Ping-identitet pingon granskning och betyg

Ping Identity PingOne är en solid aktör i IDaaS-rymden Identity-Management-as-a-Service. Det erbjuder flera alternativ för autentisering mot en befintlig Active Directory (AD) -miljö samt support för Google Apps eller andra kataloger från tredje part. Där Ping Identity PingOne underskrider en del av tävlingen (inklusive Editors 'Choice-vinnare Microsoft Azure Active Directory och Okta Identity Management är inom områden som autentiseringspolicyer och rapportering. I dessa kategorier erbjuder Ping Identity PingOne helt enkelt inte samma nivå För en kostnad på $ 28 per användare per år är Ping Identity PingOnes prissättning konkurrenskraftig med resten av området IDaas-lösningar. Dessutom kommer dess fokus på att inte lagra data i molnet vara attraktivt för vissa.

Installation och konfiguration

Den första installationen och konfigurationen av Ping Identity PingOne är en tvåstegsprocess. Först måste ditt Ping Identity PingOne-konto skapas tillsammans med en administrativ användare för att hantera tjänsten. För det andra måste Ping Identity PingOne vara ansluten till din företagskatalog för att utföra autentisering mot din befintliga identitetstjänst. Ping Identity erbjuder två alternativ för att ansluta en befintlig AD-miljö: ADConnect (inte förväxlas med Microsofts Azure AD Connect) och PingFederate. ADConnect är en enkel installation och kräver mycket liten konfiguration på katalogsidan. Det är dock begränsat till en enda AD-domän, vilket innebär att de flesta större organisationer kommer att behöva välja PingFederate.

Lyckligtvis är installationen av PingFederate också enkel, även om Java Server Edition är en förutsättning. Ett klagomål jag har är att installationsverktyget PingFederate helt enkelt säger att miljövariabeln JAVA_HOME måste peka på en giltig Java-runtime, utan att nämna kravet på Server Edition. Medan Ping Identity PingOne tydligt stryker behovet av Java-kravet, skulle jag helst föredra att installationsverktyget inkluderar all förutsatt programvara - eller, åtminstone, erbjuder en tydlig väg att ladda ner vad som behövs före eller under installationen. Som det ser ut måste du dock hitta, ladda ner och installera Java på egen hand innan du går vidare till PingFederate.

När PingFederate är installerat startar den webbaserade administrationskonsolen. Konsolen erbjuder guiden "Anslut till ett identitetslager", som du måste använda för att skapa en aktiveringsnyckel som sedan måste matas in i PingFederate. När aktiveringsnyckeln har matats in har du grundläggande information om din AD Active-miljö till hands, inklusive saker som särskilda namn för ett servicekonto och användarbehållare. När detta är gjort bör din katalog vara ansluten till Ping Identity PingOne.

Jag skulle ha velat se några grafiska element i kataloganslutningsprocessen som visar katalogträdet, låter dig välja vilka behållare som ska synkroniseras eller till och med låta dig söka och bläddra till användarobjekt. Ping-identitet PingOne bör inse att inte alla förstår vad ett utmärkt namn är mycket mindre dess korrekta syntax.

Katalogintegration

Ping-identitet PingOne kan integreras med AD-domäner genom att använda antingen AD Connect, PingFederate, Google G Suite eller en katalog från SAML-säkerhetsassertion Markup Language. Medan de flesta toppleverantörer i IDaaS-utrymmet, inklusive Okta Identity Management och OneLogin, lagrar användare och en delmängd av deras tillgängliga attribut, lagrar inte Ping Identity PingOne kopior av dina företagsidentiteter. Snarare ansluter den till din identitetsleverantör på begäran genom att använda en av de medföljande anslutningarna. På grund av denna grundläggande arkitektoniska skillnad påpekar de flesta IT-proffs att det är avgörande att implementera PingFederate på ett korrekt sätt för att förhindra en enda fel på grund av att PingFederate-servern är offline.

För att vara rättvis här är dock verkligheten att det mesta av tävlingen kräver att du ändå upprätthåller en kataloganslutning. Den enda skillnaden är att de flesta leverantörer helt enkelt behöver detta för autentisering, inte för hela uppsättningen användarattribut. För mig är denna arkitekturdifferentiering överdödig, men det finns ett legitimt tvekan bland företag om att upprätthålla integritet medan du flyttar till molnet. Så kanske har PingIdentity hittat en bra balans mellan att undvika molnet helt och hoppa in utan en ny tanke.

Det finns flera stora fördelar med att använda PingFederate tillsammans med Ping Identity PingOne utöver den ökade kontrollen över hur dina identiteter utsätts. Först är möjligheten att integrera med ytterligare katalogtyper, inklusive LDAP-kataloger för Lightweight Directory Access Protocol. När det gäller den standardbaserade funktionaliteten är PingFederate förmåga att ansluta till flera identitetskällor och samla dem tillsammans. Ping Identity PingOne erbjuder inte denna förmåga på molnnivå, så PingFederate är ditt bästa alternativ för att slå samman identiteter från flera källor.

PingFederate erbjuder en mängd konfigurationsalternativ, inklusive möjligheten att specificera vilka identitetsattribut som utsätts för Ping Identity PingOne. Eftersom användarattribut som e-postadresser och namn sannolikt kommer att användas för singel-inloggning (SSO) till Software-as-a-Service (SaaS) -applikationer, kan dessa attribut vara avgörande för din implementering. Att välja vilka attribut som ska synkroniseras använder ett lite mer grafiskt verktyg än katalogsynkroniseringskonfigurationen, men det är begravd ganska djupt i PingFederate-administrationskonsolen.

Användarförsörjning

Medan Ping Identity PingOne inte lagrar användarnamn eller deras attribut behåller den en lista över grupper synkroniserade från din katalog. Dessa grupper kan tilldelas appar som du har konfigurerat för SSO. Användare som har medlemskap i dessa grupper får då tillgång till dessa appar i sin dockning.

I de flesta fall måste användarkonton i SaaS-appar tillhandahållas manuellt. En begränsad delmängd av de tillgängliga SaaS-apparna (inklusive Concur och DropBox) stöder automatiserad leverans av användare, även om detta till stor del finns på SaaS-apparna för att avslöja de nödvändiga programmeringsgränssnitten för applikationer (API). I själva verket gör inte Microsoft Office 365 SSO-appen som listas som "SAML with Provisioning" något sådant. Istället kräver det att du installerar Microsofts katalogsynkroniseringsverktyg, vilket innebär att tillhandahållande aspekter av den specifika appen inte hanteras alls av Ping.

Tillhandahållande av konfiguration i Ping Identity PingOne är besvärligt jämfört med både Okta Identity Management och OneLogin. Två områden där jag har problem är hur vissa SaaS-appar identifieras och hur administratörer möjliggör tilldelning. För att konfigurera tilldelning med Google G Suite krävs att du väljer appen Google Gmail, vilket är ganska förvirrande. Tillhandahållande är aktiverat via appkonfigurationsguiden men kräver att du markerar en ruta längst ner på en av skärmarna för att se alternativen för användarleverans. Tillhandahållande är en av få måste-ha funktioner för IDaaS-sviter och det begränsade tillhandahållande stödet Ping Identity PingOne erbjuder är bara ett halvt steg bort från att inte stöda det alls.

Autentiseringstyper

Ping-identitet PingOne erbjuder stark autentisering för appar som stöder SAML-standarden samt möjlighet att logga in på andra SaaS-appar med hjälp av lagrade referenser (ungefär som ett lösenordsvalv). Appkatalogen anger tydligt vilken typ av autentisering som stöds av varje app. Faktum är att vissa appar stöder båda autentiseringstyperna (i vilket fall är SAML den rekommenderade metoden). Anslutning till en app som stöder SAML-autentisering måste vanligtvis konfigureras på båda sidor av anslutningen, vilket betyder att SaaS-appen måste ha SAML-stöd aktiverat och viss grundkonfiguration måste genomföras. Ping-identitet PingOnes appkatalog innehåller installationsinformation för varje SAML-app, vilket gör konfigurationen av denna länk ganska enkel.

Ping-identitet PingOne stöder ökad autentiseringsstyrka i form av MFA. MFA kan tillämpas på specifika appar och grupper av användare (eller IP-adressintervall) med hjälp av en autentiseringspolicy. Ping Identity PingOne erbjuder emellertid endast en enda autentiseringspolicy och saknar möjlighet att filtrera efter både grupp- och IP-adress. Detta gör att Ping Identity PingOne släpar efter en del av tävlingen som Okta Identity Management eller Azure AD, som båda åtminstone låter dig konfigurera autentiseringspolicyn per app-bas.

Ping-identitet PingOnes MFA-implementering använder PingID, en smartphone-app som utför det ytterligare autentiseringssteget antingen genom en bekräftelseprocess eller ett engångslösenord. Användare kan också ta emot engångslösenord via SMS eller röstmeddelanden eller med en YubiKey USB-säkerhetsenhet. Även om detta kan utföras på en mycket grundläggande nivå, måste Ping Identity PingOne verkligen öka sitt spel om de vill tas på allvar ur en MFA-synvinkel. Till och med LastPass Enterprise slår dem riktigt vad gäller MFA-kapacitet.

Enskilt inloggning

SSO är ett annat område där PingFederates arkitekturval påverkar. Under SSO-autentiseringsprocessen loggar användare in på sin Ping Identity PingOne-docka, som omdirigerar dem till PingFederate-tjänsten som är värd i deras företagsnätverk. För användare i det interna företagsnätverket är detta troligtvis ett problem utan kommer att kräva ytterligare brandväggskonfiguration (port 443) för användare på utsidan som tittar in.

Den användarvända SSO-instrumentbrädan, Ping Identity PingOne-dockan, har förbättrats något sedan vårt senaste besök. Den okomplicerade listan över SaaS-appar har ersatts av ett rutnät med ikoner som också kan navigeras med en utflygningsmeny till vänster. Administratörer kan aktivera en personlig sektion av dockningen där användare kan lägga till sina egna SaaS-konton. Ping-identitet PingOne-webbläsartillägg förbättrar dockningsupplevelsen och ger SSO-åtkomst till appar utan att behöva återvända till dockan.

Ping Identity PingOne-instrumentpanelen har några konserverade rapporter som visar inloggningsstatistik inklusive en global karta som visar var dessa autentiseringar kommer från. Rapporteringsfunktionen täcker grunderna som krävs för att börja få information om användarautentiseringar som bearbetas via Ping Identity PingOne, men det tillåter inte någon djup analys eller felsökningsdata.

Prissättning och avgifter

Ping Identity PingOne kostar $ 28 per användare varje år och MFA kostar ytterligare $ 24 per år. Volym- och paketrabatter är tillgängliga från PingIdentity. För en produkt med tydliga svagheter jämfört med Azure AD, Okta Identity Management och OneLogin, är Ping Identity PingOnes prissättning konkurrenskraftig men inte tillräckligt för att ge mycket incitament att välja den framför konkurrensen.

Sammantaget gjorde Ping Identity PingOne några arkitekturval som är grundläggande annorlunda än konkurrensen och vissa av dem kommer att uppskattas av organisationer med säkerhets- eller sekretessproblem. Tyvärr ger arkitekturen inte tillräckligt med fördelar för att övervinna vissa områden där Ping Identity PingOne inte är kort - särskilt begränsningen i säkerhetspolicyer, rapporter om barben och mest kritiskt användarleverans. Såvida inte integritet är din största oro och Ping Identity PingOne hjälper dig att rensa det hinderet, kan vi inte rekommendera det över Azure AD, Okta Identity Management eller OneLogin. Men om du är i en bransch som är särskilt känslig för säkerhet i molnsäkerhet, kan Ping Identity PingOne vara ett acceptabelt alternativ för dig.