Laatste beoordeling en beoordeling van ondernemingen

LastPass Enterprise is een grote naam in de wachtwoordkluisarena, dus het is alleen logisch dat het een identiteitsbeheeroplossing (IDM) voor ondernemingen zou hebben. LastPass Enterprise (dat begint bij $ 48 per gebruiker per jaar, het dubbele van de startprijs van toen we het twee jaar geleden voor het eerst beoordeelden) is goed vergelijkbaar met papier met andere IDM-services en biedt functies zoals multifactor-authenticatie (MFA) en meerdere beveiligingsbeleidsregels. Helaas is LastPass Enterprise, zelfs met de verbeteringen die het bedrijf de afgelopen twee jaar heeft aangebracht, nog steeds grof. Het ondersteunt geautomatiseerde gebruikersregistratie voor slechts een handvol Software-as-a-Service (SaaS) -applicaties, biedt minimale flexibiliteit bij het synchroniseren met uw Active Directory (AD) gebruikersaccounts en is over het algemeen ondermaats in hun managementtools en interface-elementen. Overal ter wereld, behalve kleine bedrijven die op zoek zijn naar een snelle beveiligingsupgrade, is het moeilijk LastPass Enterprise aan te bevelen bij onze winnaars 'Editors' Choice in deze categorie, Microsoft Azure Active Directory (AD), Okta Identity Management en het meest recent, Centrify.

Setup en configuratie

Sinds onze laatste beoordeling hebben we vastgesteld dat de AD-synchronisatieclient van LastPass veel is verbeterd. Hoewel de softwareagent op het moment van schrijven alleen een bèta-aanduiding heeft, moedigt LastPass gebruikers aan om het onmiddellijk in productie te gaan gebruiken. Dat komt vooral omdat het nu dingen biedt als een goede afhandeling van geneste groepslidmaatschappen, waarvan het ontbreken een ernstig nadeel was in de vorige versie. Net als veel van zijn concurrenten, inclusief alle winnaars van onze Editors 'Choice en Bitium, gebruikt LastPass de synchronisatieclient om gebruikers en beveiligingsgroepen in uw LastPass Enterprise-account te importeren. De installatie van de synchronisatieclient is redelijk 'cut-and-dried' en als dat is voltooid, kunt u beginnen met het configureren van de Active Directory.

Een andere optie die LastPass Enterprise biedt als alternatief voor hun AD-synchronisatieclient, is een installatie van hun standaard clientsoftware, geconfigureerd om te integreren met het normale Windows-aanmeldingsproces. In dit geval communiceren afzonderlijke computers met uw LastPass Enterprise-account om accountcreatie uit te voeren wanneer een gebruiker zich aanmeldt bij hun computer. Het duidelijke nadeel van deze methode is dat beveiligingsgroepen niet worden gesynchroniseerd met LastPass Enterprise, waarvoor handmatig groepsbeheer binnen de service vereist is. Hoewel deze methode niet optimaal is, biedt deze wel een alternatief voor een op AD gebaseerde agent en is het een uniek aanbod in de IDaaS-ruimte.

Directory-integratie

De AD-synchronisatieclient biedt een aantal configuratieopties, waaronder de mogelijkheid om een ​​domeincontroller van een andere host te targeten. Het bevat ook directory-opties, zoals de te gebruiken basis Distinguished Name (DN), evenals verschillende opties voor het beleidstype, zoals het omgaan met uitgeschakelde accounts of wijzigingen in het lidmaatschap van een groep. LastPass Enterprise synchroniseert zowel gebruikers als beveiligingsgroepen van AD, waardoor toepassingstoewijzingen en beveiligingsbeleid op beide niveaus kunnen worden toegepast. Vanuit een adminperspectief hebt u enige controle over wat er gebeurt wanneer gebruikers worden toegevoegd aan gesynchroniseerde groepen (of verwijderd). Opties omvatten het sturen van de gebruiker een uitnodiging of eenvoudigweg het inschakelen van hun account, of in geval van verwijdering, eenvoudig opschorten of volledig verwijderen van het LastPass-account.

Over het algemeen biedt LastPass Enterprise niet hetzelfde niveau van verfijning als de andere concurrenten die ik heb beoordeeld met betrekking tot het beheren van welke attributen worden gesynchroniseerd vanuit uw bestaande directory, en dat is niet veranderd in de twee jaar sinds ik het product voor het eerst beoordeelde. De AD-synchronisatieclient biedt nu de mogelijkheid om aangepaste attributen in te schakelen, maar het gaat om het verstrekken van een door komma's gescheiden zoeklijst en biedt geen grafische manier om te selecteren welke attributen u wilt synchroniseren. Er is ook geen manier om te zien welke attributen al zijn geselecteerd. LastPass Enterprise zal dingen moeten opvoeren in hun AD-connectiviteitsopties als ze een serieuze speler willen zijn in deze arena.

Een gebrek aan functies die voldoen aan de behoeften van grote bedrijven blijft een thema in deze beoordeling. Grote bedrijven hebben bijvoorbeeld soms meerdere Active Directory-domeinen of zelfs andere maptypen. Slechts enkele van de IDM's die we hebben beoordeeld, kunnen dit goed verwerken, met name Okta en Optimal IdM, hoewel de meeste op zijn minst de mogelijkheid bieden om tegelijkertijd verbinding te maken met meerdere identiteitsbronnen. Een andere beperking voor grote organisaties is dat LastPass Enterprise geen bronnen voor consumentenidentiteit ondersteunt, zoals Facebook, Google of LinkedIn. Consumer IDM wordt meestal gebruikt om gemakkelijke toegang te bieden tot klantgerichte applicaties, omdat gebruikers hiermee hun bestaande inloggegevens voor sociale media kunnen gebruiken bij het verifiëren bij uw app of service. In beide gevallen zijn dit tekortkomingen die alleen zullen worden gevoeld door bedrijven met specifieke behoeften, maar het zijn kenmerken die zwaargewichten in de categorie een goed punt zijn om mee om te gaan.

Geautomatiseerde gebruikersregistratie in SaaS-applicaties wordt ondersteund in LastPass Enterprise, maar het aantal ondersteunde services is hoger dan tien, wat anemisch is in vergelijking met het aantal gevonden in Editors 'Choice-winnaar Okta Identity Management. U vindt ondersteuning voor enkele populaire cloud-applicaties, waaronder SalesForce, Google G Suite, Jira Service Desk en Zendesk, maar vreemd genoeg zijn kleine zakelijke nietjes Office 365 en DropBox opmerkelijk afwezig. Voor bedrijven die single sign-on (SSO) willen uitrollen om de provisioning en beveiliging van SaaS-apps in hun hele onderneming te stroomlijnen, kan dit gebrek aan directe provisioningondersteuning een dealbreker zijn.

Eenmalig inloggen

Een van de grootste verbeterpunten sinds onze laatste doorstart met LastPass Enterprise is het SSO-portaal. In onze vorige beoordeling hebben we opgemerkt dat de structuurweergave die in feite het SSO-portaal omvatte onhandig was en helemaal niet intuïtief voor gebruikers. Nu is de portal een spiegel geworden van die in de LastPass-consumentenversie, die schoon en efficiënt is. Dat wil echter niet zeggen dat het portaal volledig op gelijke hoogte is met de zwaargewichten. Ten eerste ontbreken er enkele functies, zoals aangepaste branding, maar naar onze mening is dat een lage prioriteit in vergelijking met beveiliging en bruikbaarheid van de service.

LastPass biedt naast de browsergebaseerde SSO-portal een aantal klantgerichte softwaretools. Browserplug-ins zijn het meest voor de hand liggend en geven aanwijzingen om opgeslagen referenties te gebruiken of toe te voegen. LastPass biedt ook integratie met het Windows-bureaublad, inclusief de mogelijkheid om te authenticeren in applicaties zoals een VPN-client of een sessie voor toegang op afstand. Enterprise-beheerders hebben de mogelijkheid om een ​​installatieprogramma aan te passen dat kan worden gebruikt om de juiste software naar clientwerkstations te pushen met behulp van een aantal verschillende methoden.

Het toewijzen van apps aan gebruikers is vergelijkbaar met wat u zult vinden in andere systemen voor identiteitsbeheer. U moet de SAML-verbinding met een SaaS-toepassing configureren, meestal in LastPass Enterprise en vervolgens aan de zijde van de toepassing of de service. Dit houdt in dat moet worden bepaald welke groepen toegang moeten hebben tot de service. Bovendien is er een menu-item onder Geavanceerde opties waarmee u sites naar gebruikers kunt pushen en die sites vullen dan de LastPass-kluis van de gebruiker. Sitepulsen kunnen worden geconfigureerd als persistent, waardoor nieuwe groepsleden automatisch de app-toewijzing ontvangen.

Een extra mogelijkheid die LastPass biedt in zijn consumentgerichte service die nu ook beschikbaar is in LastPass Enterprise zijn gedeelde mappen. Gedeelde mappen werken anders dan alleen sites naar gebruikers duwen. Elke gebruiker kan bijvoorbeeld een gedeelde map maken en mappen kunnen worden gedeeld met individuele gebruikers of met een AD-groep. Nieuwe groepsleden krijgen ook toegang tot de gedeelde map wanneer ze aan de groep worden toegevoegd. Net zoals gedeelde mappen door elke gebruiker kunnen worden gemaakt, kunnen ze ook door elke gebruiker worden beheerd of beheerd. Er kunnen verschillende machtigingsniveaus worden toegewezen om te regelen wie items aan een map kan toevoegen of wie machtigingen voor andere gebruikers kan beheren. Dit is een ideale oplossing voor gedelegeerd beheer van niet-kritieke apps die niet hetzelfde niveau van beveiliging of controle op bedrijfsniveau vereisen.

Twee sterke punten die LastPass Enterprise over het grootste deel van de concurrentie bezit, zijn beveiliging. Multifactor-authenticatie (MFA) is een belangrijk kenmerk van de SSO-ruimte, maar wordt meestal alleen aangeboden op duurdere niveaus in concurrerende producten. Bovendien ondersteunt LastPass Enterprise een breed scala aan multifactorproviders, waaronder Duo Security, Google Authenticator, LastPass Sesame, RSA SecurID, Toopher, YubiKey en nog veel meer. Een van de nieuwste toevoegingen is LastPass Authenticator, die als bijkomend voordeel heeft pushmeldingen naar uw mobiele apparaat te sturen, waarin u wordt gevraagd om de authenticatie te bevestigen. Het beste deel van de MFA-opties is misschien dat beheerders veel flexibiliteit hebben bij het toewijzen ervan. Ze kunnen MFA vereisen in de hele organisatie of voor een specifieke set gebruikers of gebruikers gewoon toestaan ​​MFA in te schakelen als ze de extra bescherming willen.

De tweede grote kracht van LastPass Enterprise is een breed scala aan beveiligingsprofielen die kunnen worden toegepast op individuele gebruikers of op groepen. Beveiligingsbeleid kan alles beheren, van multifactor-vereisten, het blokkeren van gebruik van TOR-exitknooppunten of andere IP-adresbereiken en vereisten voor wachtwoordcomplexiteit. Individueel beleid bestaat meestal uit een selectievakje of een tekstveld en de optie om het bereik van het beleid te beperken tot specifieke gebruikers of groepen. Ik zou niet klagen als de interface die wordt gebruikt om dit beleid te beheren een beetje is vernieuwd, maar de hoeveelheid controle die u kunt krijgen over authenticatie met behulp van dit beleid is zeer goed in vergelijking met de concurrentie van LastPass, op de tweede plaats na opties zoals Azure AD's mogelijkheden machine learning (ML) functionaliteit.

Een ander voordeel dat LastPass Enterprise gebruikers biedt, is een persoonlijke wachtwoordkluis. Terwijl andere IDaaS-opties gebruikers in staat stellen accountinformatie voor persoonlijke accounts op te slaan in hun SSO-dashboard, is LastPass Enterprise de enige concurrent die concurrerend is op het gebied van persoonlijke wachtwoordkluis. Bestaande LastPass Enterprise-gebruikers kunnen zelfs hun persoonlijke LastPass-account koppelen aan hun bedrijfskluis.

Zwakke rapportage

Het zwakste aspect van LastPass Enterprise kan zijn rapportagetool zijn. De LastPass Enterprise-rapportagefunctie is weinig meer dan een gebeurtenislogboek, zodat u gebeurtenissen kunt zoeken en sorteren om een ​​specifiek item te vinden of u kunt de lijst exporteren naar Excel voor een grondiger analyse. LastPass onthult ook hun rapportagegegevens via een REST-applicatieprogrammeerinterface (REST API).

Een verzilverende kwaliteit die LastPass Enterprise sinds onze laatste beoordeling heeft toegevoegd, is de Splunk-integratie. Deze functie maakt gebruik van een HTTP-gebeurtenisverzamelaar in de Splunk Cloud om te communiceren met uw LastPass Enterprise-instantie, gebeurtenissen te extraheren en op te nemen in uw bedrijfsregistratieoplossing. Je kunt een beetje meer low-tech gaan door eenvoudigweg administratieve e-mailmeldingen te configureren, wat mogelijk is voor meer dan 15 gebeurtenistypen. Of u kunt de meldingslimieten beheren (hoeveel e-mails gedurende een bepaalde periode worden verzonden) of gewoon aankomende en eerdere meldingen bekijken.

LastPass Enterprise-abonnementen zijn jaarlijks in plaats van maandelijks en beginnen bij $ 48 per gebruiker voor 100 gebruikers of minder. Bedrijven met meer dan 100 gebruikers ontvangen een korting van $ 8 per gebruiker (tot $ 40 per jaar), en bedrijven met meer dan 1500 gebruikers ontvangen een extra $ 10 per gebruiker korting per jaar ($ 30). LastPass biedt ook sitelicenties voor zakelijke klanten met een groot aantal gebruikers, een oplossing waarmee u een vast jaarlijks bedrag kunt betalen en ook aangepaste beveiligingsniveaus krijgt.

Over het algemeen valt LastPass Enterprise nog steeds een beetje tegen in onze nieuwste review in vergelijking met zijn concurrentie, en dat komt door verschillende problemen. Ten eerste is er de zeer beperkte ondersteuning voor geautomatiseerde gebruikersregistratie, die volgens ons een cruciale functie is voor IDaaS-oplossingen. Bovendien mist het nog steeds belangrijke functies voor AD-synchronisatie, waaronder het onvermogen om vanuit meerdere mappen te zoeken, wat een belangrijk tekort is. Toch zijn veel van onze problemen met LastPass Enterprise als platform over het algemeen meer een probleem voor grotere bedrijven, wat betekent dat kleine bedrijven prima in staat zijn om LastPass Enterprise als hun IDM naar keuze te gebruiken. Maar zorg ervoor dat u het zorgvuldig evalueert en ervoor zorgt dat het geschikt is voor uw organisatie voordat u koopt.