סקירה ודירוג Onelogin

OneLogin מציע שירות ניהול זהויות עשיר בתכונות שלא ישבור את הבנק. OneLogin מציע ארבעה שכבות תמחור בין הגרסה החינמית שלהם לבין הרמה ללא הגבלה של 8 דולר למשתמש למשתמש לחודש. השירות בודק את כל תיבות התכונות העיקריות של ניהול זהויות, כולל מדיניות אבטחה מרובה, יישומים ניידים עבור פורטל המשתמשים ואימות מולטי-פקטורים (MFA), כמו גם את כל מנגנוני האימות העיקריים. OneLogin אפילו מספק כמה הפתעות שלא תמצאו בתחרות. אבל למרות שזה בראש הרשימה שלנו, התכונות של OneLogin לא ממש התאימו לזוכים בבחירת העורכים Okta Identity Management או Microsoft Azure Active Directory (AD), והתלות של OneLogin במיפויים תהיה מעט מבלבלת עבור חלקם. ועדיין, OneLogin נותר מתמודד מוביל ויכול לשרת את הלקוחות הקטנים ביותר לעסקים קטנים ובינוניים (SMB).

הגדרה ותצורה

התחלת העבודה עם OneLogin וחיבורו לשירות הספריות הקיים שלך זה דברים סטנדרטיים למדי. לאחר הכניסה למסוף הניהול של OneLogin בפעם הראשונה, מתקבלת באשף התקנה שמנחה אתכם בשלבים הראשונים הנדרשים להשלמת תהליך התצורה, כולל יצירת תת-דומיין, ייבוא ​​משתמשים והוספת יישומים.

OneLogin תומך במספר סוגי ספריות, כולל Microsoft Active Directory (AD), Google G Suite, יום עבודה ופרוטוקול Access Directory Directory (LDAP) דרך SSL או מחבר OneLogin. חיבור AD ל- OneLogin כרוך בהורדה והתקנה של מחבר ה- AD שלהם והשלמת מספר שלבי תצורה פשוטים (בחירת חשבון שירות, הגדרת מספר יציאה ובחירת הדומיין לסנכרון). בדומה לסוכן ה- PingOne PingFederate של Ping Identity, OneLogin בחר להשתמש באסימון כדי לשייך את מחבר ה- AD ל- OneLogin ולא את אישורי החשבון שלך. לאחר יצירת הקשר, תוכלו להגדיר את מחבר ה- AD (בפרט, לבחור אילו יחידות או קבוצות ארגוניות לסנכרן). למטרות איזון עומס וסיבולת תקלות, ניתן לפרוס מחברי AD מרובים כך שתוכלו לשמור על זמינות במקרה שאחד לא יצליח.

כמו כמה ממתחרותיה, OneLogin מתקדמת לעבר גישה הוליסטית לניהול זהויות ארגוניות על ידי שילוב עם מקורות זהות אחרים כמו מערכות ניהול משאבי אנוש (HR), כולל Workday, UltiPro ו- Namely. בעזרת מערך הכלים של OneLogin אתה לא רק יוצר ומנהל זהויות בתוך OneLogin וכל תוכנה הקשורה לאפליקציות שירות (SaaS), אלא אתה יכול לדחוף את זהויות אלו ל- Active Directory, להגביל כניסה כפולה ולשפר את הדיוק.

שילוב ספריות ואספקת משתמשים

היבט מרכזי נוסף באינטגרציה של ספריות הוא בחירת התכונות שתייבא מהספירה וכן הגדרת התצורה שלהן. OneLogin מאפשר לך ליצור שדות מותאמים אישית ולהגדיר איזו תכונה של AD תאכלס את אותם שדות. בהתאם לצרכים העסקיים שלך, שדות אלה יכולים להיות שימושיים בהגדרת מיפוי מדיניות יישומים או מדיניות אבטחה. לדוגמה, אם הארגון שלך הרחיב את סכמת ה- AD כך שהוא כולל תכונות מותאמות אישית המכילות מידע על מבנה החברה שלך, OneLogin מקל על מינוף המידע הזה.

הכרטיסייה המתקדמת של חיבור המודעות במסוף הניהול של OneLogin מאפשרת לך להגדיר אם משתמשים חדשים נוצרים אוטומטית כמשתמשים ב- OneLogin או שמא הם מבוימים בפשטות, הדורשים מגע אישי של מנהל מערכת לפני יצירת משתמש. הגדרות הלשונית המתקדמת מאפשרות לך גם להגדיר את אופן הטיפול של משתמשים עם מוגבלות או מחיקה ב- AD על ידי OneLogin.

ההבדל העיקרי בין OneLogin לבין מרבית התחרות הוא האופן בו הוא מטפל בקבוצות והקצאות יישומים. בתור התחלה, OneLogin אינו מסנכרן קבוצות אבטחה מהספירה. במקום זאת, קבוצות מנוהלות באופן עצמאי ב- OneLogin. קבוצות ב- OneLogin משמשות בעיקר להקצאת מדיניות אבטחה למשתמשים שהם מכילים, ואילו תפקידים משמשים לטיפול בהקצאת יישומים. ניתן להקצות משתמשים לקבוצות OneLogin באופן ידני או באמצעות Mappings, כלי אוטומציה המשתמש בתנאים ופעולות לניהול משתמשים (הקצאתם לקבוצות או לתפקידים ואפילו שינוי סטטוס או שינוי תכונות תוך כדי תנועה). מיפויים הם תכונה מרכזית ב- OneLogin, ומוסיפים גם גמישות וגם מורכבות נוספת לאופן הטיפול במדיניות אבטחה והקצאות יישומים. אמנם אני אוהב את הקונספט ואת הגמישות שהוא מספק, אבל אני חושב שהוא בהחלט מבלבל דברים. הייתי שמח לראות שילוב של סנכרון קבוצתי ויכולת להקצות באופן דינמי מדיניות או אפליקציות באמצעות משהו כמו מיפויים.

לאחר שתגדיר תצורה של כמה מיפויים להקצאת משתמשים לתפקידים, אתה יכול להתחיל בתהליך הגדרת הגישה של כניסה יחידה (SSO) ליישומי SaaS ולהקצות יישומים אלה לתפקידים. OneLogin מציע קטלוג יישומים הדומה לכלים אחרים של IDaaS, והקטלוג מזהה אילו אמצעי אימות זמינים עבור כל יישום. תכונה נחמדה אחת ש- OneLogin מציעה ליישומי SaaS תואמים היא תצורה אוטומטית חלקית של שני הצדדים של חיבור SAML (Assertion Markup Language). Google G Suite, למשל, תומך בתצורה אוטומטית לאחר החלפת אסימון OAuth. OneLogin תומך גם בהקצאת משתמשי SaaS אך כמו בכל פיתרון IDaaS, הדבר תלוי בכך שיישום SaaS מציע ממשק תכנות יישומים (API) לביצוע פונקציות הקצאה. רבים מהיישומים המפתחיים של SaaS תומכים בהקצאת משתמשים כמו Google G Suite, Microsoft Office 365, Dropbox, ואולי גם רבים אחרים, מה שהופך הקצאה אוטומטית לתכונה חובה בפתרון IDaaS.

תכונה מתקדמת אחת שמציעה OneLogin כוללת אפליקציות SaaS שאינן מציעות תמיכה ב- SAML. באמצעות מחבר מותאם אישית, OneLogin מאפשר לך להגדיר את כתובות האתרים ורכיבי הטופס המעורבים בתהליך ההתחברות לאפליקציה שאינה זמינה בקטלוג OneLogin. מחברים בהתאמה אישית מאפשרים לך לבחור את האלמנטים והטפסים באמצעות תגיות HTML, כמו פעולת הטופס או מזהה כפתור, סוג, שם או ערך. מנהלי מערכת יכולים להוסיף מחברים בהתאמה אישית באמצעות סיומת הדפדפן OneLogin, אשר תייעל את תהליך לכידת מעצבי אלמנטים בטופס ותאפשר את המחבר המותאם אישית. משמעות הדבר היא ש- OneLogin מציע שיטה מוכנה לחיבור לאפליקציות מותאמות ידועות או אפילו פנימיות היישר מהקופסה.

תכונה נוספת המייחדת את OneLogin היא היכולת שלה לתמוך במספר דפי רישום עצמי. משתמשים המבקשים חשבונות דרך דפים אלה מאוחסנים רק ב- OneLogin כברירת מחדל. ניתן להשתמש בדפי רישום אלה כדי לרשום משתמשים שאינם חלק מסביבת המודעות שלך אך זקוקים לרמה מסוימת של גישה ליישומים עסקיים מסוימים. מקרי שימוש לתכונות אלה כוללים סטודנטים, מתמחים או מתנדבים. במהלך התצורה של דף רישום עצמי, באפשרותך להגדיר אם יש לנקוט בפעולה ניהולית לפני או לא לספק את החשבון באופן מלא, כמו גם תפקיד ברירת מחדל וקבוצה למשתמשים חדשים.

אפליקציות כניסה יחידה וניידים

מנהלי מערכת יכולים לבצע התאמה אישית לא מעטה בפורטל המשתמשים של OneLogin, כולל שינויים בצבעים, גרפיקה ותוכן עזרה מותאם אישית. משתמשים יכולים גם להתאים אישית את חווית הפורטל שלהם על ידי קביעת אופן ההשקה של יישומים (בחלון חדש או זהה) ואם יש להשתמש בתצוגת כרטיסיות. משתמשים יכולים גם לאחסן הערות מאובטחות בפורטל המשתמשים שלהם ולשייך מכשיר אימות לשימוש עם אימות מולטי-פקטור (MFA). ל- OneLogin שני יישומים ניידים: OneLogin Launcher, המהווה גרסה ניידת של פורטל המשתמשים, ו- OneLogin OTP, שהיא אפשרות רב-פקטורית המשתמשת בסיסמאות חד פעמיות. אתה יכול להתאים את OneLogin OTP לחשבון OneLogin שלך על ידי הזנת מזהה אישורים המזהה את המכשיר הבודד ואת הסיסמאות החד פעמיות הרצופות שנוצרו על ידי היישום.

OneLogin תומך בשני סוגים של מדיניות אבטחה: מדיניות משתמש ויישומים. ניתן להשתמש במדיניות יישומים כדי לדרוש אימות סיסמה חד פעמית (OTP) או לאכוף מגבלות של כתובות IP עבור יישומים בודדים, ומאפשרות לך להחיל באופן סלקטיבי מדיניות בהתבסס על מיקום הרשת של המשתמש (כגון ברשת החברה או במערכת שלה). ניתן להשתמש במדיניות אבטחה המיושמת על משתמשים כדי לאכוף את מורכבות הסיסמאות ולעדכן יכולות ומידע על פעילויות באתר (כולל התנהגות נעילה וקצבי זמן לפגישה). ניתן להשתמש במדיניות אבטחה גם לאכיפת דרישות מולטי-פקטור והגבלות כתובות IP.

אתה יכול למנף מדיניות משתמשים כדי לאפשר כניסה חברתית, המאפשרת למשתמשים לאמת לסביבת OneLogin שלך באמצעות כל האישורים הקיימים שיש להם ב- Google, Facebook, LinkedIn או Twitter. אתה יכול גם להשתמש בתעודות אלה כדי לספק לשותפים עסקיים או לקוחות גישה לכלי ה- SaaS או לאפליקציות הפנימיות שלך.

האימות ההסתגלותי של OneLogin הוא פיתרון מבוסס למידה של מכונה, זה בקנה אחד עם היכולות שמציעה Microsoft Azure AD ו- Centrify. זה נועד לשפר את האבטחה על ידי הקצאת ערכי סיכון ליישומים או משאבים ספציפיים ואז להמליץ ​​על צעדים נוספים, כמו MFA, אם ציון הסיכון של המשאב מעיד על אבטחה מוגברת.

דיווח נהדר

מנוע הדוחות שמציע OneLogin הוא גולת הכותרת נוספת בשירות. ישנם דוחות משומרים מרובים זמינים, ויש לך את היכולת לשכפל כל דוח ולהתאים אותו אישית לצרכים שלך. אתה יכול גם ליצור דוחות חדשים מאפס, להוסיף את השדות והמסננים שאתה רוצה. ניתן אפילו להגדיר דוחות לקבוצה בעמודה. למרבה הצער לא נראה כי קיימת דרך לתזמן דוחות, אך אתה יכול לייצא כל אחד מערכי התוצאות לקובץ CSV להמשך ניתוח. היכולת לשכפל ולהתאים אישית דוחות היא דבר נדיר במרחב IDaaS, דבר שאינו מוצע אפילו על ידי פתרונות מובילים אחרים כמו Okta Identity Management או Azure AD.

OneLogin תומך בפתרונות מנהל אירועי אבטחה (SEIM) כמו Splunk או Sumo Logic דרך שדרני אירועים. אלה מוגדרים לשליחת עומסי מטען של JSON (JavaScript Object Notation) לכתובות URL שמוגדרות בתורן לצריכת הנתונים. בנוסף, באפשרותך להגדיר התראות דוא"ל באמצעות מנוע פעולת תנאים, תהליך ש- OneLogin הקל מאוד להתקין.

מבנה התמחור של OneLogin נמצא באותה מגרש משחקים כמו רוב השוק, אך OneLogin מציע שכבה בחינם המגבילה משתמשים לשלושה אפליקציות ארגוניות, חמש אפליקציות אישיות, ואינה מציעה שום MFA. שכבת המתחילים של 2 דולר לחודש מוסיפה MFA ויכולה לטפל ב- SSO למספר בלתי מוגבל של יישומי SaaS. שכבת המתנע מציעה גם את האפשרות לספק פונקציונליות לאיפוס סיסמה הן עבור סיסמאות OneLogin והן עבור סיסמאות ספריות. חברות המחפשות אבטחה רבה יותר יצטרכו להעלות 4 דולר למשתמש לחודש עבור רמת השירות הארגוני, המציעה מדיניות אבטחה ותומכת גם בסנכרון ממספר ספריות. הרמה הגבוהה ביותר ללא הגבלה במחיר של 8 $ למשתמש לחודש נדרשת להקצאת משתמשים אוטומטית ביישומי SaaS וכן בשדות הניתנים להתאמה אישית.

בנוסף לרמת התמחור הבסיסית, OneLogin מציעה קומץ תוספות. LDAP וירטואלי (2 $ למשתמש לחודש) מאפשר לספריית OneLogin שלך לפעול כמו ספריית LDAP רגילה. זה מנגיש לשלל אפליקציות ושירותים שהחליטו למנף את תקן LDAP ותיק. תכונות האימות ההסתגלות המציעות למידת מכונה ובקרה מבוססת סיכון על אימות הן גם עלות נוספת המגיעה תמורת 3 דולר נוספים למשתמש בחודש.

נזכר כי OneLogin ספג לאחרונה אירוע ביטחוני משמעותי. אמנם לאבטחה חשיבות עליונה לכלי המשמש להגברת הביטחון התאגידי שלך, אך קשה לשפוט את ההשפעה של הפרה מסוג זה. תאגידים רבים ככל הנראה ימנעו מ- OneLogin בגלל הרקורד האחרון שלהם, בעוד שאחרים יתמקדו יותר בתגובת OneLogin לאירוע, ולא באירוע עצמו. אני נוטה להיכנס לקטגוריה האחרונה באופן אישי, ו- OneLogin יצר קשר עם בסיס המשתמשים שלהם לאורך כל התהליך, והוא עובד עם ספק שירותי הענן שלהם ואפילו עם חלק מהלקוחות שלהם עם מומחיות רלוונטית בכדי להדק את בקרות האבטחה והמדיניות שלהם כך למנוע מצב זה להתרחש בעתיד.

אסור להמעיט בשימוש ב- OneLogin במיפויים. אם נקודת מכירה של SaaS ו- IDaaS היא יעילות, אז המיפויים פשוט לוקחים את זה לשלב הבא על ידי מתן יכולות אוטומציה שאינן זמינות בתחרות. עם זאת, אני קצת מבוטלת בגלל התלות שלה במיפויים והעובדה ש- OneLogin לא מסנכרן קבוצות אבטחה, אם כי זה יכול למעשה להועיל לארגונים גדולים עם אלפי קבוצות. עם זאת, OneLogin מודד היטב עם פתרונות IDaaS אחרים בתחומים מרכזיים כמו הקצאת יישומי SaaS, שילוב ספריות ופורטל SSO שלהם. אבל, מבחינתי, השמטת קבוצות האבטחה מותירה את OneLogin פשוט ביישנית מניהול זהויות Okta עבור המקום הראשון ב- IDaaS בסבב זה.