Ping nhận xét và đánh giá pingone

Ping Nhận dạng PingOne là một trình diễn chắc chắn trong không gian Nhận dạng-Quản lý-Dịch vụ (IDaaS). Nó cung cấp nhiều tùy chọn để xác thực với môi trường Active Directory (AD) hiện tại cũng như hỗ trợ cho Google Apps hoặc các thư mục bên thứ ba khác. Trường hợp Ping Nhận dạng PingOne không vượt qua một số đối thủ cạnh tranh (bao gồm cả người chiến thắng Sự lựa chọn của Biên tập viên Microsoft Azure Active Directory và Quản lý danh tính Okta nằm trong các lĩnh vực như chính sách xác thực và báo cáo. Trong các danh mục này, Ping Nhận dạng PingOne đơn giản không cung cấp cùng cấp Tuy nhiên, với mức giá 28 đô la cho mỗi người dùng hàng năm, giá của Ping Identity PingOne cạnh tranh với phần còn lại của các giải pháp IDaas. Ngoài ra, việc tập trung vào việc không lưu trữ dữ liệu trên đám mây sẽ hấp dẫn đối với một số người.

Thiết lập và cấu hình

Thiết lập và cấu hình ban đầu của Ping Nhận dạng PingOne là một quá trình gồm hai bước. Đầu tiên, tài khoản Ping Nhận dạng Ping của bạn phải được tạo cùng với người dùng quản trị để quản lý dịch vụ. Thứ hai, Ping Nhận dạng PingOne phải được kết nối với thư mục công ty của bạn để thực hiện xác thực đối với dịch vụ nhận dạng hiện tại của bạn. Ping Identity cung cấp hai tùy chọn để kết nối môi trường AD hiện tại: ADConnect (không bị nhầm lẫn với Azure AD Connect của Microsoft) và PingFed Cả. ADConnect là một cài đặt đơn giản và yêu cầu rất ít cấu hình ở phía thư mục. Tuy nhiên, nó bị giới hạn trong một miền AD duy nhất, điều đó có nghĩa là hầu hết các tổ chức lớn hơn sẽ cần phải chọn PingFed Cả.

May mắn thay, việc cài đặt PingFed Cả cũng đơn giản, mặc dù Phiên bản Máy chủ Java là điều kiện tiên quyết. Tôi có một khiếu nại là tiện ích thiết lập PingFed Cả chỉ đơn giản nói rằng biến môi trường JAVA_HOME phải trỏ đến thời gian chạy Java hợp lệ, không đề cập đến yêu cầu đối với Phiên bản máy chủ. Mặc dù Ping Nhận dạng PingOne giải thích rõ ràng nhu cầu về yêu cầu Java, nhưng lý tưởng nhất là tôi thích tiện ích thiết lập bao gồm tất cả các phần mềm tiên quyết, hoặc tối thiểu, cung cấp một đường dẫn rõ ràng để tải xuống những gì cần thiết trước hoặc trong khi cài đặt. Tuy nhiên, vì hiện tại, bạn sẽ cần tự định vị, tải xuống và cài đặt Java trước khi chuyển sang PingFed Cả.

Khi PingFed Cả được cài đặt, nó sẽ khởi chạy bảng điều khiển Quản trị dựa trên web. Bảng điều khiển cung cấp thuật sĩ "Kết nối với Kho lưu trữ danh tính" mà bạn cần sử dụng để tạo khóa kích hoạt mà sau đó phải được nhập vào PingFed Cả. Khi khóa kích hoạt được nhập, hãy chuẩn bị một số thông tin cơ bản về môi trường AD Active của bạn, bao gồm những thứ như tên phân biệt cho tài khoản dịch vụ và vùng chứa người dùng. Khi đã xong, thư mục của bạn sẽ được kết nối với Ping Nhận dạng PingOne.

Tôi muốn thấy một số thành phần đồ họa trong quá trình kết nối thư mục hiển thị cây thư mục, cho phép bạn chọn các thùng chứa nào để đồng bộ hóa, hoặc thậm chí cho phép bạn tìm kiếm và duyệt đến các đối tượng người dùng. Ping Nhận dạng PingOne nên nhận ra rằng không phải ai cũng hiểu cái tên nổi bật là cú pháp đúng đắn của nó.

Tích hợp thư mục

Ping Nhận dạng PingOne có thể tích hợp với các miền AD bằng cách sử dụng thư mục AD Connect, PingFed Cả, Google G Suite hoặc thư mục Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) của bên thứ ba. Trong khi hầu hết các nhà cung cấp hàng đầu trong không gian IDaaS, bao gồm Quản lý danh tính Okta và OneLogin, lưu trữ người dùng và một tập hợp các thuộc tính có sẵn của họ, Ping Nhận dạng PingOne không lưu trữ các bản sao nhận dạng công ty của bạn. Thay vào đó, nó kết nối với nhà cung cấp nhận dạng của bạn theo yêu cầu bằng cách sử dụng một trong các trình kết nối được cung cấp. Do sự khác biệt về kiến ​​trúc cơ bản này, hầu hết các chuyên gia CNTT sẽ chỉ ra rằng việc triển khai PingFed Cả một cách hợp lý để ngăn chặn một điểm lỗi duy nhất do máy chủ PingFed Cả bị ngoại tuyến.

Tuy nhiên, để công bằng ở đây, thực tế là hầu hết các cuộc thi đều yêu cầu bạn phải duy trì kết nối thư mục. Sự khác biệt duy nhất là hầu hết các nhà cung cấp chỉ cần điều này để xác thực, không phải cho toàn bộ các thuộc tính người dùng. Đối với tôi, sự khác biệt về kiến ​​trúc này là quá mức cần thiết, nhưng có một sự do dự chính đáng giữa các tập đoàn về việc duy trì sự riêng tư trong khi chuyển sang đám mây. Vì vậy, có lẽ PingIdentity đã tìm thấy sự cân bằng tốt giữa việc tránh đám mây hoàn toàn và nhảy vào mà không cần suy nghĩ thứ hai.

Có một số lợi thế lớn khi sử dụng PingFed Cả cùng với Ping Nhận dạng PingOne ngoài việc kiểm soát gia tăng đối với cách nhận dạng của bạn được hiển thị. Đầu tiên là khả năng tích hợp với các loại thư mục bổ sung, bao gồm các thư mục Giao thức truy cập thư mục nhẹ (LDAP). Gắn chặt với chức năng dựa trên tiêu chuẩn là khả năng PingFed Cả kết nối với nhiều nguồn nhận dạng và tổng hợp chúng lại với nhau. Ping Nhận dạng PingOne không cung cấp khả năng này ở cấp độ đám mây, vì vậy PingFed Cả là đặt cược tốt nhất của bạn để hợp nhất danh tính từ nhiều nguồn.

PingFed Cả cung cấp nhiều tùy chọn cấu hình, bao gồm khả năng chỉ định thuộc tính nhận dạng nào được hiển thị với Ping Nhận dạng PingOne. Vì các thuộc tính người dùng như địa chỉ email và tên có thể sẽ được sử dụng cho các ứng dụng đăng nhập một lần (SSO) cho các ứng dụng Phần mềm dưới dạng dịch vụ (SaaS), các thuộc tính này có thể rất quan trọng đối với việc triển khai của bạn. Chọn thuộc tính nào để đồng bộ hóa sử dụng công cụ đồ họa nhiều hơn một chút so với cấu hình đồng bộ hóa thư mục nhưng nó được chôn khá sâu trong bảng điều khiển quản trị PingFed Cả.

Cung cấp người dùng

Mặc dù Ping Nhận dạng PingOne không lưu trữ tên người dùng hoặc thuộc tính của họ, nhưng nó vẫn duy trì một danh sách các nhóm được đồng bộ hóa từ thư mục của bạn. Các nhóm này có thể được chỉ định các ứng dụng bạn đã định cấu hình cho SSO. Người dùng có thành viên trong các nhóm này sau đó sẽ có quyền truy cập vào các ứng dụng này trong bến của họ.

Trong hầu hết các trường hợp, tài khoản người dùng trong ứng dụng SaaS sẽ cần được cung cấp thủ công. Một tập hợp con giới hạn của các ứng dụng SaaS có sẵn (bao gồm cả Concur và DropBox) hỗ trợ cung cấp người dùng tự động, mặc dù điều này phần lớn là trên các ứng dụng SaaS để hiển thị các giao diện lập trình ứng dụng (API) cần thiết. Trên thực tế, ứng dụng Microsoft Office 365 SSO được liệt kê là "SAML với cấp phép" không có điều đó. Thay vào đó, nó yêu cầu bạn cài đặt các công cụ đồng bộ hóa thư mục của Microsoft, nghĩa là các khía cạnh cung cấp của ứng dụng cụ thể đó hoàn toàn không được Ping xử lý.

Cấu hình cung cấp trong Ping Nhận dạng PingOne rất cồng kềnh so với cả Quản lý danh tính Okta và OneLogin. Hai lĩnh vực mà tôi lo ngại là cách xác định một số ứng dụng SaaS và cách quản trị viên kích hoạt cung cấp. Việc định cấu hình cung cấp với Google G Suite yêu cầu bạn chọn ứng dụng Google Gmail, điều này khá khó hiểu. Việc cung cấp được kích hoạt thông qua trình hướng dẫn cấu hình ứng dụng nhưng yêu cầu bạn kiểm tra một hộp ở cuối một trong các màn hình để xem các tùy chọn cho việc cung cấp người dùng. Cung cấp là một trong một số tính năng bắt buộc phải có cho các bộ IDaaS và hỗ trợ cung cấp hạn chế mà Ping Nhận dạng PingOne cung cấp chỉ cách nửa bước so với việc không hỗ trợ nó.

Các loại xác thực

Ping Nhận dạng PingOne cung cấp xác thực mạnh mẽ cho các ứng dụng hỗ trợ tiêu chuẩn SAML cũng như khả năng đăng nhập vào các ứng dụng SaaS khác bằng cách sử dụng thông tin đăng nhập được lưu trữ (giống như kho mật khẩu). Danh mục ứng dụng nêu rõ loại xác thực được hỗ trợ bởi mỗi ứng dụng. Trên thực tế, một số ứng dụng hỗ trợ cả hai loại xác thực (trong trường hợp đó SAML là phương pháp được đề xuất). Kết nối với ứng dụng hỗ trợ xác thực SAML thường phải được định cấu hình ở cả hai phía của kết nối, nghĩa là ứng dụng SaaS phải bật hỗ trợ SAML và phải thực hiện một số cấu hình cơ bản. Danh tính ứng dụng Ping Danh tính của PingOne bao gồm thông tin thiết lập cho từng ứng dụng SAML, điều này làm cho cấu hình của liên kết này khá đơn giản.

Ping Nhận dạng PingOne hỗ trợ tăng cường độ xác thực dưới dạng MFA. MFA có thể được áp dụng cho các ứng dụng và nhóm người dùng cụ thể (hoặc dải địa chỉ IP) bằng cách sử dụng chính sách xác thực. Tuy nhiên, Ping Nhận dạng PingOne chỉ cung cấp một chính sách xác thực duy nhất và thiếu khả năng lọc theo cả địa chỉ nhóm và địa chỉ IP. Điều này làm cho Ping Nhận dạng PingOne tụt hậu so với một số đối thủ như Quản lý danh tính Okta hoặc Azure AD, cả hai đều ít nhất cho phép bạn định cấu hình chính sách xác thực trên cơ sở mỗi ứng dụng.

Ping Nhận dạng Việc triển khai MFA của PingOne sử dụng PingID, một ứng dụng điện thoại thông minh thực hiện bước xác thực bổ sung thông qua quy trình xác nhận hoặc mật khẩu một lần. Người dùng cũng có thể nhận mật khẩu một lần thông qua SMS hoặc tin nhắn thoại hoặc với thiết bị bảo mật YubiKey USB. Mặc dù điều này có thể được sử dụng ở mức rất cơ bản, Ping Nhận dạng PingOne thực sự cần phải đẩy mạnh trò chơi của họ nếu họ muốn được thực hiện nghiêm túc từ quan điểm MFA. Ngay cả LastPass Enterprise cũng đánh bại họ về khả năng MFA.

Dấu hiệu duy nhất trên

SSO là một lĩnh vực khác trong đó các lựa chọn kiến ​​trúc của PingFed Cả có tác động. Trong quá trình xác thực SSO, người dùng đăng nhập vào bến Ping Ping nhận dạng Ping của họ, điều này chuyển hướng họ đến dịch vụ PingFed Cả được lưu trữ trên mạng công ty của họ. Đối với người dùng trên mạng công ty nội bộ, đây có thể không phải là vấn đề nhưng sẽ yêu cầu một số cấu hình tường lửa bổ sung (cổng 443) cho người dùng ở bên ngoài nhìn vào.

Bảng điều khiển SSO hướng tới người dùng, bến tàu Ping Nhận dạng PingOne, đã được cải thiện phần nào kể từ lần truy cập trước của chúng tôi. Danh sách các ứng dụng SaaS đơn giản đã được thay thế bằng một lưới các biểu tượng cũng có thể được điều hướng bằng menu bay ra ở phía bên trái. Quản trị viên có thể kích hoạt một phần cá nhân của bến tàu nơi người dùng có thể thêm tài khoản SaaS của riêng họ. Ping Nhận dạng Tiện ích mở rộng trình duyệt PingOne nâng cao trải nghiệm về dock, cung cấp quyền truy cập SSO vào các ứng dụng mà không phải quay lại dock.

Bảng điều khiển Ping Nhận dạng PingOne có một số báo cáo đóng hộp hiển thị số liệu thống kê đăng nhập bao gồm bản đồ toàn cầu hiển thị từ nơi các xác thực này bắt nguồn. Chức năng báo cáo bao gồm những điều cơ bản cần thiết để bắt đầu thu thập thông tin về xác thực người dùng đang được xử lý thông qua Ping Nhận dạng PingOne, nhưng nó không cho phép bất kỳ dữ liệu phân tích hoặc xử lý sự cố sâu nào.

Giá cả và lệ phí

Ping Nhận dạng PingOne có giá 28 đô la mỗi người dùng mỗi năm và MFA tốn thêm 24 đô la hàng năm. Giảm giá khối lượng và gói có sẵn từ PingIdentity. Đối với một sản phẩm có điểm yếu rõ ràng so với Azure AD, Quản lý danh tính Okta và OneLogin, giá của Ping Nhận dạng PingOne cạnh tranh nhưng không đủ để cung cấp nhiều động lực để chọn sản phẩm đó so với đối thủ.

Nhìn chung, Ping Nhận dạng PingOne đã đưa ra một số lựa chọn kiến ​​trúc khác biệt cơ bản so với đối thủ và một số trong số đó sẽ được các tổ chức có mối quan tâm về bảo mật hoặc quyền riêng tư đánh giá cao. Thật không may, kiến ​​trúc không cung cấp đủ lợi ích để vượt qua một số lĩnh vực mà Ping Nhận dạng PingOne bị thiếu hụt, đặc biệt là sự hạn chế trong chính sách bảo mật, báo cáo về barebones và hầu hết việc cung cấp người dùng quan trọng. Trừ khi quyền riêng tư là mối quan tâm lớn nhất của bạn và Ping Nhận dạng PingOne giúp bạn xóa bỏ rào cản đó, chúng tôi không thể đề xuất điều đó qua Azure AD, Quản lý danh tính Okta hoặc OneLogin. Tuy nhiên, nếu bạn ở trong một ngành đặc biệt nhạy cảm với an toàn dữ liệu đám mây, Ping Nhận dạng PingOne có thể là một lựa chọn chấp nhận được cho bạn.