Ping identiteit beoordeling & beoordeling

Ping Identity PingOne is een solide performer op het gebied van Identity-Management-as-a-Service (IDaaS). Het biedt meerdere opties voor authenticatie tegen een bestaande Active Directory (AD) -omgeving en ondersteuning voor Google Apps of andere mappen van derden. Waar Ping Identity PingOne achterblijft bij een deel van de concurrentie (inclusief Editors 'Choice winnaars Microsoft Azure Active Directory en Okta Identity Management is op gebieden zoals authenticatiebeleid en rapportage. In deze categorieën biedt Ping Identity PingOne gewoon niet hetzelfde niveau van verfijning als de concurrentie. Echter, tegen een kostprijs van $ 28 per gebruiker per jaar, is de prijs van Ping Identity PingOne concurrerend met de rest van het gebied van IDaas-oplossingen. Ook zal de focus op het niet opslaan van gegevens in de cloud voor sommigen aantrekkelijk zijn.

Setup en configuratie

De eerste installatie en configuratie van Ping Identity PingOne is een proces in twee stappen. Eerst moet uw Ping Identity PingOne-account worden gemaakt samen met een beheerder om de service te beheren. Ten tweede moet Ping Identity PingOne verbonden zijn met uw bedrijfsdirectory om authenticatie uit te voeren met uw bestaande identiteitsservice. Ping Identity biedt twee opties voor het verbinden van een bestaande AD-omgeving: ADConnect (niet te verwarren met Azure AD Connect van Microsoft) en PingFederate. ADConnect is een eenvoudige installatie en vereist zeer weinig configuratie aan de directory-zijde. Het is echter beperkt tot één AD-domein, wat betekent dat de meeste grotere organisaties moeten kiezen voor PingFederate.

Gelukkig is de installatie van PingFederate ook eenvoudig, hoewel Java Server Edition een vereiste is. Een klacht die ik heb is dat het installatieprogramma van PingFederate eenvoudigweg stelt dat de omgevingsvariabele JAVA_HOME moet verwijzen naar een geldige Java-runtime, zonder de vereiste voor Server-editie te vermelden. Hoewel Ping Identity PingOne duidelijk de noodzaak van de Java-vereiste uiteenzet, geef ik er de voorkeur aan dat het installatieprogramma alle vereiste software bevat - of op zijn minst een duidelijk pad biedt voor het downloaden van wat nodig is vóór of tijdens de installatie. Zoals het er nu uitziet, moet u Java zelf lokaliseren, downloaden en installeren voordat u doorgaat naar PingFederate.

Nadat PingFederate is geïnstalleerd, wordt de webgebaseerde beheerconsole gestart. De console biedt de wizard "Connect to an Identity Repository", die u moet gebruiken om een ​​activeringssleutel te maken die vervolgens in PingFederate moet worden ingevoerd. Nadat u de activeringssleutel hebt ingevoerd, moet u wat basisinformatie over uw AD Active-omgeving bij de hand hebben, waaronder zaken als unieke namen voor een serviceaccount en gebruikerscontainer. Zodra dat is gebeurd, moet uw map zijn verbonden met Ping Identity PingOne.

Ik had graag wat grafische elementen gezien in het directoryverbindingsproces met de directorystructuur, waardoor je kon selecteren welke containers je wilt synchroniseren, of je zelfs kunt laten zoeken en bladeren naar gebruikersobjecten. Ping-identiteit PingOne zou moeten beseffen dat niet iedereen begrijpt wat een voornaam is, veel minder dan de juiste syntaxis.

Directory-integratie

Ping-identiteit PingOne kan worden geïntegreerd met AD-domeinen met behulp van AD Connect, PingFederate, Google G Suite of een map met Security Assertion Markup Language (SAML) van derden. Terwijl de meeste topverkopers in de IDaaS-ruimte, inclusief Okta Identity Management en OneLogin, gebruikers opslaan en een subset van hun beschikbare attributen, bewaart Ping Identity PingOne geen kopieën van uw bedrijfsidentiteiten. Het maakt eerder verbinding met uw identiteitsprovider op aanvraag met behulp van een van de meegeleverde connectoren. Vanwege dit fundamentele architecturale verschil zullen de meeste IT-professionals erop wijzen dat het van cruciaal belang is om PingFederate correct te implementeren om te voorkomen dat een enkel punt van mislukking doordat de PingFederate-server offline is.

Om eerlijk te zijn, echter, de realiteit is dat de meeste concurrentie vereist dat je toch een directoryverbinding onderhoudt. Het enige verschil is dat de meeste providers dit eenvoudigweg nodig hebben voor authenticatie, niet voor de volledige set gebruikersattributen. Voor mij is deze architectuurdifferentiatie overdreven, maar er is een legitieme aarzeling bij bedrijven over het handhaven van privacy terwijl ze naar de cloud verhuizen. Dus, misschien heeft PingIdentity een goede balans gevonden tussen het vermijden van de wolk en zonder erbij na te denken.

Er zijn verschillende grote voordelen aan het gebruik van PingFederate naast Ping Identity PingOne naast de verbeterde controle over hoe uw identiteiten worden blootgesteld. Ten eerste is de mogelijkheid om te integreren met extra maptypen, waaronder LDAP-mappen (Lightweight Directory Access Protocol). Nauw verbonden met de op standaarden gebaseerde functionaliteit is de mogelijkheid voor PingFederate om verbinding te maken met meerdere identiteitsbronnen en deze samen te voegen. Ping Identity PingOne biedt deze mogelijkheid niet op cloudniveau, dus PingFederate is uw beste keuze voor het samenvoegen van identiteiten uit meerdere bronnen.

PingFederate biedt een schat aan configuratie-opties, waaronder de mogelijkheid om aan te geven welke identiteitskenmerken worden blootgesteld aan Ping Identity PingOne. Aangezien gebruikersattributen zoals e-mailadressen en namen waarschijnlijk worden gebruikt voor single sign-on (SSO) bij Software-as-a-Service (SaaS) -applicaties, kunnen deze attributen cruciaal zijn voor uw implementatie. Als u selecteert welke kenmerken moeten worden gesynchroniseerd, wordt een iets meer grafische tool gebruikt dan de configuratie voor directorysynchronisatie, maar deze bevindt zich redelijk diep in de beheerconsole van PingFederate.

Gebruikersvoorziening

Hoewel Ping Identity PingOne geen gebruikersnamen of hun attributen opslaat, houdt het wel een lijst bij van groepen gesynchroniseerd vanuit uw map. Aan deze groepen kunnen apps worden toegewezen die u hebt geconfigureerd voor SSO. Gebruikers die lid zijn van deze groepen krijgen vervolgens toegang tot deze apps in hun dock.

In de meeste gevallen moeten gebruikersaccounts in SaaS-apps handmatig worden geregistreerd. Een beperkte subset van de beschikbare SaaS-apps (inclusief Concur en DropBox) ondersteunen geautomatiseerde gebruikersregistratie, hoewel dit grotendeels op de SaaS-apps ligt om de benodigde applicatieprogrammeringsinterfaces (API's) zichtbaar te maken. In feite doet de Microsoft Office 365 SSO-app die wordt vermeld als "SAML met voorzieningen" niet zoiets. In plaats daarvan moet u Microsoft's adreslijstsynchronisatiehulpmiddelen installeren, wat betekent dat de voorzieningen van die specifieke app helemaal niet door Ping worden afgehandeld.

Configuratie van voorzieningen in Ping Identity PingOne is omslachtig in vergelijking met zowel Okta Identity Management als OneLogin. Twee gebieden waar ik me zorgen over maak, zijn de manier waarop sommige SaaS-apps worden geïdentificeerd en hoe beheerders provisioning mogelijk maken. Voor het configureren van voorzieningen met Google G Suite moet je de Google Gmail-app kiezen, wat nogal verwarrend is. Provisioning is ingeschakeld via de app-configuratiewizard, maar u moet een vakje onderaan een van de schermen aanvinken om de opties voor gebruikersregistratie te zien. Provisioning is een van de weinige onmisbare functies voor IDaaS-suites en de beperkte ondersteuning voor voorzieningen die Ping Identity PingOne biedt, is slechts een halve stap verwijderd van het helemaal niet ondersteunen.

Verificatietypen

Ping-identiteit PingOne biedt krachtige authenticatie voor apps die de SAML-standaard ondersteunen, evenals de mogelijkheid om in te loggen bij andere SaaS-apps met behulp van opgeslagen inloggegevens (zoals een wachtwoordkluis). De app-catalogus geeft duidelijk aan welk type authenticatie door elke app wordt ondersteund. Sommige apps ondersteunen in feite beide verificatietypen (in dit geval is SAML de aanbevolen methode). Verbinding met een app die SAML-authenticatie ondersteunt, moet doorgaans aan beide zijden van de verbinding worden geconfigureerd, wat betekent dat de SaaS-app SAML-ondersteuning moet hebben ingeschakeld en dat een basisconfiguratie moet worden uitgevoerd. Ping Identity De app-catalogus van PingOne bevat installatie-informatie voor elke SAML-app, waardoor de configuratie van deze link vrij eenvoudig is.

Ping Identity PingOne ondersteunt verhoogde authenticatiesterkte in de vorm van MFA. MFA kan worden toegepast op specifieke apps en groepen gebruikers (of IP-adresbereiken) met behulp van een authenticatiebeleid. Ping Identity PingOne biedt echter slechts één authenticatiebeleid en mist de mogelijkheid om te filteren op zowel groeps- als IP-adres. Dit zorgt ervoor dat Ping Identity PingOne achterblijft bij een deel van de concurrentie, zoals Okta Identity Management of Azure AD, die u beide in staat stelt om authenticatiebeleid per app te configureren.

Ping Identity De MFA-implementatie van PingOne maakt gebruik van PingID, een smartphone-app die de extra authenticatiestap uitvoert via een bevestigingsproces of een eenmalig wachtwoord. Gebruikers kunnen ook eenmalige wachtwoorden ontvangen via sms of spraakberichten of met een YubiKey USB-beveiligingsapparaat. Hoewel dit op een zeer basaal niveau bruikbaar is, moet Ping Identity PingOne echt hun spel opvoeren als ze serieus willen worden genomen vanuit een MFA-standpunt. Zelfs LastPass Enterprise verslaat ze op het gebied van MFA-mogelijkheden.

Eenmalig inloggen

SSO is een ander gebied waarop de architectuurkeuzes van PingFederate van invloed zijn. Tijdens het SSO-authenticatieproces melden gebruikers zich aan bij hun Ping Identity PingOne-dock, dat hen doorverwijst naar de PingFederate-service die op hun bedrijfsnetwerk wordt gehost. Voor gebruikers op het interne bedrijfsnetwerk is dit waarschijnlijk geen probleem, maar voor externe gebruikers is een extra firewall-configuratie (poort 443) vereist.

Het gebruikersgerichte SSO-dashboard, het Ping Identity PingOne-dock, is sinds ons laatste bezoek enigszins verbeterd. De eenvoudige lijst met SaaS-apps is vervangen door een raster met pictogrammen die ook kunnen worden genavigeerd met behulp van een uitklapmenu aan de linkerkant. Beheerders kunnen een persoonlijk gedeelte van het dock inschakelen waar gebruikers hun eigen SaaS-accounts kunnen toevoegen. Ping Identity PingOne-browserextensies verbeteren de dock-ervaring en bieden SSO-toegang tot apps zonder terug te keren naar het dock.

Het Ping Identity PingOne-dashboard heeft een aantal ingeblikte rapporten met inlogstatistieken, waaronder een globale kaart waaruit blijkt waar deze authenticaties vandaan komen. De rapportagefunctionaliteit omvat de basisbeginselen die nodig zijn om te beginnen met het verzamelen van informatie over gebruikersauthenticaties die worden verwerkt via Ping Identity PingOne, maar staat geen diepgaande analyse- of probleemoplossingsgegevens toe.

Prijzen en tarieven

Ping Identity PingOne kost elk jaar $ 28 per gebruiker en MFA kost jaarlijks nog eens $ 24. Volume- en bundelkortingen zijn verkrijgbaar bij PingIdentity. Voor een product met duidelijke zwakke punten in vergelijking met Azure AD, Okta Identity Management en OneLogin, zijn de prijzen van Ping Identity PingOne concurrerend, maar niet voldoende om veel prikkels te geven om ervoor te kiezen boven de concurrentie.

Over het algemeen heeft Ping Identity PingOne enkele architectuurkeuzes gemaakt die fundamenteel anders zijn dan de concurrentie en sommige zullen worden gewaardeerd door organisaties met bezorgdheid over veiligheid of privacy. Helaas biedt de architectuur niet genoeg voordelen om sommige gebieden te overwinnen waar Ping Identity PingOne tekortschiet - met name de beperking in beveiligingsbeleid, barebones-rapportage en meest kritieke gebruikersvoorziening. Tenzij privacy uw grootste zorg is en Ping Identity PingOne u helpt die hindernis weg te nemen, kunnen we het niet aanbevelen via Azure AD, Okta Identity Management of OneLogin. Als u zich echter in een branche bevindt die bijzonder gevoelig is voor de veiligheid van cloudgegevens, kan Ping Identity PingOne een acceptabele optie voor u zijn.