Revisione e valutazione di Onelogin

OneLogin offre un servizio di gestione delle identità ricco di funzionalità che non romperà la banca. OneLogin offre quattro livelli di prezzi tra la loro versione gratuita e il livello illimitato di $ 8 per utente al mese. Il servizio controlla tutte le principali caselle di funzionalità di gestione delle identità, inclusi più criteri di sicurezza, applicazioni mobili per il portale utenti e autenticazione a più fattori (MFA), nonché tutti i meccanismi di autenticazione chiave. OneLogin offre anche un paio di sorprese che non troverai tra i concorrenti. Ma, sebbene sia in cima alla nostra lista, le funzionalità di OneLogin non coincidono perfettamente con i vincitori di Editors 'Choice Okta Identity Management o Microsoft Azure Active Directory (AD), e la dipendenza di OneLogin dai mapping sarà un po' confusa per alcuni. Tuttavia, OneLogin rimane uno dei principali contendenti e può servire bene la maggior parte dei clienti delle piccole e medie imprese (PMI).

Installazione e configurazione

Iniziare con OneLogin e collegarlo al servizio di directory esistente è roba abbastanza standard. Dopo aver effettuato l'accesso alla console di amministrazione di OneLogin per la prima volta, si viene accolti con una procedura guidata di installazione che guida l'utente attraverso i passaggi iniziali necessari per completare il processo di configurazione, inclusa la creazione del sottodominio, l'importazione degli utenti e l'aggiunta di applicazioni.

OneLogin supporta diversi tipi di directory, tra cui Microsoft Active Directory (AD), Google G Suite, Workday e Lightweight Directory Access Protocol (LDAP) tramite SSL o connettore di OneLogin. La connessione di AD a OneLogin implica il download e l'installazione del connettore AD e il completamento di alcuni semplici passaggi di configurazione (selezione di un account di servizio, configurazione di un numero di porta e selezione del dominio da sincronizzare). Come l'agente Ping Identity PingOne di Ping, OneLogin ha scelto di utilizzare un token per associare il connettore AD a OneLogin anziché le credenziali dell'account. Una volta effettuata l'associazione, è possibile configurare il connettore AD (in particolare, selezionando quali unità organizzative o gruppi sincronizzare). Ai fini del bilanciamento del carico e della tolleranza agli errori, è possibile distribuire più connettori AD in modo da poter mantenere la disponibilità in caso di guasto.

Come molti dei suoi concorrenti, OneLogin si sta muovendo verso un approccio olistico alla gestione delle identità aziendali integrandosi con altre fonti di identità come i sistemi di gestione delle risorse umane (risorse umane), tra cui Workday, UltiPro e Namely. Utilizzando il set di strumenti di OneLogin non solo crei e gestisci identità all'interno di OneLogin e qualsiasi app SaaS (software as a service) associata, ma puoi spingerle verso il basso in Active Directory, limitando la doppia voce e migliorando l'accuratezza.

Integrazione di directory e provisioning degli utenti

Un altro aspetto chiave dell'integrazione della directory è la scelta degli attributi che importerai da AD e la loro configurazione. OneLogin ti consente di creare campi personalizzati e definire quale attributo AD popolerà quei campi. A seconda delle esigenze aziendali, questi campi potrebbero essere utili nella configurazione dei mapping delle applicazioni o dei criteri di sicurezza. Ad esempio, se l'organizzazione ha esteso lo schema AD per includere attributi personalizzati contenenti informazioni sulla struttura aziendale, OneLogin semplifica l'utilizzo di tali informazioni.

La scheda Avanzate della connessione AD nella console di amministratore di OneLogin consente di configurare se i nuovi utenti vengono creati automaticamente come utenti OneLogin o se vengono semplicemente messi in scena, richiedendo un tocco personale da un amministratore prima della creazione di un utente. Le impostazioni della scheda Avanzate consentono inoltre di configurare la modalità con cui OneLogin gestisce gli utenti disabilitati o eliminati in AD.

Una differenza fondamentale tra OneLogin e la maggior parte della concorrenza è il modo in cui gestisce i gruppi e le assegnazioni delle applicazioni. Per cominciare, OneLogin non sincronizza i gruppi di sicurezza da AD; piuttosto, i gruppi sono gestiti in modo indipendente in OneLogin. I gruppi in OneLogin vengono utilizzati principalmente per assegnare criteri di sicurezza agli utenti che contengono, mentre i ruoli vengono utilizzati per gestire l'assegnazione delle applicazioni. Gli utenti possono essere assegnati ai gruppi OneLogin manualmente o utilizzando Mappings, uno strumento di automazione che utilizza condizioni e azioni per gestire gli utenti (assegnandoli a gruppi o ruoli e persino cambiando il loro stato o alterando gli attributi al volo). I mapping sono una funzionalità chiave di OneLogin, aggiungendo flessibilità e complessità aggiuntiva al modo in cui vengono gestiti i criteri di sicurezza e le assegnazioni delle applicazioni. Mentre mi piace il concetto e la flessibilità che offre, penso che confonda certamente le cose. Mi sarebbe piaciuto vedere una combinazione di sincronizzazione di gruppo e la capacità di assegnare dinamicamente politiche o applicazioni usando qualcosa come i mapping.

Dopo aver configurato alcuni mapping per assegnare gli utenti ai ruoli, è possibile iniziare il processo di configurazione dell'accesso Single Sign-On (SSO) alle applicazioni SaaS e assegnazione di tali applicazioni ai ruoli. OneLogin offre un catalogo di applicazioni simile ad altri strumenti IDaaS e il catalogo identifica i metodi di autenticazione disponibili per ciascuna applicazione. Una bella funzionalità offerta da OneLogin per le applicazioni SaaS compatibili è una configurazione parzialmente automatica di entrambi i lati della connessione SAML (Security Assertion Markup Language). Google G Suite, ad esempio, supporta la configurazione automatica dopo uno scambio di token OAuth. OneLogin supporta anche il provisioning degli utenti SaaS ma, come con qualsiasi soluzione IDaaS, dipende dall'applicazione SaaS che offre un'interfaccia di programmazione dell'applicazione (API) per eseguire le funzioni di provisioning. Molte delle applicazioni SaaS chiave supportano il provisioning degli utenti come Google G Suite, Microsoft Office 365, Dropbox e potenzialmente molte altre, rendendo il provisioning automatizzato una funzionalità indispensabile in una soluzione IDaaS.

Una funzionalità avanzata offerta da OneLogin riguarda le app SaaS che non offrono supporto SAML. Utilizzando un connettore personalizzato, OneLogin consente di definire gli URL e gli elementi del modulo coinvolti nel processo di accesso per un'app che non è prontamente disponibile nel catalogo OneLogin. I connettori personalizzati consentono di selezionare il modulo e gli elementi del modulo utilizzando i tag HTML, come l'azione del modulo o il nome e l'ID pulsante, il tipo, il nome o il valore. Gli amministratori possono anche aggiungere connettori personalizzati utilizzando l'estensione del browser OneLogin, che semplificherà il processo di acquisizione dei designatori di elementi del modulo e l'abilitazione del connettore personalizzato. Ciò significa che OneLogin offre un metodo già pronto per la connessione ad app personalizzate poco conosciute o persino in-house immediatamente.

Un'altra caratteristica che distingue OneLogin è la sua capacità di supportare più pagine di autoregistrazione. Gli utenti che richiedono account tramite queste pagine sono memorizzati solo in OneLogin per impostazione predefinita. Queste pagine di registrazione possono essere utilizzate per registrare utenti che non fanno parte dell'ambiente AD ma che necessitano di un certo livello di accesso a determinate applicazioni aziendali. I casi d'uso per queste funzionalità includono studenti, stagisti o volontari. Durante la configurazione di una pagina di autoregistrazione, è possibile definire se è necessario eseguire o meno le azioni amministrative prima di eseguire il provisioning completo dell'account, nonché un ruolo predefinito e un gruppo per i nuovi utenti.

Single Sign-On e App mobili

Gli amministratori possono personalizzare molto sul portale utenti di OneLogin, inclusi cambi di colore, grafica e contenuti della Guida personalizzati. Gli utenti possono anche personalizzare la propria esperienza sul portale determinando il modo in cui le applicazioni vengono avviate (in una nuova finestra o nella stessa) e se è necessario utilizzare una vista a schede. Gli utenti possono anche archiviare note sicure nel proprio portale utenti e associare un dispositivo di autenticazione da utilizzare con l'autenticazione a più fattori (MFA). OneLogin ha due applicazioni mobili: OneLogin Launcher, che è una versione mobile del portale utenti, e OneLogin OTP, che è un'opzione multifattore che utilizza password monouso. Puoi associare OneLogin OTP al tuo account OneLogin inserendo un ID credenziale che identifica il singolo dispositivo e le password consecutive consecutive generate dall'applicazione.

OneLogin supporta due tipi di criteri di sicurezza: criteri utente e applicazione. I criteri dell'applicazione possono essere utilizzati per richiedere la verifica della password una tantum (OTP) o applicare restrizioni dell'indirizzo IP per le singole applicazioni, consentendo di applicare criteri in modo selettivo in base alla posizione della rete dell'utente (ad esempio dentro o fuori dalla rete aziendale). I criteri di sicurezza applicati agli utenti possono essere utilizzati per imporre la complessità della password e aggiornare le funzionalità e le informazioni sulla sessione (inclusi comportamento di blocco e timeout della sessione). Le politiche di sicurezza possono anche essere utilizzate per applicare requisiti multifattoriali e restrizioni per gli indirizzi IP.

Puoi sfruttare le politiche degli utenti per abilitare l'accesso social, che consente agli utenti di autenticarsi nel tuo ambiente OneLogin utilizzando tutte le credenziali esistenti che potrebbero avere su Google, Facebook, LinkedIn o Twitter. Puoi anche utilizzare queste credenziali per fornire ai partner commerciali o ai clienti l'accesso agli strumenti SaaS o alle app aziendali interne.

L'autenticazione adattiva di OneLogin è una soluzione basata sull'apprendimento automatico alla pari con le funzionalità offerte da Microsoft Azure AD e Centrify. È progettato per migliorare la sicurezza assegnando valori di rischio a app o risorse specifiche e quindi raccomandando ulteriori passaggi, come MFA, se il punteggio di rischio della risorsa indica che è richiesta una maggiore sicurezza.

Ottimo rapporto

Il motore di report offerto da OneLogin è un altro momento saliente del servizio. Sono disponibili più report predefiniti e hai la possibilità di clonare qualsiasi report e personalizzarlo in base alle tue esigenze. Puoi anche creare nuovi report da zero, aggiungendo i campi e i filtri desiderati. I report possono anche essere configurati per essere raggruppati in una colonna. Purtroppo, non sembra esserci alcun modo per pianificare i report, ma è possibile esportare qualsiasi set di risultati in un file CSV per ulteriori analisi. La possibilità di clonare e personalizzare i report è una rarità nello spazio IDaaS, qualcosa che non è nemmeno offerto da altre soluzioni top come Okta Identity Management o Azure AD.

OneLogin supporta soluzioni SEIM (Security Event Manager) come Splunk o Sumo Logic attraverso le emittenti di eventi. Questi sono configurati per inviare payload JavaScript Object Notation (JSON) agli URL che, a loro volta, sono configurati per consumare i dati. Inoltre, puoi configurare le notifiche e-mail utilizzando un motore condizione-azione, un processo che OneLogin ha reso molto semplice da configurare.

La struttura dei prezzi di OneLogin è nello stesso campo della maggior parte del mercato, ma OneLogin offre un livello gratuito che limita gli utenti a tre app aziendali, cinque app personali e non offre AMF. Il livello iniziale di $ 2 al mese aggiunge MFA e può gestire SSO per un numero illimitato di applicazioni SaaS. Il livello di avvio offre inoltre la possibilità di fornire la funzionalità di reimpostazione della password sia per OneLogin che per le password delle directory. Le aziende in cerca di maggiore sicurezza dovranno guadagnare $ 4 per utente al mese per il livello di servizio Enterprise, che offre criteri di sicurezza e supporterà anche la sincronizzazione da più directory. Il livello illimitato di livello superiore a $ 8 per utente al mese è necessario per il provisioning automatico degli utenti nelle applicazioni SaaS e nei campi personalizzabili.

Oltre ai livelli di base dei prezzi, OneLogin offre una manciata di componenti aggiuntivi. Virtual LDAP ($ 2 per utente al mese) consente alla directory OneLogin di agire come una directory LDAP standard. Ciò lo rende accessibile a una moltitudine di app e servizi che hanno deciso di sfruttare lo standard LDAP di lunga data. Le funzionalità di autenticazione adattiva che offrono l'apprendimento automatico e il controllo basato sul rischio sull'autenticazione comportano inoltre un costo aggiuntivo di 3 $ al mese per utente.

Vale la pena ricordare che OneLogin ha recentemente subito un incidente di sicurezza significativo. Sebbene la sicurezza sia della massima importanza per uno strumento utilizzato per aumentare la sicurezza aziendale, è difficile giudicare l'impatto di una violazione di questo tipo. Molte aziende probabilmente eviteranno OneLogin a causa della loro recente esperienza, mentre altre si concentreranno maggiormente sulla reazione di OneLogin all'incidente, piuttosto che sull'evento stesso. Tendo a rientrare personalmente in quest'ultima categoria e OneLogin è stato comunicativo con la loro base di utenti durante tutto il processo e sta lavorando con il loro fornitore di servizi cloud e anche alcuni dei loro clienti con esperienza applicabile al fine di rafforzare i loro controlli di sicurezza e politiche per impedire che questa situazione si verifichi in futuro.

L'uso di mappature da parte di OneLogin non deve essere sottovalutato. Se un punto di vendita di SaaS e IDaaS è l'efficienza, le mappature portano questo al livello successivo fornendo funzionalità di automazione non disponibili nella concorrenza. Detto questo, sono un po 'scoraggiato dalla sua dipendenza dai mapping e dal fatto che OneLogin non sincronizza i gruppi di sicurezza, sebbene ciò possa effettivamente essere un vantaggio per le grandi organizzazioni con migliaia di gruppi. Tuttavia, OneLogin si adatta bene con altre soluzioni IDaaS in aree chiave come il provisioning dell'applicazione SaaS, l'integrazione delle directory e il loro portale SSO. Ma, per me, l'omissione dei gruppi di sicurezza lascia OneLogin appena timido rispetto a Okta Identity Management per il primo posto IDaaS in questa carrellata.