Đánh giá và đánh giá Onelogin

OneLogin cung cấp dịch vụ quản lý danh tính giàu tính năng sẽ không phá vỡ ngân hàng. OneLogin cung cấp bốn mức giá giữa phiên bản miễn phí của họ và tầng không giới hạn $ 8 cho mỗi người dùng mỗi tháng. Dịch vụ kiểm tra tất cả các hộp tính năng quản lý danh tính chính, bao gồm nhiều chính sách bảo mật, ứng dụng di động cho cổng thông tin người dùng và xác thực đa yếu tố (MFA), cũng như tất cả các cơ chế xác thực chính. OneLogin thậm chí còn cung cấp một vài điều ngạc nhiên mà bạn sẽ không tìm thấy trong cuộc thi. Nhưng, mặc dù đứng đầu danh sách của chúng tôi, các tính năng của OneLogin không phù hợp với người chiến thắng Sự lựa chọn của ban biên tập Okta Quản lý danh tính hoặc Microsoft Azure Active Directory (AD) và sự phụ thuộc của OneLogin vào ánh xạ sẽ gây khó hiểu cho một số người. Tuy nhiên, OneLogin vẫn là một ứng cử viên hàng đầu và có thể phục vụ hầu hết các khách hàng doanh nghiệp vừa và nhỏ (SMB).

Thiết lập và cấu hình

Bắt đầu với OneLogin và kết nối với dịch vụ thư mục hiện tại của bạn là công cụ khá chuẩn. Khi đăng nhập vào bảng điều khiển quản trị OneLogin lần đầu tiên, bạn được chào đón với trình hướng dẫn thiết lập hướng dẫn bạn qua các bước ban đầu cần thiết để hoàn tất quy trình cấu hình, bao gồm tạo tên miền phụ, nhập người dùng và thêm ứng dụng.

OneLogin hỗ trợ một số loại thư mục, bao gồm Microsoft Active Directory (AD), Google G Suite, Ngày làm việc và Giao thức truy cập thư mục nhẹ (LDAP) thông qua trình kết nối SSL hoặc OneLogin. Kết nối AD với OneLogin bao gồm tải xuống và cài đặt trình kết nối AD của họ và hoàn thành một vài bước cấu hình đơn giản (chọn tài khoản dịch vụ, định cấu hình số cổng và chọn tên miền để đồng bộ hóa). Giống như tác nhân Ping Nhận dạng Ping Ping Ping Ping, OneLogin đã chọn sử dụng mã thông báo để liên kết trình kết nối AD với OneLogin thay vì thông tin đăng nhập tài khoản của bạn. Khi liên kết được thực hiện, bạn có thể định cấu hình trình kết nối AD (cụ thể là chọn đơn vị tổ chức hoặc nhóm nào để đồng bộ hóa). Đối với mục đích cân bằng tải và khả năng chịu lỗi, nhiều đầu nối AD có thể được triển khai để bạn có thể duy trì tính khả dụng trong trường hợp một lỗi.

Giống như một số đối thủ cạnh tranh, OneLogin đang hướng tới một cách tiếp cận toàn diện để quản lý danh tính doanh nghiệp bằng cách tích hợp với các nguồn nhận dạng khác như hệ thống quản lý nhân sự (HR), bao gồm Workday, UltiPro và Namely. Sử dụng bộ công cụ của OneLogin, bạn không chỉ tạo và quản lý danh tính trong OneLogin và bất kỳ phần mềm liên quan nào dưới dạng ứng dụng dịch vụ (SaaS), mà bạn có thể đẩy các danh tính đó xuống Active Directory, hạn chế nhập kép và cải thiện độ chính xác.

Tích hợp thư mục và cung cấp người dùng

Một khía cạnh quan trọng khác của tích hợp thư mục là chọn thuộc tính nào bạn sẽ nhập từ AD cũng như định cấu hình chúng. OneLogin cho phép bạn tạo các trường tùy chỉnh và xác định thuộc tính AD nào sẽ điền vào các trường đó. Tùy thuộc vào nhu cầu kinh doanh của bạn, các trường này có thể hữu ích trong việc định cấu hình ánh xạ chính sách ứng dụng hoặc chính sách bảo mật. Ví dụ: nếu tổ chức của bạn đã mở rộng lược đồ AD để bao gồm các thuộc tính tùy chỉnh chứa thông tin về cấu trúc công ty của bạn, OneLogin giúp bạn dễ dàng tận dụng thông tin đó.

Tab Nâng cao của kết nối AD trong bảng điều khiển quản trị viên OneLogin cho phép bạn định cấu hình xem người dùng mới có được tạo tự động với tư cách là người dùng OneLogin hay không, họ chỉ được dàn dựng, yêu cầu một liên lạc cá nhân từ quản trị viên trước khi người dùng được tạo. Cài đặt tab Nâng cao cũng cho phép bạn định cấu hình cách người dùng bị vô hiệu hóa hoặc bị xóa trong AD được OneLogin xử lý.

Một điểm khác biệt chính giữa OneLogin và phần lớn đối thủ là cách nó xử lý các nhóm và bài tập ứng dụng. Để bắt đầu, OneLogin không đồng bộ hóa các nhóm bảo mật từ AD; thay vào đó, các nhóm được quản lý độc lập trong OneLogin. Các nhóm trong OneLogin chủ yếu được sử dụng để gán các chính sách bảo mật cho người dùng mà họ chứa, trong khi các vai trò được sử dụng để xử lý việc gán ứng dụng. Người dùng có thể được chỉ định cho các nhóm OneLogin bằng tay hoặc bằng cách sử dụng Mappings, một công cụ tự động hóa sử dụng các điều kiện và hành động để quản lý người dùng (gán chúng cho các nhóm hoặc vai trò và thậm chí thay đổi trạng thái hoặc thay đổi thuộc tính khi đang di chuyển). Ánh xạ là một tính năng chính trong OneLogin, thêm cả tính linh hoạt và độ phức tạp bổ sung vào cách xử lý các chính sách bảo mật và phân công ứng dụng. Mặc dù tôi thích khái niệm và tính linh hoạt mà nó cung cấp, tôi nghĩ rằng nó chắc chắn gây nhầm lẫn mọi thứ. Tôi rất thích nhìn thấy sự kết hợp giữa đồng bộ hóa nhóm và khả năng tự động gán các chính sách hoặc ứng dụng bằng cách sử dụng thứ gì đó như ánh xạ.

Khi bạn đã định cấu hình một số ánh xạ để gán người dùng cho các vai trò, bạn có thể bắt đầu quá trình định cấu hình quyền truy cập đăng nhập một lần (SSO) cho các ứng dụng SaaS và gán các ứng dụng đó cho các vai trò. OneLogin cung cấp một danh mục ứng dụng tương tự như các công cụ IDaaS khác và danh mục xác định phương thức xác thực nào có sẵn cho mỗi ứng dụng. Một tính năng hay mà OneLogin cung cấp cho các ứng dụng SaaS tương thích là cấu hình tự động một phần của cả hai mặt của kết nối Ngôn ngữ đánh dấu xác nhận bảo mật (SAML). Ví dụ, Google G Suite hỗ trợ cấu hình tự động sau khi trao đổi mã thông báo OAuth. OneLogin cũng hỗ trợ cung cấp người dùng SaaS, nhưng với bất kỳ giải pháp IDaaS nào, điều này phụ thuộc vào ứng dụng SaaS cung cấp giao diện lập trình ứng dụng (API) để thực hiện các chức năng cung cấp. Nhiều ứng dụng SaaS chính hỗ trợ cung cấp người dùng như Google G Suite, Microsoft Office 365, Dropbox và nhiều ứng dụng khác, khiến việc cung cấp tự động trở thành một tính năng bắt buộc phải có trong giải pháp IDaaS.

Một tính năng nâng cao mà OneLogin cung cấp liên quan đến các ứng dụng SaaS không cung cấp hỗ trợ SAML. Sử dụng trình kết nối tùy chỉnh, OneLogin cho phép bạn xác định URL và các yếu tố hình thức liên quan đến quá trình đăng nhập cho một ứng dụng không có sẵn trong danh mục OneLogin. Trình kết nối tùy chỉnh cho phép bạn chọn các thành phần biểu mẫu và biểu mẫu bằng cách sử dụng các thẻ HTML, như hành động biểu mẫu hoặc tên và ID nút, loại, tên hoặc giá trị. Quản trị viên cũng có thể thêm trình kết nối tùy chỉnh bằng tiện ích mở rộng trình duyệt OneLogin, điều này sẽ hợp lý hóa quy trình bắt giữ người chỉ định thành phần biểu mẫu và cho phép trình kết nối tùy chỉnh. Điều này có nghĩa là OneLogin cung cấp một phương thức được tạo sẵn để kết nối với các ứng dụng tùy chỉnh ít được biết đến hoặc thậm chí trong nhà ngay lập tức.

Một tính năng khác khiến OneLogin khác biệt là khả năng hỗ trợ nhiều trang tự đăng ký. Người dùng yêu cầu tài khoản thông qua các trang này chỉ được lưu trữ trong OneLogin theo mặc định. Các trang đăng ký này có thể được sử dụng để đăng ký người dùng không thuộc môi trường AD của bạn nhưng cần một số cấp độ truy cập vào một số ứng dụng kinh doanh nhất định. Các trường hợp sử dụng cho các tính năng này bao gồm sinh viên, thực tập hoặc tình nguyện viên. Trong quá trình cấu hình trang tự đăng ký, bạn có thể xác định liệu có nên thực hiện hành động quản trị hay không trước khi tài khoản được cung cấp đầy đủ, cũng như vai trò và nhóm mặc định cho người dùng mới.

Đăng nhập một lần và các ứng dụng di động

Quản trị viên có thể thực hiện khá nhiều tùy chỉnh trên cổng thông tin người dùng OneLogin, bao gồm thay đổi màu sắc, đồ họa và nội dung Trợ giúp tùy chỉnh. Người dùng cũng có thể tùy chỉnh trải nghiệm cổng thông tin của mình bằng cách xác định cách các ứng dụng được khởi chạy (trong một cửa sổ mới hoặc cùng một cửa sổ) và nếu sử dụng chế độ xem theo tab. Người dùng cũng có thể lưu trữ các ghi chú an toàn trong cổng thông tin người dùng của mình và liên kết một thiết bị xác thực để sử dụng với xác thực đa yếu tố (MFA). OneLogin có hai ứng dụng di động: OneLogin Launcher, đây là phiên bản di động của cổng thông tin người dùng và OneLogin OTP, là một tùy chọn đa yếu tố sử dụng mật khẩu một lần. Bạn có thể ghép nối OneLogin OTP với tài khoản OneLogin của mình bằng cách nhập ID thông tin xác thực thiết bị cá nhân và mật khẩu một lần liên tiếp được tạo bởi ứng dụng.

OneLogin hỗ trợ hai loại chính sách bảo mật: chính sách người dùng và ứng dụng. Chính sách ứng dụng có thể được sử dụng để yêu cầu xác minh mật khẩu một lần (OTP) hoặc thực thi các hạn chế địa chỉ IP cho các ứng dụng riêng lẻ, cho phép bạn áp dụng có chọn lọc các chính sách dựa trên vị trí mạng của người dùng (chẳng hạn như trên hoặc ngoài mạng công ty). Chính sách bảo mật được áp dụng cho người dùng có thể được sử dụng để thực thi độ phức tạp của mật khẩu và cập nhật khả năng và thông tin phiên (bao gồm cả hành vi khóa và thời gian chờ phiên). Chính sách bảo mật cũng có thể được sử dụng để thực thi các yêu cầu đa yếu tố và hạn chế địa chỉ IP.

Bạn có thể tận dụng các chính sách của người dùng để cho phép đăng nhập xã hội, cho phép người dùng xác thực với môi trường OneLogin của bạn bằng bất kỳ thông tin xác thực nào họ có thể có trên Google, Facebook, LinkedIn hoặc Twitter. Bạn cũng có thể sử dụng các thông tin đăng nhập này để cung cấp cho các đối tác kinh doanh hoặc khách hàng quyền truy cập vào các công cụ SaaS hoặc các ứng dụng nội bộ của công ty.

Xác thực thích ứng của OneLogin là một giải pháp dựa trên máy học ngang bằng với các khả năng do Microsoft Azure AD và Centrify cung cấp. Nó được thiết kế để tăng cường bảo mật bằng cách gán giá trị rủi ro cho các ứng dụng hoặc tài nguyên cụ thể và sau đó đề xuất các bước bổ sung, như MFA, nếu điểm rủi ro của tài nguyên cho thấy bảo mật nâng cao là bắt buộc.

Báo cáo tuyệt vời

Công cụ báo cáo được cung cấp bởi OneLogin là một điểm nổi bật khác của dịch vụ. Nhiều báo cáo đóng hộp có sẵn và bạn có khả năng sao chép bất kỳ báo cáo nào và tùy chỉnh nó theo nhu cầu của bạn. Bạn cũng có thể tạo báo cáo mới từ đầu, thêm các trường và bộ lọc bạn muốn. Các báo cáo thậm chí có thể được cấu hình để được nhóm trong một cột. Đáng buồn thay, dường như không có cách nào để lập lịch báo cáo nhưng bạn có thể xuất bất kỳ tập kết quả nào sang tệp CSV để phân tích thêm. Khả năng sao chép và tùy chỉnh các báo cáo là rất hiếm trong không gian IDaaS, một thứ thậm chí không được cung cấp bởi các giải pháp hàng đầu khác như Quản lý danh tính Okta hoặc Azure AD.

OneLogin hỗ trợ các giải pháp quản lý sự kiện bảo mật (SEIM) như Splunk hoặc Sumo Logic thông qua các đài truyền hình sự kiện. Chúng được định cấu hình để gửi tải trọng Ký hiệu đối tượng JavaScript (JSON) đến các URL, lần lượt, được định cấu hình để tiêu thụ dữ liệu. Ngoài ra, bạn có thể định cấu hình thông báo email bằng công cụ hành động có điều kiện, một quy trình mà OneLogin đã thực hiện rất dễ dàng để thiết lập.

Cấu trúc giá của OneLogin nằm trong cùng một sân bóng với phần lớn thị trường, nhưng OneLogin cung cấp một cấp miễn phí giới hạn người dùng trong ba ứng dụng công ty, năm ứng dụng cá nhân và không cung cấp MFA. Cấp khởi đầu $ 2 mỗi tháng thêm MFA và có thể xử lý SSO cho số lượng ứng dụng SaaS không giới hạn. Tầng khởi động cũng cung cấp khả năng cung cấp chức năng đặt lại mật khẩu cho cả mật khẩu thư mục và mật khẩu. Các công ty đang tìm kiếm bảo mật nhiều hơn sẽ cần tăng 4 đô la mỗi người dùng mỗi tháng cho cấp độ dịch vụ Doanh nghiệp, cung cấp các chính sách bảo mật và cũng sẽ hỗ trợ đồng bộ hóa từ nhiều thư mục. Cấp không giới hạn cấp cao nhất ở mức 8 đô la mỗi người dùng mỗi tháng là bắt buộc để cung cấp người dùng tự động trong các ứng dụng SaaS cũng như các trường có thể tùy chỉnh.

Ngoài các mức giá cơ bản, OneLogin còn cung cấp một số tiện ích bổ sung. LDAP ảo ($ 2 mỗi người dùng mỗi tháng) cho phép thư mục OneLogin của bạn hoạt động như một thư mục LDAP tiêu chuẩn. Điều đó làm cho nó có thể truy cập được vào vô số ứng dụng và dịch vụ đã quyết định tận dụng tiêu chuẩn LDAP lâu đời. Các tính năng xác thực thích ứng cung cấp khả năng học máy và kiểm soát dựa trên rủi ro đối với xác thực cũng là một chi phí bổ sung với mức giá thêm 3 đô la cho mỗi người dùng mỗi tháng.

Nó nói rằng OneLogin gần đây đã gặp phải một sự cố bảo mật quan trọng. Mặc dù bảo mật là vô cùng quan trọng đối với một công cụ được sử dụng để tăng cường bảo mật công ty của bạn, thật khó để đánh giá tác động của việc vi phạm loại này. Nhiều tập đoàn có thể sẽ tránh OneLogin vì hồ sơ theo dõi gần đây của họ, trong khi những công ty khác sẽ tập trung nhiều hơn vào phản ứng của OneLogin về vụ việc, thay vì chính sự kiện này. Tôi có xu hướng rơi vào loại thứ hai và OneLogin đã liên lạc với cơ sở người dùng của họ trong suốt quá trình và đang làm việc với nhà cung cấp dịch vụ đám mây của họ và thậm chí một số khách hàng của họ có chuyên môn phù hợp để thắt chặt chính sách và kiểm soát bảo mật của họ ngăn chặn tình trạng này xảy ra trong tương lai.

Không nên đánh giá thấp việc sử dụng bản đồ của OneLogin. Nếu một điểm bán SaaS và IDaaS là ​​hiệu quả, thì ánh xạ chỉ cần đưa nó lên cấp độ tiếp theo bằng cách cung cấp các khả năng tự động hóa không có sẵn trong cạnh tranh. Điều đó đang được nói, tôi hơi thất vọng vì sự phụ thuộc vào ánh xạ và thực tế là OneLogin không đồng bộ hóa các nhóm bảo mật, mặc dù điều đó thực sự có thể là một lợi ích cho các tổ chức lớn với hàng ngàn nhóm. Tuy nhiên, OneLogin đo lường tốt với các giải pháp IDaaS khác trong các lĩnh vực chính như cung cấp ứng dụng SaaS, tích hợp thư mục và cổng thông tin SSO của họ. Nhưng, đối với tôi, sự thiếu sót của các nhóm bảo mật khiến OneLogin chỉ ngại Quản lý danh tính Okta cho vị trí IDaaS hàng đầu trong cuộc họp này.