Onelogin-beoordeling en -beoordeling

OneLogin biedt een functie-rijke identiteitsbeheerservice die de bank niet zal breken. OneLogin biedt vier prijsniveaus tussen hun gratis versie en hun onbeperkte niveau van $ 8 per gebruiker per maand. De service controleert alle belangrijke functieboxen voor identiteitsbeheer, inclusief meerdere beveiligingsbeleidsregels, mobiele applicaties voor de gebruikersportal en multifactor-authenticatie (MFA), evenals alle belangrijke authenticatiemechanismen. OneLogin biedt zelfs een paar verrassingen die u niet zult tegenkomen bij de concurrentie. Maar hoewel het bovenaan onze lijst staat, kwamen de functies van OneLogin niet helemaal overeen met de winnaars van Editors 'Choice Okta Identity Management of Microsoft Azure Active Directory (AD), en de afhankelijkheid van OneLogin van toewijzingen zal voor sommigen een beetje verwarrend zijn. Toch blijft OneLogin een topkandidaat en kan het de meeste kleine tot middelgrote klanten (SMB) prima bedienen.

Setup en configuratie

Aan de slag met OneLogin en verbinding maken met uw bestaande directoryservice is vrij standaard. Wanneer u zich voor de eerste keer aanmeldt bij de OneLogin-beheerconsole, wordt u begroet met een installatiewizard die u door de eerste stappen leidt die nodig zijn om het configuratieproces te voltooien, inclusief het maken van uw subdomein, het importeren van gebruikers en het toevoegen van toepassingen.

OneLogin ondersteunt verschillende maptypen, waaronder Microsoft Active Directory (AD), Google G Suite, Workday en Lightweight Directory Access Protocol (LDAP) via SSL of OneLogin's connector. Als u AD met OneLogin verbindt, moet u de AD-connector downloaden en installeren en een paar eenvoudige configuratiestappen uitvoeren (een serviceaccount selecteren, een poortnummer configureren en het domein selecteren dat moet worden gesynchroniseerd). Net als de Ping Identity PingOne PingFederate-agent, heeft OneLogin ervoor gekozen om een ​​token te gebruiken om de AD-connector aan OneLogin te koppelen in plaats van uw accountgegevens. Nadat de koppeling is gemaakt, kunt u de AD-connector configureren (in het bijzonder selecteren welke organisatie-eenheden of groepen u wilt synchroniseren). Voor load-balancing en fouttolerantie kunnen meerdere AD-connectoren worden ingezet, zodat u de beschikbaarheid kunt behouden in het geval er een faalt.

Net als verschillende van zijn concurrenten, evolueert OneLogin naar een holistische benadering voor het beheren van bedrijfsidentiteiten door te integreren met andere identiteitsbronnen, zoals human resources (HR) managementsystemen, waaronder Workday, UltiPro en Namely. Met behulp van de set tools van OneLogin maakt en beheert u niet alleen identiteiten binnen OneLogin en bijbehorende software als een service (SaaS) -apps, maar kunt u die identiteiten naar Active Directory pushen, dubbele invoer beperken en de nauwkeurigheid verbeteren.

Directory-integratie en gebruikersvoorziening

Een ander belangrijk aspect van directory-integratie is het kiezen van de attributen die u uit AD wilt importeren en deze configureren. Met OneLogin kunt u aangepaste velden maken en definiëren welk AD-kenmerk deze velden zal vullen. Afhankelijk van uw zakelijke behoeften kunnen deze velden nuttig zijn bij het configureren van applicaties of beveiligingsbeleidstoewijzingen. Als uw organisatie bijvoorbeeld haar AD-schema heeft uitgebreid met aangepaste kenmerken met informatie over uw bedrijfsstructuur, maakt OneLogin het gemakkelijk om die informatie te gebruiken.

Op het tabblad Geavanceerd van de AD-verbinding in de OneLogin-beheerdersconsole kunt u configureren of nieuwe gebruikers automatisch worden aangemaakt als OneLogin-gebruikers of dat ze eenvoudig worden geënsceneerd, waarbij een persoonlijke aanraking van een beheerder vereist is voordat een gebruiker wordt gemaakt. Met de geavanceerde tabbladinstellingen kunt u ook configureren hoe gehandicapte of verwijderde gebruikers in AD worden afgehandeld door OneLogin.

Een belangrijk verschil tussen OneLogin en de meerderheid van de concurrentie is hoe het groepen en applicatie-opdrachten afhandelt. Om te beginnen synchroniseert OneLogin geen beveiligingsgroepen van AD; in plaats daarvan worden groepen onafhankelijk beheerd in OneLogin. Groepen in OneLogin worden voornamelijk gebruikt om beveiligingsbeleid toe te wijzen aan de gebruikers die ze bevatten, terwijl rollen worden gebruikt om de toewijzing van applicaties af te handelen. Gebruikers kunnen handmatig of aan de hand van toewijzingen worden toegewezen aan OneLogin-groepen, een automatiseringstool die voorwaarden en acties gebruikt om gebruikers te beheren (ze toewijzen aan groepen of rollen en zelfs hun status wijzigen of kenmerken meteen wijzigen). Toewijzingen zijn een belangrijke functie in OneLogin en voegen zowel flexibiliteit als extra complexiteit toe aan de manier waarop beveiligingsbeleid en applicatie-toewijzingen worden afgehandeld. Hoewel ik het concept en de flexibiliteit die het biedt leuk vind, denk ik dat het de zaken zeker verwart. Ik had graag een combinatie van groepssynchronisatie gezien en de mogelijkheid om beleid of toepassingen dynamisch toe te wijzen met behulp van toewijzingen.

Nadat u enkele toewijzingen hebt geconfigureerd om gebruikers aan rollen toe te wijzen, kunt u beginnen met het configureren van SSO-toegang (Single Sign-On) tot SaaS-toepassingen en die toepassingen toewijzen aan rollen. OneLogin biedt een applicatiecatalogus vergelijkbaar met andere IDaaS-tools en de catalogus identificeert welke authenticatiemethoden beschikbaar zijn voor elke applicatie. Een leuke functie die OneLogin biedt voor compatibele SaaS-toepassingen is een gedeeltelijk automatische configuratie van beide zijden van de SAML-verbinding (Security Assertion Markup Language). Google G Suite ondersteunt bijvoorbeeld automatische configuratie na een OAuth-tokenuitwisseling. OneLogin ondersteunt ook SaaS-gebruikersregistratie, maar zoals bij elke IDaaS-oplossing is dit afhankelijk van de SaaS-applicatie die een applicatie-programmeerinterface (API) aanbiedt om provisioningfuncties uit te voeren. Veel van de belangrijkste SaaS-toepassingen ondersteunen gebruikersregistratie, zoals Google G Suite, Microsoft Office 365, Dropbox en mogelijk vele andere, waardoor geautomatiseerde registratie een onmisbare functie is in een IDaaS-oplossing.

Eén geavanceerde functie die OneLogin biedt, betreft SaaS-apps die geen SAML-ondersteuning bieden. Met behulp van een aangepaste connector kunt u met OneLogin de URL's en formulierelementen definiëren die betrokken zijn bij het inlogproces voor een app die niet direct beschikbaar is in de OneLogin-catalogus. Met aangepaste connectoren kunt u het formulier en de formulierelementen selecteren met behulp van HTML-tags, zoals de formulieractie of naam en knop-ID, type, naam of waarde. Beheerders kunnen ook aangepaste connectoren toevoegen met behulp van de OneLogin-browserextensie, die het proces van het vastleggen van de formulierelementindicators en het inschakelen van de aangepaste connector stroomlijnt. Wat dit betekent is dat OneLogin een kant-en-klare methode biedt om direct uit de doos verbinding te maken met weinig bekende of zelfs eigen aangepaste apps.

Een ander kenmerk dat OneLogin onderscheidt, is de mogelijkheid om meerdere zelfregistratiepagina's te ondersteunen. Gebruikers die via deze pagina's accounts aanvragen, worden standaard alleen in OneLogin opgeslagen. Deze registratiepagina's kunnen worden gebruikt om gebruikers in te schrijven die geen deel uitmaken van uw AD-omgeving, maar enige toegang nodig hebben tot bepaalde zakelijke toepassingen. Gebruikscasussen voor deze functies zijn onder meer studenten, stagiaires of vrijwilligers. Tijdens de configuratie van een zelfregistratiepagina kunt u bepalen of er al dan niet administratieve actie moet worden ondernomen voordat het account volledig is ingericht, evenals een standaardrol en -groep voor nieuwe gebruikers.

Eenmalige aanmelding en mobiele apps

Beheerders kunnen behoorlijk wat aanpassingen doen op de OneLogin-gebruikersportal, inclusief kleurwijzigingen, afbeeldingen en aangepaste Help-inhoud. Gebruikers kunnen hun portalervaring ook aanpassen door te bepalen hoe applicaties worden gestart (in een nieuw venster of in hetzelfde venster) en of een weergave met tabbladen moet worden gebruikt. Gebruikers kunnen ook beveiligde notities opslaan in hun gebruikersportaal en een authenticatieapparaat koppelen voor gebruik met multifactor-authenticatie (MFA). OneLogin heeft twee mobiele applicaties: OneLogin Launcher, een mobiele versie van de gebruikersportal, en OneLogin OTP, een multifactor-optie die eenmalige wachtwoorden gebruikt. U kunt OneLogin OTP koppelen aan uw OneLogin-account door een identificatie-ID in te voeren dat het individuele apparaat identificeert en opeenvolgende eenmalige wachtwoorden die door de toepassing zijn gegenereerd.

OneLogin ondersteunt twee soorten beveiligingsbeleid: gebruikers- en toepassingsbeleid. Toepassingsbeleid kan worden gebruikt om eenmalige wachtwoordverificatie (OTP) te vereisen of IP-adresbeperkingen af ​​te dwingen voor individuele toepassingen, zodat u selectief beleid kunt toepassen op basis van de netwerklocatie van de gebruiker (zoals op of buiten het bedrijfsnetwerk). Beveiligingsbeleid dat op gebruikers wordt toegepast, kan worden gebruikt om de complexiteit van wachtwoorden af ​​te dwingen en mogelijkheden en sessie-informatie (inclusief vergrendelingsgedrag en sessietime-outs) bij te werken. Beveiligingsbeleid kan ook worden gebruikt om multifactor-vereisten en IP-adresbeperkingen af ​​te dwingen.

U kunt gebruik maken van gebruikersbeleid om sociaal inloggen mogelijk te maken, waarmee gebruikers zich bij uw OneLogin-omgeving kunnen verifiëren met behulp van bestaande referenties die ze mogelijk hebben op Google, Facebook, LinkedIn of Twitter. U kunt deze inloggegevens ook gebruiken om zakelijke partners of klanten toegang te geven tot uw SaaS-tools of interne bedrijfsapps.

De adaptieve authenticatie van OneLogin is een op machine learning gebaseerde oplossing die vergelijkbaar is met de mogelijkheden van Microsoft Azure AD en Centrify. Het is ontworpen om de beveiliging te verbeteren door risicowaarden toe te wijzen aan specifieke apps of bronnen en vervolgens aanvullende stappen aan te bevelen, zoals MFA, als de risicoscore van de bron aangeeft dat verhoogde beveiliging vereist is.

Geweldige rapportage

De rapportengine die wordt aangeboden door OneLogin is een ander hoogtepunt van de service. Er zijn meerdere standaardrapporten beschikbaar en u kunt elk rapport klonen en aanpassen aan uw behoeften. U kunt ook nieuwe rapporten maken en de gewenste velden en filters toevoegen. Rapporten kunnen zelfs worden geconfigureerd om in een kolom te worden gegroepeerd. Helaas lijkt er geen enkele manier om rapporten te plannen, maar u kunt elk van de resultatensets exporteren naar een CSV-bestand voor verdere analyse. De mogelijkheid om rapporten te klonen en aan te passen is een zeldzaamheid in de IDaaS-ruimte, iets dat zelfs niet wordt aangeboden door andere topoplossingen zoals Okta Identity Management of Azure AD.

OneLogin ondersteunt SEIM-oplossingen (Security Event Manager) zoals Splunk of Sumo Logic via evenementzenders. Deze zijn geconfigureerd om JSON-payloads (JavaScript Object Notation) te verzenden naar URL's die op hun beurt zijn geconfigureerd om de gegevens te verbruiken. Bovendien kunt u e-mailmeldingen configureren met behulp van een conditie-actie-engine, een proces dat OneLogin heel eenvoudig heeft kunnen instellen.

De prijsstructuur van OneLogin bevindt zich in dezelfde marge als het merendeel van de markt, maar OneLogin biedt een gratis laag die gebruikers beperkt tot drie bedrijfsapps, vijf persoonlijke apps en biedt geen MFA. De starter-laag van $ 2 per maand voegt MFA toe en kan SSO verwerken voor een onbeperkt aantal SaaS-applicaties. De starter-laag biedt ook de mogelijkheid om wachtwoordresetfunctionaliteit te bieden voor zowel OneLogin- als directorywachtwoorden. Bedrijven die op zoek zijn naar meer beveiliging, moeten $ 4 per gebruiker per maand verdienen voor het Enterprise-serviceniveau, dat beveiligingsbeleid biedt en ook synchronisatie van meerdere mappen ondersteunt. Het onbeperkte niveau op het hoogste niveau van $ 8 per gebruiker per maand is vereist voor automatische gebruikersregistratie in SaaS-toepassingen en aanpasbare velden.

Naast de basisprijsniveaus biedt OneLogin een handvol add-ons. Virtuele LDAP ($ 2 per gebruiker per maand) stelt uw OneLogin-map in staat om te werken als een standaard LDAP-map. Dat maakt het toegankelijk voor een groot aantal apps en services die hebben besloten gebruik te maken van de al lang bestaande LDAP-standaard. De adaptieve authenticatiefuncties die machine learning en op risico gebaseerde controle over authenticatie bieden, zijn ook extra kosten voor een extra $ 3 per gebruiker per maand.

Er wordt vermeld dat OneLogin onlangs een aanzienlijk beveiligingsincident heeft meegemaakt. Hoewel beveiliging van het grootste belang is voor een tool die wordt gebruikt om uw bedrijfsbeveiliging te verbeteren, is het moeilijk om de impact van een dergelijke inbreuk te beoordelen. Veel bedrijven zullen OneLogin waarschijnlijk vermijden vanwege hun recente staat van dienst, terwijl anderen zich meer zullen concentreren op de reactie van OneLogin op het incident, in plaats van op het evenement zelf. Ik val meestal persoonlijk in de laatste categorie en OneLogin communiceerde gedurende het hele proces met hun gebruikersbestand en werkt samen met hun cloudserviceprovider en zelfs sommige van hun klanten met toepasselijke expertise om hun beveiligingscontroles en -beleid aan te scherpen voorkomen dat deze situatie zich in de toekomst voordoet.

Het gebruik van toewijzingen door OneLogin mag niet worden onderschat. Als een verkoopargument van SaaS en IDaaS efficiëntie is, brengen toewijzingen dat naar een hoger niveau door automatiseringsmogelijkheden te bieden die niet beschikbaar zijn in de concurrentie. Dat gezegd hebbende, ben ik een beetje afgeschrikt door zijn afhankelijkheid van toewijzingen en het feit dat OneLogin beveiligingsgroepen niet synchroniseert, hoewel dat eigenlijk een voordeel kan zijn voor grote organisaties met duizenden groepen. OneLogin werkt echter goed samen met andere IDaaS-oplossingen op belangrijke gebieden zoals SaaS-applicatievoorziening, directory-integratie en hun SSO-portal. Maar voor mij laat het weglaten van beveiligingsgroepen OneLogin gewoon weg van Okta Identity Management voor de beste IDaaS-plek in deze samenvatting.