Pingone-bedømmelse og vurdering af pingone

Ping Identity PingOne er en solid kunstner i IDaaS-rummet Identity-Management-as-a-Service. Det tilbyder flere muligheder for at godkende et eksisterende Active Directory (AD) miljø samt support til Google Apps eller andre tredjepartsmapper. Hvor Ping Identity PingOne mangler nogle af konkurrencerne (inklusive vinderne af Editors 'Choice-Microsoft Microsoft Azure Active Directory og Okta Identity Management er inden for områder som godkendelsespolitikker og rapportering. I disse kategorier tilbyder Ping Identity PingOne simpelthen ikke det samme niveau til en pris på $ 28 pr. bruger årligt, er Ping Identity PingOnes priser konkurrencedygtige med resten af ​​feltet IDaas-løsninger. Desuden vil dens fokus på ikke at gemme data i skyen være attraktiv for nogle.

Opsætning og konfiguration

Den første opsætning og konfiguration af Ping Identity PingOne er en totrinsproces. Først skal din Ping Identity PingOne-konto oprettes sammen med en administrativ bruger for at administrere tjenesten. For det andet skal Ping Identity PingOne være forbundet til din virksomhedsmappe for at udføre godkendelse mod din eksisterende identitetstjeneste. Ping Identity tilbyder to muligheder for tilslutning af et eksisterende AD-miljø: ADConnect (ikke at forveksle med Microsofts Azure AD Connect) og PingFederate. ADConnect er en ligetil installation og kræver meget lidt konfiguration på katalogsiden. Det er dog begrænset til et enkelt AD-domæne, hvilket betyder, at de fleste større organisationer bliver nødt til at vælge PingFederate.

Heldigvis er installation af PingFederate også ligetil, selvom Java Server Edition er en forudsætning. En klage, jeg har, er, at PingFederate-opsætningsværktøjet blot siger, at JAVA_HOME-miljøvariablen skal pege på en gyldig Java-runtime, uden at nævne kravet til Server Edition. Mens Ping Identity PingOne klart stiller behovet for Java-kravet, vil jeg helst foretrække, at opsætningsværktøjet inkluderer al den forudsatte software - eller, som et minimum, tilbyder en klar sti til at downloade, hvad der er nødvendigt før eller under installationen. Som det står, skal du dog finde, downloade og installere Java på egen hånd, før du går videre til PingFederate.

Når PingFederate er installeret, starter den den webbaserede administrationskonsol. Konsollen tilbyder guiden "Opret forbindelse til en identitetsdatabase", som du skal bruge til at oprette en aktiveringsnøgle, der derefter skal indtastes i PingFederate. Når aktiveringsnøglen er indtastet, skal du have nogle grundlæggende oplysninger om dit AD Active-miljø til rådighed, herunder ting såsom markerede navne på en servicekonto og en brugercontainer. Når det er gjort, skal dit bibliotek være forbundet til Ping Identity PingOne.

Jeg ville gerne have set nogle grafiske elementer i katalogforbindelsesprocessen, der viser katalogtræet, lader dig vælge, hvilke containere der skal synkroniseres, eller endda lade dig søge og gennemse til brugerobjekter. Ping-identitet PingOne bør indse, at ikke alle forstår, hvad et kendt navn er langt mindre dets rigtige syntaks.

Directory Integration

Ping-identitet PingOne kan integreres med AD-domæner ved hjælp af enten AD Connect, PingFederate, Google G Suite eller et tredjeparts bibliotek (SAML) fra Security Assertion Markup Language (SAML). Mens de fleste topleverandører i IDaaS-rummet, inklusive Okta Identity Management og OneLogin, gemmer brugere og en undergruppe af deres tilgængelige attributter, gemmer Ping Identity PingOne ikke kopier af dine virksomhedsidentiteter. Tværtimod opretter den forbindelse til din identitetsudbyder efter behov ved hjælp af et af de medfølgende stik. På grund af denne grundlæggende arkitektoniske forskel vil de fleste it-professionelle påpege, at det er kritisk at implementere PingFederate korrekt for at forhindre et enkelt mislykkelsespunkt på grund af, at PingFederate-serveren er offline.

For at være retfærdig her er imidlertid virkeligheden, at det meste af konkurrencen kræver, at du alligevel opretholder en katalogforbindelse. Den eneste forskel er, at de fleste udbydere simpelthen har brug for dette til godkendelse, ikke for det fulde sæt af brugerattributter. For mig er denne arkitekturdifferentiering overdreven, men der er en legitim tøven blandt virksomheder om at opretholde privatlivets fred, mens du flytter til skyen. Så måske har PingIdentity fundet en god balance mellem at undgå skyen helt og hoppe ind uden en anden tanke.

Der er flere store fordele ved at bruge PingFederate sammen med Ping Identity PingOne ud over den øgede kontrol over, hvordan dine identiteter udsættes. Først er muligheden for at integrere med yderligere katalogtyper, herunder LDAP-kataloger med Lightweight Directory Access Protocol. Tæt bundet til den standardbaserede funktionalitet er muligheden for PingFederate at oprette forbindelse med flere identitetskilder og samle dem sammen. Ping-identitet PingOne tilbyder ikke denne mulighed på skyeniveau, så PingFederate er dit bedste valg for at flette identiteter fra flere kilder.

PingFederate tilbyder et væld af konfigurationsindstillinger, herunder muligheden for at specificere, hvilke identitetsegenskaber der udsættes for Ping Identity PingOne. Da brugerattributter som e-mail-adresser og navn sandsynligvis vil blive brugt til single sign-on (SSO) til Software-as-a-Service (SaaS) -applikationer, kan disse attributter være afgørende for din implementering. Valg af hvilke attributter, der skal synkroniseres, bruger et lidt mere grafisk værktøj end mappens synkroniseringskonfiguration, men det er begravet temmelig dybt i PingFederate-administrationskonsollen.

Brugervenliggørelse

Mens Ping-identitet PingOne ikke gemmer brugernavne eller deres attributter, opretholder den en liste over grupper, der er synkroniseret fra dit bibliotek. Disse grupper kan tildeles apps, du har konfigureret til SSO. Brugere, der har medlemskab af disse grupper, får derefter adgang til disse apps i deres dock.

I de fleste tilfælde skal brugerkonti i SaaS-apps leveres manuelt. En begrænset delmængde af de tilgængelige SaaS-apps (inklusive Concur og DropBox) understøtter automatiseret brugerlevering, selvom dette stort set er på SaaS-apps for at afsløre de nødvendige applikationsprogrammeringsgrænseflader (API'er). Faktisk gør Microsoft Office 365 SSO-appen, der er opført som "SAML med levering" ikke sådan noget. I stedet kræver det, at du installerer Microsofts katalogsynkroniseringsværktøjer, hvilket betyder, at leveringsaspekterne for den pågældende app ikke overhovedet håndteres af Ping.

Leveringskonfiguration i Ping-identitet PingOne er besværlig sammenlignet med både Okta Identity Management og OneLogin. To områder, hvor jeg bekymrer mig, er, hvordan nogle SaaS-apps identificeres, og hvordan administratorer muliggør levering. Konfiguration af levering med Google G Suite kræver, at du vælger Google Gmail-appen, hvilket er temmelig forvirrende. Provisioning er aktiveret via appkonfigurationsguiden, men kræver, at du markerer et felt i bunden af ​​en af ​​skærmbillederne for at se indstillingerne for brugerlevering. Levering er en af ​​få must-have-funktioner til IDaaS-suiter, og den begrænsede leveringssupport, som Ping Identity PingOne tilbyder, er kun et halvt skridt væk fra ikke at støtte det overhovedet.

Autentificeringstyper

Ping-identitet PingOne tilbyder stærk autentificering til apps, der understøtter SAML-standarden, såvel som muligheden for at logge ind på andre SaaS-apps ved hjælp af gemte legitimationsoplysninger (meget som et kodeordhvelv). Appkataloget angiver tydeligt, hvilken type godkendelse, der understøttes af hver app. Faktisk understøtter nogle apps begge godkendelsestyper (i hvilket tilfælde SAML er den anbefalede metode). Forbindelse til en app, der understøtter SAML-godkendelse, skal typisk konfigureres på begge sider af forbindelsen, hvilket betyder, at SaaS-appen skal have SAML-understøttelse aktiveret, og nogle grundlæggende konfigurationer skal udføres. Ping-identitet PingOnes appkatalog indeholder installationsoplysninger for hver SAML-app, hvilket gør konfigurationen af ​​dette link temmelig ligetil.

Ping-identitet PingOne understøtter øget godkendelsesstyrke i form af MFA. MFA kan anvendes til specifikke apps og grupper af brugere (eller IP-adresserække) ved hjælp af en godkendelsespolitik. Ping Identity PingOne tilbyder dog kun en enkelt godkendelsespolitik og mangler evnen til at filtrere efter både gruppe og IP-adresse. Dette får Ping Identity PingOne til at hænge bag en del af konkurrencen, såsom Okta Identity Management eller Azure AD, som begge i det mindste giver dig mulighed for at konfigurere godkendelsespolitikker per app-basis.

Ping-identitet PingOnes MFA-implementering bruger PingID, en smartphone-app, der udfører det ekstra autentificeringstrin enten gennem en bekræftelsesproces eller en engangsadgangskode. Brugere kan også modtage en gang-adgangskoder via SMS eller stemmemeddelelser eller med en YubiKey USB-sikkerhedsenhed. Selvom dette kan betjenes på et meget grundlæggende niveau, er Ping Identity PingOne virkelig nødt til at intensivere deres spil, hvis de ønsker at blive taget alvorligt fra et MFA-synspunkt. Selv LastPass Enterprise slår dem forsvarligt med hensyn til MFA-kapaciteter.

Enkelt tilmelding

SSO er et andet område, hvor PingFederates arkitekturvalg har indflydelse. Under SSO-godkendelsesprocessen logger brugerne på deres Ping Identity PingOne-dockingstation, der omdirigerer dem til PingFederate-tjenesten, der er vært på deres virksomhedsnetværk. For brugere på det interne virksomhedsnetværk er dette sandsynligvis et ikke-problem, men vil kræve en vis yderligere firewall-konfiguration (port 443) for brugere udenfor, der kigger ind.

Det brugervendte SSO-instrumentbræt, Ping Identity PingOne-dock, er forbedret noget siden vores sidste besøg. Den ligefremme liste over SaaS-apps er blevet erstattet af et gitter af ikoner, som også kan navigeres ved hjælp af en fly-out-menu til venstre. Administratorer kan aktivere en personlig sektion af dock, hvor brugere kan tilføje deres egne SaaS-konti. Ping-identitet PingOne browserudvidelser forbedrer dockoplevelsen og giver SSO-adgang til apps uden at skulle vende tilbage til dock.

Ping Identity PingOne-instrumentbrættet har nogle konserverede rapporter, der viser log-in-statistik, herunder et globalt kort, der viser, hvor disse godkendelser stammer fra. Rapporteringsfunktionaliteten dækker det grundlæggende, der er nødvendigt for at begynde at få information om brugergodkendelser, der behandles gennem Ping Identity PingOne, men det tillader ikke nogen dyb analyse eller fejlfindingsdata.

Priser og gebyrer

Ping-identitet PingOne koster $ 28 per bruger hvert år, og MFA koster yderligere $ 24 årligt. Volumen- og bundtrabatter er tilgængelige fra PingIdentity. For et produkt med klare svagheder sammenlignet med Azure AD, Okta Identity Management og OneLogin er Ping Identity PingOnes priser konkurrencedygtige, men ikke nok til at give et stort incitament til at vælge det frem for konkurrencen.

Generelt har Ping Identity PingOne foretaget nogle arkitekturvalg, der er grundlæggende forskellige end konkurrencen, og nogle af dem vil blive værdsat af organisationer med sikkerhed eller privatlivets fred. Desværre giver arkitekturen ikke tilstrækkelige fordele til at overvinde nogle områder, hvor Ping Identity PingOne kommer til kort - især begrænsningen i sikkerhedspolitikker, rapporter om barebones og mest kritisk brugerversionering. Medmindre privatlivets fred er din største bekymring, og Ping Identity PingOne hjælper dig med at rydde den hindring, kan vi ikke anbefale det over Azure AD, Okta Identity Management eller OneLogin. Hvis du imidlertid er i en branche, der er særlig følsom overfor datasikkerhed i skyen, kan Ping Identity PingOne muligvis være en acceptabel mulighed for dig.