Sommario:
Video: LastPass - Enterprise Demo (Ottobre 2024)
LastPass Enterprise è un nome importante nell'arena del vault password, quindi ha senso solo che avrebbe una soluzione di gestione delle identità (IDM) per le aziende. LastPass Enterprise (che inizia a $ 48 per utente all'anno, il doppio del prezzo iniziale rispetto a quando l'abbiamo recensito per la prima volta due anni fa) confronta bene la carta con altri servizi IDM, offrendo funzionalità come l'autenticazione a più fattori (MFA) e più politiche di sicurezza. Sfortunatamente, nonostante i miglioramenti apportati dalla società negli ultimi due anni, LastPass Enterprise è ancora agitata. Supporta il provisioning automatico degli utenti solo per una manciata di applicazioni SaaS (Software-as-a-Service), offrendo una flessibilità minima durante la sincronizzazione con gli account utente di Active Directory (AD) e, nel complesso, è scadente negli strumenti di gestione e negli elementi dell'interfaccia. Tutto intorno, oltre alle piccole aziende che cercano un rapido aggiornamento della sicurezza, è difficile raccomandare LastPass Enterprise ai vincitori dei nostri redattori in questa categoria, Microsoft Azure Active Directory (AD), Okta Identity Management e, più recentemente, Centrify.
Installazione e configurazione
Dalla nostra ultima recensione, abbiamo scoperto che il client di sincronizzazione AD di LastPass è molto migliorato. Sebbene al momento della stesura di questo documento l'agente software detenga solo una designazione beta, LastPass sta incoraggiando gli utenti a iniziare a utilizzarlo immediatamente in produzione. Ciò è principalmente perché ora offre cose come la corretta gestione delle appartenenze ai gruppi nidificati, la cui mancanza era un grave svantaggio nella versione precedente. Come gran parte della concorrenza, compresi tutti i vincitori dei nostri redattori, nonché Bitium, LastPass utilizza il client di sincronizzazione per importare utenti e gruppi di sicurezza nel tuo account LastPass Enterprise. L'installazione del client di sincronizzazione è abbastanza semplice e, una volta completata, puoi iniziare a configurare Active Directory.
Un'altra opzione offerta da LastPass Enterprise in alternativa al client di sincronizzazione AD è un'installazione del software client standard, configurata per l'integrazione con il normale processo di accesso a Windows. In questo caso, i singoli computer comunicheranno con il tuo account LastPass Enterprise per eseguire la creazione di account quando un utente accede al proprio computer. Il chiaro svantaggio di questo metodo è che i gruppi di sicurezza non sono sincronizzati con LastPass Enterprise, che richiede una gestione manuale dei gruppi all'interno del servizio. Sebbene questo metodo non sia ottimale, offre un'alternativa a un agente basato su AD ed è un'offerta unica nello spazio IDaaS.
Integrazione di directory
Il client di sincronizzazione AD offre una serie di opzioni di configurazione inclusa la possibilità di scegliere come target un controller di dominio da un altro host. Include anche opzioni di directory come DN (Distinguished Name) di base da utilizzare, nonché diverse opzioni di tipi di criteri come la gestione degli account disabilitati o le modifiche all'appartenenza al gruppo. LastPass Enterprise sincronizza sia gli utenti che i gruppi di sicurezza di AD, consentendo l'applicazione delle politiche e le politiche di sicurezza a entrambi i livelli. Dal punto di vista dell'amministratore, hai un certo controllo su ciò che accade quando gli utenti vengono aggiunti (o rimossi) ai gruppi sincronizzati. Le opzioni includono l'invio all'utente di un invito o semplicemente l'abilitazione del proprio account o, in caso di rimozione, la semplice sospensione o la cancellazione completa dell'account LastPass.
Nel complesso, LastPass Enterprise non offre lo stesso livello di sofisticazione degli altri concorrenti che ho esaminato in termini di gestione degli attributi sincronizzati dalla directory esistente e che non è cambiato nei due anni da quando ho recensito il prodotto per la prima volta. Il client di sincronizzazione AD ora offre la possibilità di abilitare gli attributi personalizzati, ma implica la fornitura di un elenco di valori separato da virgole e non offre un modo grafico di selezionare quali attributi si desidera sincronizzare. Non è inoltre possibile visualizzare quali attributi sono già selezionati. LastPass Enterprise dovrà intensificare le cose nelle sue opzioni di connettività AD se vuole essere un giocatore serio in questo campo.
La mancanza di funzionalità che soddisfano le esigenze delle grandi aziende continuerà a essere un tema durante questa recensione. Ad esempio, le grandi aziende a volte hanno più domini Active Directory o persino altri tipi di directory. Solo alcuni degli IDM che abbiamo esaminato gestiscono bene, in particolare Okta e Optimal IdM, anche se la maggior parte offre almeno la possibilità di connettersi a più fonti di identità contemporaneamente. Un altro limite per le grandi organizzazioni è che LastPass Enterprise non supporta alcuna fonte di identità dei consumatori, come Facebook, Google o LinkedIn. L'ID consumer è in genere utilizzato per fornire un facile accesso alle applicazioni rivolte al cliente perché consente agli utenti di sfruttare le credenziali dell'account dei social media esistenti durante l'autenticazione con l'app o il servizio. In entrambi i casi si tratta di carenze che saranno avvertite solo da aziende con esigenze specifiche, ma sono caratteristiche che pesi massimi nella categoria rendono un punto di maneggiamento bene.
Il provisioning automatico degli utenti nelle applicazioni SaaS è supportato in LastPass Enterprise, ma il numero di servizi supportati è superiore a dieci, il che è anemico rispetto al numero trovato nel vincitore di Editors 'Choice Okta Identity Management. Troverai il supporto per alcune delle più diffuse applicazioni cloud, tra cui SalesForce, Google G Suite, Jira Service Desk e Zendesk, ma stranamente, le graffette per piccole aziende Office 365 e DropBox, sono assenti. Per le aziende che intendono implementare il Single Sign-On (SSO) al fine di semplificare il provisioning e la sicurezza delle app SaaS in tutta la propria azienda, questa mancanza di supporto per il provisioning diretto potrebbe essere un problema.
Single Sign-On
Facilmente una delle maggiori aree di miglioramento dal nostro ultimo giro con LastPass Enterprise è il portale SSO. Nella nostra recensione precedente abbiamo notato come la vista ad albero che sostanzialmente comprendeva il portale SSO fosse goffa e per nulla intuitiva per gli utenti. Ora il portale è diventato un mirror di quello nella versione consumer di LastPass, che è pulito ed efficiente. Questo non vuol dire che il portale sia completamente alla pari con i pesi massimi, tuttavia. Per uno, mancano alcune funzionalità, come il marchio personalizzato, ma a nostro avviso è una priorità bassa rispetto alla sicurezza e all'usabilità del servizio.
LastPass offre una serie di strumenti software rivolti al cliente oltre al portale SSO basato su browser. I plug-in del browser sono i più ovvi e forniscono istruzioni per l'uso o l'aggiunta di credenziali salvate. LastPass offre anche l'integrazione con il desktop di Windows, inclusa la possibilità di autenticarsi in applicazioni come un client VPN o una sessione di accesso remoto. Gli amministratori aziendali hanno la possibilità di personalizzare un programma di installazione che può essere utilizzato per inviare il software appropriato alle workstation client utilizzando una serie di metodi diversi.
Assegnare app agli utenti è simile a quello che troverai in altri sistemi di gestione delle identità. È necessario configurare la connessione SAML a un'applicazione SaaS, in genere in LastPass Enterprise e quindi sul lato dell'applicazione o del servizio. Ciò implica la definizione di quali gruppi dovrebbero avere accesso al servizio. Inoltre, c'è una voce di menu in Opzioni avanzate che ti consente di inviare siti agli utenti e questi siti popoleranno il deposito LastPass dell'utente. I push del sito possono essere configurati come persistenti, il che comporta che i nuovi membri del gruppo ricevano automaticamente l'assegnazione dell'app.
Un'ulteriore funzionalità che LastPass offre nel suo servizio orientato al consumatore, ora disponibile anche in LastPass Enterprise, è la cartella condivisa. Le cartelle condivise funzionano in modo diverso rispetto al semplice invio di siti agli utenti. Ad esempio, qualsiasi utente può creare una cartella condivisa e le cartelle possono essere condivise con singoli utenti o con un gruppo AD. I nuovi membri del gruppo avranno anche accesso alla cartella condivisa quando vengono aggiunti al gruppo. Proprio come le cartelle condivise possono essere create da qualsiasi utente, possono anche essere gestite o amministrate da qualsiasi utente. È possibile assegnare diversi livelli di autorizzazione per stabilire chi può aggiungere elementi a una cartella o chi può gestire le autorizzazioni per altri utenti. Questa è la soluzione ideale per l'amministrazione delegata di app non critiche che non richiedono lo stesso livello di sicurezza o controllo a livello aziendale.
Due punti di forza che LastPass Enterprise detiene sulla maggior parte della concorrenza riguardano la sicurezza. L'autenticazione a più fattori (MFA) è una caratteristica chiave dello spazio SSO ma in genere viene offerta solo a livelli più alti in prodotti concorrenti. Inoltre, LastPass Enterprise supporta una vasta gamma di provider multifattoriali tra cui Duo Security, Google Authenticator, LastPass Sesame, RSA SecurID, Toopher, YubiKey e molti altri. Una delle novità più recenti è LastPass Authenticator, che ha l'ulteriore vantaggio di inviare notifiche push al tuo dispositivo mobile, che ti chiede quindi di confermare l'autenticazione. Forse la parte migliore delle opzioni di AMF è che gli amministratori hanno molta flessibilità nell'assegnarla. Possono richiedere MFA in tutta l'organizzazione o ad un insieme specifico di utenti o semplicemente consentire agli utenti di abilitare MFA se desiderano la protezione aggiuntiva.
La seconda grande forza di LastPass Enterprise è una vasta gamma di profili di sicurezza che possono essere applicati a singoli utenti o gruppi. Le politiche di sicurezza possono gestire qualsiasi cosa, dai requisiti multifattoriali, bloccando l'utilizzo da nodi di uscita TOR o altri intervalli di indirizzi IP e requisiti di complessità della password. Le singole politiche sono in genere costituite da una casella di controllo o da un campo di testo, nonché dall'opzione per limitare l'ambito della politica a utenti o gruppi specifici. Non mi lamenterei se l'interfaccia usata per gestire questi criteri è stata leggermente rinnovata, ma la quantità di controllo che puoi ottenere sull'autenticazione usando questi criteri è molto buona rispetto alla concorrenza di LastPass, seconda solo a opzioni come la capacità di Azure AD di offrire funzionalità di machine learning (ML).
Un altro vantaggio che LastPass Enterprise offre agli utenti è un deposito password personale. Mentre altre opzioni IDaaS consentono agli utenti di archiviare le informazioni sull'account per gli account personali nella dashboard SSO, LastPass Enterprise è l'unico contendente competitivo nell'arena del vault password personale. Gli utenti di LastPass Enterprise esistenti possono persino collegare il proprio account LastPass personale al proprio deposito aziendale.
Segnalazione debole
L'aspetto più debole di LastPass Enterprise potrebbe essere il suo strumento di reporting. Poco più di un registro eventi, la funzione di reporting di LastPass Enterprise consente di cercare e ordinare gli eventi per trovare una voce specifica oppure è possibile esportare l'elenco in Excel per un'analisi più approfondita. LastPass espone inoltre i propri dati di reporting attraverso un'interfaccia di programmazione dell'applicazione REST (API REST).
Una qualità di riscatto che LastPass Enterprise ha aggiunto dalla nostra ultima recensione è la sua integrazione Splunk. Questa funzione utilizza un raccoglitore di eventi HTTP in Splunk Cloud per interfacciarsi con l'istanza di LastPass Enterprise, estraendo eventi e incorporandoli nella soluzione di registrazione aziendale. Puoi andare un po 'più a bassa tecnologia semplicemente configurando le notifiche e-mail amministrative, il che è fattibile per oltre 15 tipi di eventi. Oppure puoi gestire i limiti di notifica (quante e-mail vengono inviate in un determinato periodo di tempo) o semplicemente visualizzare le notifiche imminenti e passate.
Gli abbonamenti LastPass Enterprise sono annuali anziché mensili e partono da $ 48 per utente per 100 utenti o meno. Le società con più di 100 utenti ricevono uno sconto di $ 8 per utente (fino a $ 40 all'anno) e quelle con più di 1500 utenti ricevono un ulteriore $ 10 per utente di sconto all'anno ($ 30). LastPass offre anche licenze per siti per clienti aziendali con un gran numero di utenti, una soluzione che ti consente di pagare una tariffa annuale fissa e ti offre anche livelli di sicurezza personalizzati.
Nel complesso, LastPass Enterprise è ancora un po 'deludente nella nostra ultima recensione rispetto alla concorrenza, e questo è dovuto a diversi problemi. Il primo è il supporto molto limitato per il provisioning automatizzato degli utenti, che riteniamo sia una funzionalità fondamentale per le soluzioni IDaaS. Inoltre, manca ancora di funzionalità chiave per la sincronizzazione AD, inclusa l'impossibilità di eseguire il sorgente da più directory, il che rappresenta un difetto chiave. Tuttavia, molti dei nostri problemi con LastPass Enterprise come piattaforma sono generalmente più un problema per le aziende più grandi, il che significa che le piccole aziende potrebbero andare bene usando LastPass Enterprise come IDM di loro scelta. Assicurati di valutarlo attentamente e assicurati che sia adatto alla tua organizzazione prima dell'acquisto.
