Revisione e valutazione del pingone dell'identità del ping

Ping Identity PingOne ha una solida performance nello spazio Identity-Management-as-a-Service (IDaaS). Offre più opzioni per l'autenticazione rispetto a un ambiente Active Directory (AD) esistente e supporto per Google Apps o altre directory di terze parti. Laddove Ping Identity PingOne non è all'altezza di alcuni concorrenti (inclusi i vincitori di Editors 'Choice Microsoft Azure Active Directory e Okta Identity Management si trovano in settori quali politiche di autenticazione e reportistica. In queste categorie, Ping Identity PingOne semplicemente non offre lo stesso livello sofisticato come la concorrenza. Tuttavia, al costo di $ 28 per utente all'anno, i prezzi di Ping Identity PingOne sono competitivi con il resto del campo delle soluzioni IDaas. Inoltre, la sua attenzione a non archiviare i dati nel cloud sarà interessante per alcuni.

Installazione e configurazione

L'impostazione e la configurazione iniziale di Ping Identity PingOne è un processo in due fasi. Innanzitutto, l'account PingOne di Identità Ping deve essere creato insieme a un utente amministrativo per gestire il servizio. In secondo luogo, Ping Identity PingOne deve essere collegato alla directory aziendale per eseguire l'autenticazione con il servizio di identità esistente. Ping Identity offre due opzioni per la connessione di un ambiente AD esistente: ADConnect (da non confondere con Azure AD Connect di Microsoft) e PingFederate. ADConnect è un'installazione semplice e richiede pochissima configurazione sul lato della directory. Tuttavia, è limitato a un singolo dominio AD, il che significa che la maggior parte delle organizzazioni più grandi dovrà optare per PingFederate.

Fortunatamente, anche l'installazione di PingFederate è semplice, sebbene Java Server Edition sia un prerequisito. Una lamentela che ho è che l'utility di installazione PingFederate afferma semplicemente che la variabile d'ambiente JAVA_HOME deve puntare a un runtime Java valido, senza menzionare il requisito per Server Edition. Mentre Ping Identity PingOne spiega chiaramente la necessità del requisito Java, preferirei idealmente che l'utility di installazione includesse tutto il software prerequisito o, come minimo, offrirei un percorso chiaro per scaricare ciò che è necessario prima o durante l'installazione. Allo stato attuale, tuttavia, dovrai individuare, scaricare e installare Java da solo prima di passare a PingFederate.

Una volta installato PingFederate, avvia la console di amministrazione basata sul web. La console offre la procedura guidata "Connetti a un archivio di identità", che è necessario utilizzare per creare una chiave di attivazione che deve essere immessa in PingFederate. Una volta immessa la chiave di attivazione, tenere a portata di mano alcune informazioni di base sull'ambiente AD Active, tra cui elementi quali nomi distinti per un account di servizio e un contenitore utente. Fatto ciò, la tua directory dovrebbe essere connessa a Ping Identity PingOne.

Mi sarebbe piaciuto vedere alcuni elementi grafici nel processo di connessione alla directory che mostravano l'albero della directory, permettendoti di selezionare quali contenitori sincronizzare o persino di cercare e sfogliare gli oggetti utente. Ping Identity PingOne dovrebbe rendersi conto che non tutti comprendono ciò che un nome distinto è molto meno la sua sintassi corretta.

Integrazione di directory

Ping Identity PingOne può integrarsi con i domini AD utilizzando AD Connect, PingFederate, Google G Suite o una directory SAML (Security Assertion Markup Language) di terze parti. Mentre la maggior parte dei principali venditori nello spazio IDaaS, tra cui Okta Identity Management e OneLogin, memorizza gli utenti e un sottoinsieme dei loro attributi disponibili, Ping Identity PingOne non memorizza copie delle identità aziendali. Piuttosto, si connette al provider di identità su richiesta utilizzando uno dei connettori forniti. A causa di questa fondamentale differenza architettonica, la maggior parte dei professionisti IT sottolinea che è fondamentale implementare correttamente PingFederate per evitare che un singolo punto di errore a causa della disattivazione del server PingFederate.

Per essere onesti qui, tuttavia, la realtà è che la maggior parte della concorrenza richiede comunque di mantenere una connessione alla directory. L'unica differenza è che la maggior parte dei provider ha semplicemente bisogno di questo per l'autenticazione, non per l'intero set di attributi utente. Per me, questa differenziazione dell'architettura è eccessiva, ma c'è una legittima esitazione tra le società sul mantenimento della privacy mentre si spostano nel cloud. Quindi, forse PingIdentity ha trovato un buon equilibrio tra evitare la nuvola del tutto e saltare dentro senza pensarci due volte.

Ci sono molti grandi vantaggi nell'usare PingFederate insieme a Ping Identity PingOne oltre al maggiore controllo su come sono esposte le tue identità. Il primo è la capacità di integrarsi con altri tipi di directory, incluse le directory LDAP (Lightweight Directory Access Protocol). Strettamente legata alla funzionalità basata su standard è la capacità di PingFederate di connettersi con più fonti di identità e aggregarle insieme. Ping Identity PingOne non offre questa capacità a livello di cloud, quindi PingFederate è la soluzione migliore per unire identità da più fonti.

PingFederate offre numerose opzioni di configurazione, inclusa la possibilità di specificare quali attributi di identità sono esposti a Ping Identity PingOne. Poiché è probabile che attributi utente come indirizzi e-mail e nomi vengano utilizzati per SSO (single sign-on) per applicazioni SaaS (Software-as-a-Service), questi attributi possono essere cruciali per l'implementazione. La selezione degli attributi da sincronizzare utilizza uno strumento leggermente più grafico rispetto alla configurazione della sincronizzazione della directory ma è sepolto abbastanza in profondità nella console di amministrazione di PingFederate.

Provisioning utente

Mentre Ping Identity PingOne non memorizza i nomi utente o i loro attributi, mantiene un elenco di gruppi sincronizzati dalla tua directory. A questi gruppi possono essere assegnate app configurate per SSO. Gli utenti che appartengono a questi gruppi avranno quindi accesso a queste app nel loro dock.

Nella maggior parte dei casi, sarà necessario eseguire il provisioning manuale degli account utente nelle app SaaS. Un sottoinsieme limitato delle app SaaS disponibili (inclusi Concur e DropBox) supporta il provisioning automatizzato degli utenti, sebbene questo sia in gran parte sulle app SaaS per esporre le interfacce di programmazione delle applicazioni (API) necessarie. In effetti, l'app SSO di Microsoft Office 365 elencata come "SAML con provisioning" non fa nulla del genere. Invece, è necessario installare gli strumenti di sincronizzazione della directory di Microsoft, il che significa che gli aspetti di provisioning di quella particolare app non sono gestiti da Ping.

Configurazione del provisioning in Ping Identity PingOne è complicato rispetto a Okta Identity Management e OneLogin. Due aree in cui ho preoccupazioni sono il modo in cui alcune app SaaS vengono identificate e il modo in cui gli amministratori consentono il provisioning. La configurazione del provisioning con Google G Suite richiede di scegliere l'app Google Gmail, che è piuttosto confusa. Il provisioning è abilitato tramite la procedura guidata di configurazione dell'app ma richiede di selezionare una casella nella parte inferiore di una delle schermate per visualizzare le opzioni per il provisioning degli utenti. Il provisioning è una delle poche funzionalità indispensabili per le suite IDaaS e il supporto di provisioning limitato Le offerte Ping Identity di PingOne sono solo a mezzo passo dal non supportarlo affatto.

Tipi di autenticazione

Ping Identity PingOne offre un'autenticazione forte alle app che supportano lo standard SAML e la possibilità di accedere ad altre app SaaS utilizzando le credenziali archiviate (proprio come un vault password). Il catalogo delle app indica chiaramente quale tipo di autenticazione è supportato da ciascuna app. In effetti, alcune app supportano entrambi i tipi di autenticazione (nel qual caso SAML è il metodo consigliato). La connessione a un'app che supporta l'autenticazione SAML deve in genere essere configurata su entrambi i lati della connessione, il che significa che l'app SaaS deve avere il supporto SAML abilitato e una configurazione di base deve essere eseguita. Identità di ping Il catalogo delle app di PingOne include informazioni sulla configurazione di ciascuna app SAML, il che rende la configurazione di questo collegamento abbastanza semplice.

Ping Identity PingOne supporta una maggiore forza di autenticazione sotto forma di MFA. L'AMF può essere applicato a app e gruppi di utenti specifici (o intervalli di indirizzi IP) utilizzando una politica di autenticazione. Tuttavia, Ping Identity PingOne offre una sola politica di autenticazione e non ha la possibilità di filtrare per gruppo e indirizzo IP. Ciò rende Ping Identity PingOne in ritardo rispetto ad alcuni concorrenti come Okta Identity Management o Azure AD, entrambi i quali consentono almeno di configurare i criteri di autenticazione in base all'app.

Identità ping L'implementazione MFA di PingOne utilizza PingID, un'app per smartphone che esegue la fase di autenticazione aggiuntiva tramite un processo di conferma o una password singola. Gli utenti possono anche ricevere password singole tramite SMS o messaggi vocali o con un dispositivo di sicurezza USB YubiKey. Sebbene ciò sia utile a un livello molto semplice, Ping Identity PingOne ha davvero bisogno di intensificare il loro gioco se vogliono essere presi sul serio dal punto di vista dell'AMF. Persino LastPass Enterprise li batte in modo ottimale in termini di funzionalità MFA.

Single Sign-On

SSO è un'altra area in cui le scelte di architettura di PingFederate hanno un impatto. Durante il processo di autenticazione SSO, gli utenti accedono al proprio dock PingOne di Identità Ping, che li reindirizza al servizio PingFederate ospitato sulla propria rete aziendale. Per gli utenti sulla rete aziendale interna, questo è probabilmente un problema ma richiederà una configurazione firewall aggiuntiva (porta 443) per gli utenti esterni che guardano dentro.

La dashboard SSO rivolta all'utente, il dock Ping Identity PingOne, è leggermente migliorata dalla nostra ultima visita. L'elenco semplice delle app SaaS è stato sostituito da una griglia di icone che può anche essere navigata utilizzando un menu a comparsa sul lato sinistro. Gli amministratori possono abilitare una sezione personale del dock in cui gli utenti possono aggiungere i propri account SaaS. Ping Identity Le estensioni del browser PingOne migliorano l'esperienza del dock, fornendo l'accesso SSO alle app senza dover tornare al dock.

Il pannello Ping Identity PingOne ha alcuni rapporti fissi che mostrano le statistiche di accesso tra cui una mappa globale che mostra da dove provengono queste autenticazioni. La funzionalità di reporting copre le nozioni di base necessarie per iniziare a ottenere informazioni sulle autenticazioni degli utenti elaborate tramite Ping Identity PingOne, ma non consente analisi approfondite o dati sulla risoluzione dei problemi.

Prezzi e tariffe

Ping Identity PingOne costa $ 28 per utente ogni anno e MFA costa $ 24 in più ogni anno. Sconti sul volume e sul pacchetto sono disponibili da PingIdentity. Per un prodotto con chiari punti deboli rispetto ad Azure AD, Okta Identity Management e OneLogin, i prezzi di Ping Identity PingOne sono competitivi ma non sufficienti a fornire un grande incentivo a sceglierlo rispetto alla concorrenza.

Nel complesso, Ping Identity PingOne ha fatto alcune scelte di architettura sostanzialmente diverse rispetto alla concorrenza e alcune saranno apprezzate da organizzazioni con problemi di sicurezza o privacy. Sfortunatamente, l'architettura non offre abbastanza vantaggi per superare alcune aree in cui Ping Identity PingOne non è all'altezza, in particolare la limitazione delle politiche di sicurezza, dei report barebone e del provisioning più critico da parte degli utenti. A meno che la privacy non sia la tua massima preoccupazione e Ping Identity PingOne ti aiuta a superare questo ostacolo, non possiamo raccomandarlo su Azure AD, Okta Identity Management o OneLogin. Tuttavia, se ti trovi in ​​un settore particolarmente sensibile alla sicurezza dei dati cloud, Ping Identity PingOne potrebbe essere un'opzione accettabile per te.