de sessió únic

SSO és un altre àmbit en què les opcions d’arquitectura de PingFederate tenen un impacte. Durant el procés d’autenticació SSO, els usuaris inicien la sessió al moll PingOne d’identitat Ping, que els redirigeix ​​al servei PingFederate allotjat a la seva xarxa corporativa. Per als usuaris de la xarxa corporativa interna, és probable que no es produeixi cap problema, però caldrà una configuració addicional del tallafoc (port 443) per als usuaris que busquen a la part exterior.

El tauler SSO orientat per l'usuari, el moll PingOne PingOne, ha millorat una mica des de la darrera visita. La llista senzilla d'aplicacions SaaS s'ha substituït per una graella d'icones que també es poden navegar mitjançant un menú desplegable situat a la part esquerra. Els administradors poden habilitar una secció personal del dock on els usuaris poden afegir els seus propis comptes SaaS. Les extensions del navegador PingOne Identity PingOne milloren l'experiència del dock, proporcionant accés SSO a les aplicacions sense haver de tornar al moll.

El tauler de control Ping Identity PingOne té alguns informes enllaçats que mostren estadístiques d’inici de sessió incloent un mapa global que mostra des d’on s’originen aquestes autenticacions. La funcionalitat d’informes cobreix els fonaments bàsics necessaris per començar a obtenir informació sobre les autentificacions d’usuaris que s’estan processant a través de Ping Identity PingOne, però no permet fer cap anàlisi o resolució de problemes.

Tarifes i tarifes

Ping Identity PingOne costa 28 dòlars per usuari cada any i MFA costa 24 dòlars addicionals anuals. Descomptes de volum i de paquets estan disponibles a PingIdentity. Per a un producte amb debilitats clares en comparació amb Azure AD, Okta Identity Management i OneLogin, el preu de Ping Identity PingOne és competitiu, però no és suficient per oferir un gran al·licient per triar-lo per sobre de la competència.

En general, Ping Identity PingOne va fer algunes opcions d’arquitectura fonamentalment diferents de la competència i algunes d’elles apreciaran les organitzacions amb problemes de seguretat o privadesa. Malauradament, l’arquitectura no proporciona avantatges suficients per superar algunes àrees on Ping Identity PingOne es queda poc freqüent, particularment la limitació en polítiques de seguretat, els informes descalços i l’aprovisionament més crític d’usuaris. Tret que la privadesa sigui la vostra màxima preocupació i Ping Identity PingOne t’ajuda a esborrar aquest obstacle, no ho podem recomanar a través d’Azure AD, Okta Identity Management o OneLogin. Tanmateix, si esteu en una indústria que és especialment sensible a la seguretat de les dades en núvol, Ping Identity PingOne pot ser una opció acceptable per a vosaltres.