סקירה ודירוג של פינגון זהות פינג

Ping Identity PingOne הוא פרפורמנס יציב במרחב הזהות-ניהול-כשירות (IDaaS). הוא מציע אפשרויות רבות לאימות כנגד סביבת Active Directory (AD) קיימת, כמו גם תמיכה ב- Google Apps או בספריות צד שלישי אחרות. איפה Ping Identity PingOne לא נופל מכמה מתחרים (כולל הזוכים בבחירת העורכים Microsoft Azure Active Directory ו- Okta Identity Management נמצאים בתחומים כמו מדיניות אימות ודיווח. בקטגוריות אלה, Ping Identity PingOne פשוט לא מציעים את אותה רמה עם זאת, בעלות של 28 דולר למשתמש בשנה, התמחור של Ping Identity PingOne הוא תחרותי עם שאר תחומי פתרונות IDaas. כמו כן, ההתמקדות שלה באחסון נתונים בענן תהיה אטרקטיבית עבור חלקם.

הגדרה ותצורה

ההתקנה והתצורה הראשונית של Ping Identity PingOne הוא תהליך דו-שלבי. ראשית, יש ליצור את חשבון Ping Identity PingOne שלך ​​יחד עם משתמש ניהולי כדי לנהל את השירות. שנית, Ping Identity PingOne חייב להיות מחובר לספריה הארגונית שלך כדי לבצע אימות כנגד שירות הזהות הקיים שלך. Ping Identity מציע שתי אפשרויות לחיבור סביבת AD קיימת: ADConnect (לא להתבלבל עם Azure AD Connect של מיקרוסופט) ו- PingFederate. ADConnect הוא התקנה פשוטה ודורשת מעט מאוד תצורה בצד הספרייה. עם זאת, הוא מוגבל לתחום AD יחיד, שמשמעותו שרוב הארגונים הגדולים יותר יצטרכו לבחור PingFederate.

למרבה המזל, ההתקנה של PingFederate היא גם פשוטה, למרות ש- Java Server Edition היא תנאי מקיף. תלונה אחת שיש לי היא כי כלי ההתקנה של PingFederate פשוט קובע כי משתנה הסביבה JAVA_HOME חייב להצביע על זמן ריצה תקף של Java, ללא אזכור לדרישה ל- Server Edition. בעוד ש PingOne זהות PingOne מבהירה בבירור את הצורך בדרישת Java, אני מעדיף כי כלי ההתקנה יכלול את כל התוכנות המוקדמות - או, לכל הפחות, יציע נתיב ברור להורדה של מה שצריך לפני או במהלך ההתקנה. עם זאת, כרגע תצטרך לאתר, להוריד ולהתקין Java בעצמך לפני שתעבור ל- PingFederate.

לאחר התקנת PingFederate, הוא משיק את קונסולת הניהול מבוססת האינטרנט. הקונסולה מציעה את אשף "התחבר למאגר זהויות", בו עליכם להשתמש בכדי ליצור מפתח הפעלה, אשר לאחר מכן יש להזין אותו ל- PingFederate. לאחר כניסת מפתח ההפעלה, שימושי מידע בסיסי אודות סביבת ה- AD Active שלך, כולל דברים כמו שמות מובחנים עבור חשבון שירות ומכל משתמש. ברגע שזה ייעשה, הספרייה שלך צריכה להיות מחוברת ל- Ping Identity PingOne.

הייתי רוצה לראות כמה אלמנטים גרפיים בתהליך חיבור הספרייה המראים את עץ הספרייה, מאפשרים לך לבחור אילו מכולות לסנכרן, או אפילו לאפשר לך לחפש ולעיין באובייקטים של משתמשים. זהות Ping PingOne צריך להבין שלא כולם מבינים מה שם מכובד הרבה פחות התחביר הראוי שלו.

שילוב ספריות

זהות Ping PingOne יכולה להשתלב עם תחומי AD באמצעות AD Connect, PingFederate, Google G Suite או ספריית SAML של קביעת אבטחת צד שלישי (SAML). בעוד שרוב הספקים המובילים בחלל IDaaS, כולל Okta Identity Management ו- OneLogin, משתמשים באחסון ותת-קבוצה של התכונות הזמינות שלהם, Ping Identity PingOne לא שומר עותקים של זהויות ארגוניות שלך. במקום זאת, הוא מתחבר לספק הזהות שלך לפי דרישה על ידי שימוש באחד המחברים שסופקו. בגלל ההבדל האדריכלי המהותי הזה, מרבית אנשי ה- IT יצביעו על כך שחשוב מאוד ליישם את PingFederate כראוי כדי למנוע נקודת כישלון אחת בגלל ששרת PingFederate במצב לא מקוון.

עם זאת, כדי להיות הוגנים, המציאות היא שרוב התחרות מחייבת אותך לשמור על חיבור ספריה בכל מקרה. ההבדל היחיד הוא שמרבית הספקים פשוט זקוקים לכך לצורך אימות, ולא למכלול תכונות המשתמש. מבחינתי, הבידול בארכיטקטורה זה מוגזם, אבל יש התלבטות לגיטימית בקרב תאגידים לגבי שמירה על פרטיות תוך מעבר לענן. אז אולי PingIdentity מצאה איזון טוב בין הימנעות לחלוטין מהענן וקפיצה פנימה ללא מחשבה שנייה.

ישנם כמה יתרונות גדולים בשימוש ב- PingFederate לצד Ping Identity PingOne בנוסף לשליטה המוגברת על האופן בו נחשפות הזהויות שלכם. ראשית, היכולת להשתלב עם סוגי ספריות נוספים, כולל ספריות פרוטוקול גישה קלה לספריות (LDAP). קשורה הדוק לפונקציונליות המבוססת על סטנדרטים היא היכולת של PingFederate להתחבר למספר מקורות זהות ולצבור אותם יחד. זהות Ping PingOne אינה מציעה יכולת זו ברמת הענן, לכן PingFederate הוא הדבר הטוב ביותר עבורכם למזג זהויות ממקורות רבים.

PingFederate אכן מציעה שפע של אפשרויות תצורה, כולל אפשרות לפרט אילו תכונות זהות נחשפות ל- Ping Identity PingOne. מאחר שתכונות משתמש כגון כתובות דוא"ל ושמות עשויים לשמש לצורך כניסה יחידה (SSO) ליישומי Software-as-a Service (SaaS), תכונות אלה יכולות להיות מכריעות ליישום שלך. בחירת תכונות לסנכרון משתמשת בכלי גרפי מעט יותר מתצורת הסנכרון של הספריה, אך היא קבורה עמוק למדי במסוף הניהול של PingFederate.

הקצאת משתמשים

בעוד ש- Ping Identity PingOne לא מאחסן שמות משתמשים או תכונות שלהם, הוא אכן שומר על רשימת קבוצות המסונכרנות מהספרייה שלך. ניתן להקצות לקבוצות אלה אפליקציות שהגדרת עבור SSO. משתמשים שיש להם חברות בקבוצות אלה אז יקבלו גישה ליישומים אלה במעגן שלהם.

ברוב המקרים, חשבונות משתמש באפליקציות SaaS יצטרכו לספק באופן ידני. קבוצת משנה מוגבלת של אפליקציות SaaS הזמינות (כולל Concur ו- DropBox) תומכת בהקצאת משתמשים אוטומטית, אם כי זה במידה רבה באפליקציות SaaS כדי לחשוף את ממשקי התכנות הדרושים (API). למעשה, אפליקציית SSO של Microsoft Office 365 הרשומה כ- "SAML with Provisioning" אינה עושה דבר כזה. במקום זאת, היא מחייבת להתקין את כלי סנכרון הספריות של מיקרוסופט, כלומר, היבטי ההקצאה של היישום הספציפי אינם מטופלים על ידי פינג כלל.

קביעת תצורה במתן זיהוי Ping Identity PingOne מסורבלת בהשוואה לניהול זהויות Okta ו- OneLogin. שני תחומים בהם יש לי דאגות הם האופן בו מזוהים כמה אפליקציות SaaS ואיך מנהלי מערכת מאפשרים הקצאה. קביעת התצורה של הקצאה עם Google G Suite מחייבת אותך לבחור באפליקציית Google Gmail, שהיא די מבלבלת. אספקת הקצאה אפשרית באמצעות אשף תצורת האפליקציה אך מחייב אותך לסמן תיבה בתחתית אחד המסכים כדי לראות את האפשרויות להקצאת משתמשים. אספקה ​​היא אחת מכמה תכונות חובה עבור סוויטות IDaaS והתמיכה המוגבלת במתן הוראות Ping Identity PingOne מציעה נמצאת במרחק של חצי צעד בלבד מאי תמיכה כלל בה.

סוגי אימות

זהות Ping PingOne מציעה אימות חזק ליישומים התומכים בתקן SAML כמו גם יכולת להתחבר ליישומי SaaS אחרים על ידי שימוש באישורים מאוחסנים (בדומה לכספת סיסמא). בקטלוג האפליקציות כתוב בבירור איזה סוג אימות נתמך על ידי כל אפליקציה. למעשה, חלק מהאפליקציות תומכות בשני סוגי האימות (ובמקרה זה SAML היא השיטה המומלצת). בדרך כלל יש להגדיר חיבור לאפליקציה התומכת באימות SAML משני צידי החיבור, כלומר היישום SaaS חייב להיות מאופשר עם תמיכת SAML ויש לבצע תצורה בסיסית כלשהי. זהות Ping קטלוג האפליקציות של PingOne כולל מידע על הגדרות עבור כל אפליקציית SAML, מה שהופך את התצורה של קישור זה לפשוטה למדי.

זהות Ping PingOne תומך בעוצמת אימות מוגברת בצורה של MFA. ניתן להחיל MFA על יישומים וקבוצות משתמשים ספציפיים (או טווחי כתובות IP) באמצעות מדיניות אימות. עם זאת, Ping Identity PingOne מציע מדיניות אימות אחת בלבד וחסרה את היכולת לסנן לפי כתובת קבוצתית וגם כתובת IP. זה גורם לכך ש- Ping Identity PingOne מפגר מאחורי חלק מהמתחרים כמו ניהול זהות Okta או Azure AD, כאשר שתיהן לפחות מאפשרות לך להגדיר מדיניות אימות על בסיס יישום.

זהות Ping יישום ה- MFA של PingOne משתמש ב- PingID, אפליקציית סמארטפון שמבצעת את שלב האימות הנוסף באמצעות תהליך אישור או סיסמה חד פעמית. משתמשים יכולים גם לקבל סיסמאות חד פעמיות באמצעות SMS או הודעות קוליות או באמצעות מכשיר אבטחה USB של YubiKey. אמנם ניתן לתקן זאת ברמה בסיסית מאוד, אך Ping Identity PingOne באמת צריך להגביר את המשחק שלהם אם הם רוצים שייקחו אותם ברצינות מנקודת מבט של MFA. אפילו LastPass Enterprise מכה אותם במבט טוב מבחינת יכולות ה- MFA.

כניסה יחידה

SSO הוא תחום נוסף שבו לבחירות האדריכלות של PingFederate יש השפעה. במהלך אימות ה- SSO, משתמשים נכנסים למעגן Ping Identity PingOne שלהם, שמפנה אותם לשירות PingFederate המתארח ברשת הארגונית שלהם. עבור משתמשים ברשת הארגונית הפנימית, סביר להניח כי מדובר בלא בעיה אך ידרוש תצורת חומת אש נוספת (יציאה 443) למשתמשים מבחוץ שיחפשו פנימה.

לוח המחוונים של SSO הפונה למשתמש, המזח Ping Identity PingOne, השתפר מעט מאז ביקורנו האחרון. הרשימה הישירה של יישומי SaaS הוחלפה על ידי רשת סמלים שאפשר לנווט גם באמצעות תפריט זבוב בצד שמאל. מנהלי מערכת יכולים לאפשר קטע אישי במעגן, בו משתמשים יכולים להוסיף חשבונות SaaS משלהם. זהות Ping הרחבות דפדפן PingOne משפרות את חווית המזח, ומספקות גישה ל- SSO ליישומים מבלי שיצטרכו לחזור לרציף.

במרכז השליטה של ​​PingOne לזהות Ping ישנם כמה דוחות משומרים המציגים סטטיסטיקות כניסה כולל מפה גלובלית המראה מאיפה מקורן של אימות אלה. פונקציונליות הדיווח מכסה את היסודות הדרושים כדי להתחיל להשיג מידע על אימות משתמשים העוברים באמצעות Ping Identity PingOne, אך היא אינה מאפשרת לבצע ניתוח מעמיק או פתרון בעיות.

תמחור ואגרות

זהות פינג PingOne עולה 28 דולר למשתמש בכל שנה ו- MFA עולה 24 דולר נוספים בשנה. הנחות נפח וחבילה זמינות מ- PingIdentity. עבור מוצר עם חולשות ברורות בהשוואה ל- Azure AD, Okta Identity Management ו- OneLogin, התמחור של Ping Identity PingOne הוא תחרותי אך לא מספיק בכדי לספק תמריץ רב לבחור אותו על פני התחרות.

בסך הכל, Ping Identity PingOne ביצע כמה אפשרויות ארכיטקטורה השונות מהותית מהמתחרים, וחלק מהן יוערכו על ידי ארגונים עם חששות אבטחה או פרטיות. לרוע המזל, הארכיטקטורה לא מספקת יתרונות מספיקים כדי להתגבר על תחומים מסוימים שבהם Ping Identity PingOne לא נופלת - במיוחד המגבלה במדיניות האבטחה, דיווח על עצמות בר, והקצאת המשתמשים באופן קריטי ביותר. אלא אם כן הפרטיות היא הדאגה המרבית שלך וה- Ping Identity PingOne מסייע לך לנקות את המכשול הזה, איננו יכולים להמליץ ​​עליו על Azure AD, Okta Identity Management או OneLogin. עם זאת, אם אתה בענף רגיש במיוחד לבטיחות נתונים בענן, Ping Identity PingOne עשוי להיות אפשרות מקובלת עבורך.