Revisão e avaliação de ping identity pingone

Identidade do Ping O PingOne é um sólido desempenho no espaço de Gerenciamento de Identidade como Serviço (IDaaS). Ele oferece várias opções para autenticação em um ambiente existente do Active Directory (AD), além de suporte para o Google Apps ou outros diretórios de terceiros. Onde Ping Identity O PingOne fica aquém de alguns dos concorrentes (incluindo os vencedores do Editors 'Choice, o Microsoft Azure Active Directory e o Okta Identity Management, em áreas como políticas e relatórios de autenticação.Nessas categorias, o Ping Identity PingOne simplesmente não oferece o mesmo nível No entanto, a um custo de US $ 28 por usuário anualmente, os preços do Ping Identity PingOne são competitivos com o restante do campo de soluções da IDaas, e seu foco em não armazenar dados na nuvem será atraente para alguns.

Instalação e configuração

A instalação e a configuração inicial do Ping Identity PingOne são um processo de duas etapas. Primeiro, sua conta Ping Identity PingOne deve ser criada junto com um usuário administrativo para gerenciar o serviço. Segundo, Ping Identity O PingOne deve estar conectado ao diretório corporativo para executar a autenticação no serviço de identidade existente. O Ping Identity oferece duas opções para conectar um ambiente AD existente: ADConnect (que não deve ser confundido com o Azure AD Connect da Microsoft) e PingFederate. O ADConnect é uma instalação direta e requer muito pouca configuração no lado do diretório. No entanto, é limitado a um único domínio do AD, o que significa que a maioria das organizações maiores precisará optar pelo PingFederate.

Felizmente, a instalação do PingFederate também é simples, embora o Java Server Edition seja um pré-requisito. Uma reclamação que tenho é que o utilitário de configuração PingFederate simplesmente declara que a variável de ambiente JAVA_HOME deve apontar para um tempo de execução Java válido, sem mencionar o requisito para o Server Edition. Embora o Ping Identity identifique claramente a necessidade do requisito Java, eu preferiria que o utilitário de instalação inclua todo o software obrigatório - ou, no mínimo, ofereça um caminho claro para baixar o que é necessário antes ou durante a instalação. No entanto, como está, você precisará localizar, baixar e instalar o Java por conta própria antes de passar para o PingFederate.

Uma vez instalado, o PingFederate inicia o console de administração baseado na Web. O console oferece o assistente "Conectar-se a um repositório de identidades", que você precisa usar para criar uma chave de ativação que deve ser inserida no PingFederate. Depois que a chave de ativação for inserida, tenha algumas informações básicas sobre o ambiente do AD Active, incluindo coisas como nomes distintos para uma conta de serviço e um contêiner de usuário. Feito isso, seu diretório deve estar conectado ao Ping Identity PingOne.

Eu gostaria de ter visto alguns elementos gráficos no processo de conexão de diretório, mostrando a árvore de diretórios, permitindo selecionar quais contêineres sincronizar ou até mesmo pesquisar e navegar nos objetos do usuário. Identidade do Ping O PingOne deve perceber que nem todos entendem que nome distinto é muito menos sua sintaxe adequada.

Integração de Diretório

Identidade do ping O PingOne pode se integrar aos domínios do AD usando o AD Connect, o PingFederate, o Google G Suite ou um diretório SAML (Security Assertion Markup Language) de terceiros. Enquanto a maioria dos principais fornecedores do espaço IDaaS, incluindo Okta Identity Management e OneLogin, armazena usuários e um subconjunto de seus atributos disponíveis, Ping Identity PingOne não armazena cópias de suas identidades corporativas. Em vez disso, ele se conecta ao seu provedor de identidade sob demanda usando um dos conectores fornecidos. Devido a essa diferença arquitetônica fundamental, a maioria dos profissionais de TI ressalta que é essencial implementar corretamente o PingFederate para evitar um único ponto de falha devido ao servidor PingFederate estar offline.

Para ser justo aqui, no entanto, a realidade é que a maioria da concorrência exige que você mantenha uma conexão de diretório de qualquer maneira. A única diferença é que a maioria dos provedores simplesmente precisa disso para autenticação, não para o conjunto completo de atributos do usuário. Para mim, essa diferenciação de arquitetura é um exagero, mas há uma hesitação legítima entre as empresas sobre manter a privacidade enquanto se move para a nuvem. Portanto, talvez o PingIdentity tenha encontrado um bom equilíbrio entre evitar completamente a nuvem e pular sem pensar duas vezes.

Existem várias grandes vantagens em usar o PingFederate junto com o Ping Identity PingOne, além do maior controle sobre como suas identidades são expostas. A primeira é a capacidade de integrar-se com tipos de diretório adicionais, incluindo diretórios LDAP (Lightweight Directory Access Protocol). Intimamente ligada à funcionalidade baseada em padrões está a capacidade do PingFederate de se conectar com várias fontes de identidade e agregá-las. Identidade do Ping O PingOne não oferece essa capacidade no nível da nuvem; portanto, o PingFederate é sua melhor aposta para mesclar identidades de várias fontes.

O PingFederate oferece diversas opções de configuração, incluindo a capacidade de especificar quais atributos de identidade estão expostos ao Ping Identity PingOne. Como é provável que atributos do usuário, como endereços e nomes de email, sejam usados ​​para SSO (logon único) em aplicativos de Software como Serviço (SaaS), esses atributos podem ser cruciais para sua implementação. A seleção de quais atributos sincronizar usa uma ferramenta gráfica um pouco mais do que a configuração de sincronização de diretório, mas está enterrada bastante no console de administração do PingFederate.

Provisionamento de Usuário

Embora a identidade do Ping O PingOne não armazene nomes de usuários ou seus atributos, ele mantém uma lista de grupos sincronizados no seu diretório. Esses grupos podem receber aplicativos que você configurou para SSO. Os usuários que pertencem a esses grupos terão acesso a esses aplicativos em suas estações.

Na maioria dos casos, as contas de usuário nos aplicativos SaaS precisarão ser provisionadas manualmente. Um subconjunto limitado dos aplicativos SaaS disponíveis (incluindo Concur e DropBox) oferece suporte ao provisionamento automatizado de usuários, embora isso ocorra amplamente nos aplicativos SaaS para expor as APIs (interfaces de programação de aplicativos) necessárias. De fato, o aplicativo SSO do Microsoft Office 365 listado como "SAML com provisionamento" não faz isso. Em vez disso, requer que você instale as ferramentas de sincronização de diretório da Microsoft, o que significa que os aspectos de provisionamento desse aplicativo específico não estão sendo tratados pelo Ping.

Configuração de provisionamento no Ping Identity O PingOne é complicado comparado ao Okta Identity Management e ao OneLogin. Duas áreas em que tenho preocupações são a maneira como alguns aplicativos SaaS são identificados e como os administradores permitem o provisionamento. A configuração do provisionamento com o Google G Suite exige que você escolha o aplicativo Google Gmail, o que é bastante confuso. O provisionamento é ativado pelo assistente de configuração do aplicativo, mas requer que você marque uma caixa na parte inferior de uma das telas para ver as opções de provisionamento do usuário. O provisionamento é um dos poucos recursos obrigatórios para os conjuntos de IDaaS e o suporte limitado ao provisionamento Identidade Ping que o PingOne oferece está a apenas meio passo de não oferecer suporte a ele.

Tipos de autenticação

Identidade do Ping O PingOne oferece autenticação forte para aplicativos compatíveis com o padrão SAML, além da capacidade de efetuar login em outros aplicativos SaaS usando credenciais armazenadas (como um cofre de senha). O catálogo de aplicativos indica claramente que tipo de autenticação é suportado por cada aplicativo. De fato, alguns aplicativos suportam os dois tipos de autenticação (nesse caso, SAML é o método recomendado). A conexão com um aplicativo que suporta autenticação SAML geralmente deve ser configurada nos dois lados da conexão, o que significa que o aplicativo SaaS deve ter o suporte a SAML ativado e alguma configuração básica deve ser realizada. Identidade do ping O catálogo de aplicativos do PingOne inclui informações de instalação para cada aplicativo SAML, o que torna a configuração desse link bastante simples.

Identidade do Ping O PingOne oferece suporte a uma maior capacidade de autenticação na forma de MFA. O MFA pode ser aplicado a aplicativos e grupos específicos de usuários (ou intervalos de endereços IP) usando uma política de autenticação. No entanto, a Identidade do Ping O PingOne oferece apenas uma única política de autenticação e não tem a capacidade de filtrar por grupo e endereço IP. Isso faz com que o Ping Identity PingOne fique para trás de alguns concorrentes, como o Okta Identity Management ou o Azure AD, que permitem pelo menos configurar políticas de autenticação por aplicativo.

Identidade do ping A implementação de MFA do PingOne usa o PingID, um aplicativo para smartphone que executa a etapa de autenticação adicional por meio de um processo de confirmação ou de uma senha descartável. Os usuários também podem receber senhas únicas por meio de SMS ou mensagens de voz ou com um dispositivo de segurança YubiKey USB. Embora isso possa ser reparado em um nível muito básico, o Ping Identity PingOne realmente precisa melhorar seu jogo, se quiser ser levado a sério do ponto de vista do MFA. Até o LastPass Enterprise os supera em termos de recursos de MFA.

Logon único

O SSO é outra área na qual as escolhas de arquitetura do PingFederate têm um impacto. Durante o processo de autenticação do SSO, os usuários fazem logon no dock de ping Identity PingOne, que os redireciona para o serviço PingFederate hospedado na rede corporativa. Para usuários na rede corporativa interna, isso provavelmente não é um problema, mas exigirá alguma configuração adicional de firewall (porta 443) para os usuários que estiverem de fora.

O painel SSO voltado para o usuário, o dock do Ping Identity PingOne, melhorou um pouco desde a nossa última visita. A lista direta de aplicativos SaaS foi substituída por uma grade de ícones que também podem ser navegados usando um menu suspenso no lado esquerdo. Os administradores podem ativar uma seção pessoal do dock onde os usuários podem adicionar suas próprias contas SaaS. Identidade do ping As extensões do navegador PingOne aprimoram a experiência do dock, fornecendo acesso SSO aos aplicativos sem precisar retornar ao dock.

O painel Ping Identity PingOne possui alguns relatórios personalizados que mostram estatísticas de logon, incluindo um mapa global mostrando de onde essas autenticações são originárias. A funcionalidade de relatório abrange os conceitos básicos necessários para começar a obter informações sobre autenticações de usuários sendo processadas por meio do Ping Identity PingOne, mas não permite nenhuma análise profunda ou dados de solução de problemas.

Preços e Taxas

Identidade do Ping O PingOne custa US $ 28 por usuário a cada ano e o MFA custa US $ 24 adicionais anualmente. Descontos por volume e pacote estão disponíveis no PingIdentity. Para um produto com fraquezas evidentes em comparação com o Azure AD, Okta Identity Management e OneLogin, o preço da Ping Identity PingOne é competitivo, mas não suficiente, de modo a fornecer muito incentivo para sua escolha em relação à concorrência.

No geral, a Identidade do Ping O PingOne fez algumas escolhas de arquitetura que são fundamentalmente diferentes da concorrência e algumas delas serão apreciadas por organizações com preocupações de segurança ou privacidade. Infelizmente, a arquitetura não oferece benefícios suficientes para superar algumas áreas em que a Identidade do Ping é insuficiente - particularmente a limitação nas políticas de segurança, nos relatórios de barebones e no fornecimento mais crítico de usuários. A menos que a privacidade seja sua maior preocupação e o Ping Identity PingOne o ajude a superar esse obstáculo, não podemos recomendá-lo pelo Azure AD, Okta Identity Management ou OneLogin. No entanto, se você estiver em um setor particularmente sensível à segurança dos dados na nuvem, o Ping Identity PingOne pode ser uma opção aceitável para você.