Lastpass enterprise review & rating

LastPass Enterprise är ett stort namn på lösenordsvalvarenan, så det är bara meningsfullt att det skulle ha en IDM-lösning för företag. LastPass Enterprise (som börjar med $ 48 per användare per år, dubbelt startpriset från när vi först granskade det för två år sedan) jämför väl på papper med andra IDM-tjänster, och erbjuder funktioner som multifaktor-autentisering (MFA) och flera säkerhetspolicyer. Tyvärr, även med de förbättringar som företaget har gjort under de senaste två åren, är LastPass Enterprise fortfarande grovt runt kanterna. Det stöder automatiserad användarförsörjning för endast en handfull SaaS-programvara (Software-as-a-Service), som ger minimal flexibilitet när du synkroniserar med dina Active Directory (AD) -användarkonton och totalt sett är undermåliga i deras hanteringsverktyg och gränssnittselement. Runt om, utom småföretag som letar efter en snabb säkerhetsuppgradering, är det svårt att rekommendera LastPass Enterprise över våra Editors 'Choice-vinnare i denna kategori, Microsoft Azure Active Directory (AD), Okta Identity Management, och senast Centrify.

Installation och konfiguration

Sedan vår senaste granskning fann vi att LastPass AD-synkroniseringsklient är mycket förbättrad. Även om programmetsagent vid tidpunkten för denna skrivning bara har en betabeteckning, uppmuntrar LastPass användare att börja använda den i produktion omedelbart. Det beror främst på att det nu erbjuder saker som korrekt hantering av kapslade gruppmedlemskap, vars brist var en allvarlig nackdel i den tidigare versionen. Liksom mycket av konkurrensen, inklusive alla våra Editors 'Choice-vinnare och Bitium, använder LastPass synkroniseringsklienten för att importera användare och säkerhetsgrupper till ditt LastPass Enterprise-konto. Installationen av synkroniseringsklienten är ganska klippt och torkad, och när det är klart kan du börja konfigurera Active Directory.

Ett annat alternativ som LastPass Enterprise erbjuder som ett alternativ till deras AD-synkroniseringsklient är en installation av deras standardklientprogramvara, konfigurerad för att integreras med den vanliga Windows inloggningsprocessen. I det här fallet kommer enskilda datorer att kommunicera med ditt LastPass Enterprise-konto för att utföra kontoskapande när en användare loggar in på sin dator. Den tydliga nackdelen med denna metod är att säkerhetsgrupper inte synkroniseras upp till LastPass Enterprise, vilket kräver manuell grupphantering inom tjänsten. Även om denna metod inte är optimal, erbjuder den ett alternativ till en AD-baserad agent och är ett unikt erbjudande i IDaaS-rymden.

Katalogintegration

AD-synkroniseringsklienten erbjuder ett antal konfigurationsalternativ inklusive möjligheten att rikta in sig på en domänkontrollant från en annan värd. Det innehåller också katalogalternativ som bas Distinguished Name (DN) som ska användas samt flera alternativ för policytyp, till exempel hur man hanterar funktionshindrade konton eller ändringar i gruppmedlemskap. LastPass Enterprise synkroniserar både användare och säkerhetsgrupper från AD, vilket gör att applikationstilldelningar och säkerhetspolicyer kan tillämpas på endera nivån. Från ett administratörsperspektiv har du viss kontroll över vad som händer när användare läggs till i synkroniserade grupper (eller tas bort). Alternativ inkluderar att skicka användaren en inbjudan eller helt enkelt aktivera sitt konto, eller i fallet med att ta bort, helt enkelt stänga eller ta bort LastPass-kontot helt.

Totalt sett erbjuder inte LastPass Enterprise samma nivå av sofistikering som de andra konkurrenterna som jag granskade när det gäller att hantera vilka attribut som synkroniseras från din befintliga katalog, och det har inte förändrats under de två åren sedan jag först granskade produkten. AD-synkroniserings-klienten erbjuder nu möjligheten att aktivera anpassade attribut, men det innebär att ge en kommaseparerad lista med värden och erbjuder inte ett grafiskt sätt att välja vilka attribut du vill synkronisera. Det finns inte heller något sätt att se vilka attribut som redan har valts. LastPass Enterprise kommer att behöva trappa upp sina AD-anslutningsmöjligheter om de vill vara en seriös aktör på denna arena.

Bristen på funktioner som tillgodoser storföretagens behov kommer att fortsätta att vara ett tema under hela denna översyn. Till exempel har stora företag ibland flera Active Directory-domäner, eller till och med andra katalogtyper. Endast några få av de IDM som vi har granskat hanterar det här, särskilt Okta och Optimal IdM, även om de flesta åtminstone erbjuder möjligheten att ansluta till flera identitetskällor samtidigt. En annan begränsning för stora organisationer är att LastPass Enterprise inte stöder några konsumentidentitetskällor, som Facebook, Google eller LinkedIn. Konsument-IDM används vanligtvis för att ge enkel åtkomst till applikationer som vänder mot kunder eftersom det låter användare utnyttja sina befintliga sociala mediekonton när de autentiseras till din app eller tjänst. I båda fallen är det brister som endast kommer att kännas av företag med specifika behov, men det är funktioner som tungvikter i kategorin gör det möjligt att hantera väl.

Automatiserad användarförsörjning i SaaS-applikationer stöds i LastPass Enterprise men antalet stödda tjänster toppar på tio, vilket är anemiskt jämfört med antalet som hittas i Editors 'Choice-vinnare Okta Identity Management. Du hittar stöd för vissa populära molnapplikationer, inklusive SalesForce, Google G Suite, Jira Service Desk och Zendesk, men konstigt, är småföretags häftklamrar Office 365 och DropBox väsentligt frånvarande. För företag som har för avsikt att lansera enkel inloggning (SSO) för att effektivisera tillhandahållande och säkerhet av SaaS-appar i hela deras företag kan denna avsaknad av stöd för direkt tillhandahållande vara ett avtal.

Enskilt inloggning

SSO-portalen är enkelt ett av de största förbättringsområdena sedan vår senaste go-round med LastPass Enterprise. I vår tidigare granskning noterade vi hur trädvyn som i princip omfattade SSO-portalen var klumpig och inte alls intuitiv för användare. Nu har portalen blivit en spegel av den i LastPass-konsumentversionen, som är ren och effektiv. Det är inte att säga att portalen dock är helt i nivå med tungviktarna. För det första finns det några funktioner som saknas, som kundanpassat varumärke, men enligt vår mening är det låg prioritet jämfört med säkerhet och användbarhet för tjänsten.

LastPass erbjuder ett antal kundorienterade programverktyg utöver den webbläsarbaserade SSO-portalen. Webbläsarplugins är de mest uppenbara och ger instruktioner om att använda eller lägga till sparade referenser. LastPass erbjuder också integration med Windows-skrivbordet, inklusive möjligheten att autentisera i applikationer som en VPN-klient eller en fjärråtkomstsession. Företagadministratörer har möjlighet att anpassa ett installationsprogram som kan användas för att driva rätt programvara till klientarbetsstationer med hjälp av ett antal olika metoder.

Att tilldela appar till användare liknar det du hittar i andra identitetshanteringssystem. Du måste konfigurera SAML-anslutningen till en SaaS-applikation, vanligtvis i LastPass Enterprise och sedan på applikations- eller servicesidan. Det handlar om att definiera vilka grupper som ska ha tillgång till tjänsten. Dessutom finns det ett menyalternativ under Avancerade alternativ som låter dig driva webbplatser till användare och dessa webbplatser kommer sedan att fylla i användarens LastPass-valv. Webbplatspressar kan konfigureras som ihållande, vilket resulterar i att nya gruppmedlemmar automatiskt får apptilldelningen.

En ytterligare kapacitet som LastPass erbjuder i sin konsumentorienterade tjänst som nu också finns i LastPass Enterprise är delade mappar. Delade mappar fungerar annorlunda än att bara skjuta webbplatser till användare. Till exempel kan alla användare skapa en delad mapp och mappar kan delas ut till enskilda användare eller till en AD-grupp. Nya gruppmedlemmar får också åtkomst till den delade mappen när de läggs till i gruppen. Precis som delade mappar kan skapas av alla användare, kan de också hanteras eller administreras av alla användare. Flera behörighetsnivåer kan tilldelas för att reglera vem som kan lägga till objekt i en mapp eller vem som kan hantera behörigheter för andra användare. Detta är en idealisk lösning för delegerad administration av icke-kritiska appar som inte kräver samma säkerhetsnivå eller kontroll på företagsnivå.

Två styrkor som LastPass Enterprise innehar över majoriteten av konkurrensen innebär säkerhet. Multifaktor-autentisering (MFA) är en nyckelfunktion i SSO-utrymmet men erbjuds vanligtvis endast till högre priser i konkurrerande produkter. LastPass Enterprise stöder dessutom ett brett utbud av multifaktorleverantörer inklusive Duo Security, Google Authenticator, LastPass Sesame, RSA SecurID, Toopher, YubiKey och flera till. En av de nyaste tilläggena är LastPass Authenticator, som har den ytterligare fördelen att skicka pushmeddelanden till din mobila enhet, som sedan ber dig bekräfta autentiseringen. Kanske är den bästa delen av MFA-alternativen att administratörer har mycket flexibilitet när det gäller att tilldela det. De kan kräva MFA över hela organisationen eller till en specifik uppsättning användare eller helt enkelt låta användare aktivera MFA om de vill ha extra skydd.

Den andra stora styrkan som LastPass Enterprise har är ett stort antal säkerhetsprofiler som kan tillämpas på enskilda användare eller på grupper. Säkerhetspolicies kan hantera allt från multifaktorkrav, blockera användning från TOR-utgångsnoder eller andra IP-adressintervall och krav på lösenordskomplexitet. Enskilda policyer består vanligtvis av en kryssruta eller ett textfält samt alternativet att begränsa policyns omfattning till specifika användare eller grupper. Jag skulle inte klaga om gränssnittet som användes för att hantera dessa policyer har renoverats lite, men hur mycket kontroll du kan få över autentisering med hjälp av dessa policyer är mycket bra jämfört med LastPass 'konkurrens, för det andra bara alternativ som Azure AD: s förmåga att erbjuda maskininlärningsfunktioner (ML).

En annan fördel som LastPass Enterprise erbjuder för användare är ett personligt lösenordsvalv. Medan andra IDaaS-alternativ tillåter användare att lagra kontoinformation för personliga konton i sin SSO-instrumentbräda, är LastPass Enterprise den enda utmanaren som är konkurrenskraftig inom den personliga lösenordsvalvarenan. Befintliga LastPass Enterprise-användare kan till och med koppla upp sitt personliga LastPass-konto med deras företagsvalv.

Svag rapportering

Den svagaste aspekten av LastPass Enterprise kan vara dess rapporteringsverktyg. Lite mer än en händelselogg gör det möjligt för LastPass Enterprise rapporteringsfunktion att söka och sortera händelser för att hitta en specifik post eller så kan du exportera listan till Excel för en mer ingående analys. LastPass exponerar också sina rapporteringsdata genom ett REST-applikationsprogrammeringsgränssnitt (REST API).

En återlösande kvalitet som LastPass Enterprise har lagt till sedan vår senaste granskning är dess Splunk-integration. Den här funktionen använder en HTTP-händelssamlare i Splunk Cloud för att gränssnitta med din LastPass Enterprise-instans, extrahera händelser och integrera dem i din företagsloggingslösning. Du kan gå lite mer low-tech genom att bara konfigurera administrativa e-postmeddelanden, vilket är möjligt för över 15 evenemangstyper. Eller så kan du hantera meddelandegränser (hur många e-postmeddelanden som skickas under en tid) eller helt enkelt se kommande och tidigare meddelanden.

LastPass Enterprise-prenumerationer är årliga snarare än varje månad och börjar på $ 48 per användare för 100 användare eller mindre. Företag med mer än 100 användare får en rabatt på $ 8 per användare (ner till $ 40 per år), och de med mer än 1500 användare får ytterligare $ 10 per användare per år ($ 30). LastPass erbjuder också webbplatslicenser för företagskunder med ett stort antal användare, en lösning som låter dig betala en fast årlig avgift och också ger dig anpassade säkerhetsnivåer.

Totalt sett är LastPass Enterprise fortfarande lite nedslående i vår senaste översikt jämfört med konkurrensen, och det beror på flera problem. Först är det mycket begränsat stöd för automatiserad användarleverans, vilket vi anser är en kritisk funktion för IDaaS-lösningar. Dessutom saknar det fortfarande nyckelfunktioner för AD-synkronisering, inklusive oförmågan att källa från flera kataloger, vilket är en nyckelbrist. Fortfarande är många av våra problem med LastPass Enterprise som plattform i allmänhet mer av ett problem för större företag, vilket betyder att små företag kan vara bra med att använda LastPass Enterprise som deras IDM-val. Men se till att utvärdera det noggrant och se till att det är rätt för din organisation innan du köper.