Revisão e avaliação do Onelogin

O OneLogin oferece um serviço de gerenciamento de identidades rico em recursos que não prejudica o banco. O OneLogin oferece quatro níveis de preços entre sua versão gratuita e seu nível ilimitado de US $ 8 por usuário por mês. O serviço verifica todas as principais caixas de recursos de gerenciamento de identidades, incluindo várias políticas de segurança, aplicativos móveis para o portal do usuário e autenticação multifatorial (MFA), além de todos os principais mecanismos de autenticação. O OneLogin ainda oferece algumas surpresas que você não encontrará na competição. Mas, embora esteja no topo da nossa lista, os recursos do OneLogin não coincidem com os vencedores do Editors 'Choice, Okta Identity Management ou Microsoft Azure Active Directory (AD), e a dependência do OneLogin nos mapeamentos será um pouco confusa para alguns. Ainda assim, o OneLogin continua sendo um dos principais candidatos e pode atender muito bem os clientes de pequenas e médias empresas (SMB).

Instalação e configuração

Começar com o OneLogin e conectá-lo ao seu serviço de diretório existente é algo bastante padrão. Ao fazer logon no console administrativo do OneLogin pela primeira vez, você é recebido com um assistente de configuração que o guia pelas etapas iniciais necessárias para concluir o processo de configuração, incluindo a criação de seu subdomínio, a importação de usuários e a adição de aplicativos.

O OneLogin suporta vários tipos de diretório, incluindo Microsoft Active Directory (AD), Google G Suite, Workday e LDAP (Lightweight Directory Access Protocol) via SSL ou conector do OneLogin. A conexão do AD ao OneLogin envolve o download e a instalação do conector AD e a conclusão de algumas etapas simples de configuração (seleção de uma conta de serviço, configuração de um número de porta e seleção do domínio a ser sincronizado). Como o agente Ping Identity PingOne PingFederate, o OneLogin optou por usar um token para associar o conector AD ao OneLogin, em vez das credenciais da sua conta. Depois que a associação é feita, você pode configurar o conector do AD (em particular, selecionando quais unidades ou grupos organizacionais sincronizar). Para fins de balanceamento de carga e tolerância a falhas, vários conectores AD podem ser implantados para que você possa manter a disponibilidade em caso de falha.

Como vários de seus concorrentes, o OneLogin está adotando uma abordagem holística para gerenciar identidades corporativas, integrando-se a outras fontes de identidade, como sistemas de gerenciamento de recursos humanos (RH), incluindo Workday, UltiPro e Namely. Usando o conjunto de ferramentas do OneLogin, você não apenas cria e gerencia identidades no OneLogin e em qualquer aplicativo SaaS (software como serviço) associado, mas também pode inserir essas identidades no Active Directory, limitando a entrada dupla e melhorando a precisão.

Integração de diretórios e provisionamento de usuários

Outro aspecto importante da integração de diretórios é escolher quais atributos você importará do AD e configurá-los. O OneLogin permite criar campos personalizados e definir qual atributo do AD preencherá esses campos. Dependendo das necessidades da sua empresa, esses campos podem ser úteis na configuração de mapeamentos de aplicativos ou diretivas de segurança. Por exemplo, se sua organização estendeu seu esquema do AD para incluir atributos personalizados contendo informações sobre a estrutura da sua empresa, o OneLogin facilita o aproveitamento dessas informações.

A guia Avançado da conexão AD no console do administrador do OneLogin permite que você configure se novos usuários são criados automaticamente como usuários do OneLogin ou se são simplesmente organizados, exigindo um toque pessoal de um administrador antes da criação do usuário. As configurações da guia Avançado também permitem definir como os usuários desabilitados ou excluídos no AD são tratados pelo OneLogin.

Uma diferença importante entre o OneLogin e a maioria da competição é como ele lida com grupos e atribuições de aplicativos. Para iniciantes, o OneLogin não sincroniza grupos de segurança do AD; em vez disso, os grupos são gerenciados independentemente no OneLogin. Os grupos no OneLogin são usados ​​principalmente para atribuir políticas de segurança aos usuários que eles contêm, enquanto as funções são usadas para lidar com a atribuição de aplicativos. Os usuários podem ser designados a grupos do OneLogin manualmente ou usando o Mappings, uma ferramenta de automação que usa condições e ações para gerenciar usuários (designando-os a grupos ou funções e até alterando seu status ou alterando os atributos rapidamente). Os mapeamentos são um recurso essencial no OneLogin, adicionando flexibilidade e complexidade adicional à maneira como as políticas de segurança e as atribuições de aplicativos são tratadas. Embora eu goste do conceito e da flexibilidade que ele oferece, acho que certamente confunde as coisas. Eu adoraria ter visto uma combinação de sincronização de grupo e a capacidade de atribuir dinamicamente políticas ou aplicativos usando algo como mapeamentos.

Depois de configurar alguns mapeamentos para atribuir usuários às funções, você pode iniciar o processo de configuração do acesso de logon único (SSO) aos aplicativos SaaS e atribuir esses aplicativos às funções. O OneLogin oferece um catálogo de aplicativos semelhante a outras ferramentas IDaaS, e o catálogo identifica quais métodos de autenticação estão disponíveis para cada aplicativo. Um recurso interessante que o OneLogin oferece para aplicativos SaaS compatíveis é uma configuração parcialmente automática de ambos os lados da conexão SAML (Security Assertion Markup Language). O Google G Suite, por exemplo, oferece suporte à configuração automática após uma troca de token OAuth. O OneLogin também suporta provisionamento de usuário SaaS, mas, como em qualquer solução IDaaS, isso depende do aplicativo SaaS oferecer uma API (interface de programação de aplicativo) para executar funções de provisionamento. Muitos dos principais aplicativos SaaS oferecem suporte ao provisionamento de usuários, como Google G Suite, Microsoft Office 365, Dropbox e potencialmente muitos outros, tornando o provisionamento automatizado um recurso obrigatório em uma solução IDaaS.

Um recurso avançado que o OneLogin oferece envolve aplicativos SaaS que não oferecem suporte a SAML. Usando um conector personalizado, o OneLogin permite definir os URLs e os elementos do formulário envolvidos no processo de login de um aplicativo que não está prontamente disponível no catálogo do OneLogin. Os conectores personalizados permitem selecionar o formulário e os elementos do formulário usando tags HTML, como ação ou nome do formulário e ID do botão, tipo, nome ou valor. Os administradores também podem adicionar conectores personalizados usando a extensão do navegador OneLogin, que simplificará o processo de captura dos designadores de elementos do formulário e a ativação do conector personalizado. O que isso significa é que o OneLogin oferece um método pronto para conectar-se a aplicativos personalizados pouco conhecidos ou até internos imediatamente.

Outro recurso que diferencia o OneLogin é a capacidade de suportar várias páginas de auto-registro. Os usuários que solicitam contas nessas páginas são armazenados apenas no OneLogin por padrão. Essas páginas de registro podem ser usadas para registrar usuários que não fazem parte do seu ambiente do AD, mas precisam de algum nível de acesso a determinados aplicativos de negócios. Os casos de uso desses recursos incluem estudantes, estagiários ou voluntários. Durante a configuração de uma página de auto-registro, você pode definir se uma ação administrativa deve ou não ser tomada antes que a conta seja totalmente provisionada, bem como uma função e um grupo padrão para novos usuários.

Aplicativos móveis e logon único

Os administradores podem personalizar bastante o portal do usuário do OneLogin, incluindo alterações de cores, gráficos e conteúdo personalizado da Ajuda. Os usuários também podem personalizar sua experiência no portal, determinando como os aplicativos são iniciados (em uma nova janela ou na mesma) e se uma visualização com guias deve ser usada. Os usuários também podem armazenar notas seguras em seu portal do usuário e associar um dispositivo de autenticação para uso com a autenticação multifatorial (MFA). O OneLogin possui dois aplicativos móveis: o OneLogin Launcher, que é uma versão móvel do portal do usuário, e o OneLogin OTP, uma opção multifatorial que usa senhas únicas. Você pode emparelhar o OneLogin OTP com sua conta OneLogin inserindo um ID de credencial que identifique o dispositivo individual e senhas únicas consecutivas geradas pelo aplicativo.

O OneLogin suporta dois tipos de políticas de segurança: políticas de usuário e aplicativo. As políticas de aplicativo podem ser usadas para exigir a verificação de senha descartável (OTP) ou impor restrições de endereço IP para aplicativos individuais, permitindo que você aplique políticas de maneira seletiva com base no local da rede do usuário (como dentro ou fora da rede da empresa). As políticas de segurança aplicadas aos usuários podem ser usadas para reforçar a complexidade da senha e atualizar os recursos e as informações da sessão (incluindo o comportamento do bloqueio e o tempo limite da sessão). As políticas de segurança também podem ser usadas para impor requisitos multifatoriais e restrições de endereço IP.

Você pode aproveitar as políticas do usuário para habilitar o login social, o que permite que os usuários se autentiquem no seu ambiente OneLogin usando as credenciais existentes que possam ter no Google, Facebook, LinkedIn ou Twitter. Você também pode usar essas credenciais para fornecer aos parceiros de negócios ou clientes acesso às suas ferramentas SaaS ou aplicativos corporativos internos.

A autenticação adaptativa do OneLogin é uma solução baseada em aprendizado de máquina que se compara aos recursos oferecidos pelo Microsoft Azure AD e Centrify. Ele foi desenvolvido para aprimorar a segurança, atribuindo valores de risco a aplicativos ou recursos específicos e recomendando etapas adicionais, como o MFA, se a pontuação de risco do recurso indicar que é necessária segurança reforçada.

Ótimos relatórios

O mecanismo de relatórios oferecido pelo OneLogin é outro destaque do serviço. Vários relatórios predefinidos estão disponíveis e você pode clonar qualquer relatório e personalizá-lo de acordo com suas necessidades. Você também pode criar novos relatórios do zero, adicionando os campos e filtros desejados. Os relatórios podem até ser configurados para serem agrupados em uma coluna. Infelizmente, não parece haver nenhuma maneira de agendar relatórios, mas você pode exportar qualquer um dos conjuntos de resultados para um arquivo CSV para análise posterior. A capacidade de clonar e personalizar relatórios é uma raridade no espaço IDaaS, algo que nem sequer é oferecido por outras soluções importantes, como o Okta Identity Management ou o Azure AD.

O OneLogin suporta soluções de gerenciamento de eventos de segurança (SEIM), como Splunk ou Sumo Logic, por meio de emissoras de eventos. Eles são configurados para enviar cargas úteis JSON (JavaScript Object Notation) para URLs que, por sua vez, são configuradas para consumir os dados. Além disso, você pode configurar as notificações por email usando um mecanismo de ação e condição, um processo que o OneLogin facilitou a instalação.

A estrutura de preços do OneLogin está no mesmo estádio da maioria do mercado, mas o OneLogin oferece um nível gratuito que limita os usuários a três aplicativos corporativos, cinco aplicativos pessoais e não oferece MFA. A camada inicial de US $ 2 por mês adiciona MFA e pode lidar com SSO para um número ilimitado de aplicativos SaaS. A camada inicial também oferece a capacidade de fornecer a funcionalidade de redefinição de senha para as senhas do OneLogin e do diretório. As empresas que buscam mais segurança precisarão desembolsar US $ 4 por usuário por mês para o nível de serviço Enterprise, que oferece políticas de segurança e também oferece suporte à sincronização de vários diretórios. A camada ilimitada de nível superior de US $ 8 por usuário por mês é necessária para o provisionamento automático de usuários em aplicativos SaaS, além de campos personalizáveis.

Além dos níveis básicos de preços, o OneLogin oferece vários complementos. O LDAP virtual (US $ 2 por usuário por mês) permite que o diretório do OneLogin atue como um diretório LDAP padrão. Isso o torna acessível a uma infinidade de aplicativos e serviços que decidiram alavancar o padrão LDAP de longa data. Os recursos de autenticação adaptável que oferecem aprendizado de máquina e controle baseado em risco sobre autenticação também são um custo extra, com um custo adicional de US $ 3 por usuário por mês.

É importante mencionar que o OneLogin sofreu recentemente um incidente de segurança significativo. Embora a segurança seja de extrema importância para uma ferramenta usada para aumentar sua segurança corporativa, é difícil julgar o impacto de uma violação desse tipo. Muitas empresas provavelmente evitarão o OneLogin por causa de seu histórico recente, enquanto outras se concentrarão mais na reação da OneLogin ao incidente, e não no evento em si. Costumo cair nessa última categoria pessoalmente, e o OneLogin foi comunicativo com sua base de usuários durante todo o processo e está trabalhando com seu provedor de serviços em nuvem e até com alguns de seus clientes com a experiência aplicável para reforçar seus controles e políticas de segurança. impedir que esta situação ocorra no futuro.

O uso de mapeamentos do OneLogin não deve ser subestimado. Se um ponto de venda de SaaS e IDaaS é eficiência, os mapeamentos apenas levam isso ao próximo nível, fornecendo recursos de automação não disponíveis na competição. Dito isto, estou um pouco desconcertado por sua dependência de mapeamentos e pelo fato de o OneLogin não sincronizar grupos de segurança, embora isso possa realmente ser um benefício para grandes organizações com milhares de grupos. No entanto, o OneLogin se adapta bem a outras soluções IDaaS em áreas-chave como provisionamento de aplicativos SaaS, integração de diretórios e seu portal SSO. Mas, para mim, a omissão de grupos de segurança deixa o OneLogin a menos do Okta Identity Management para o principal lugar do IDaaS neste resumo.