目录:
视频: ä¸è¦å²ç¬æåçæ§ (十月 2024)
尽管使用Centrify的体系结构有学习上的困难,但用户和组对象都可以从AD中用于Centrify。 添加组后,就可以在Centrify中对用户进行管理,尽管组仅用于动态分配用户角色。 这不一定会给Centrify带来麻烦,只是与我们已比较的大多数其他IDM选项相比有所不同。 从我的角度来看,唯一真正令人担忧的原因是,在同步用户或组之前,Centrify中的某些管理任务是不可能的,这使得主动配置某些方面变得困难。 Active Directory用户和组可以在Centrify角色中使用,但只有该用户(或该组中的用户)创建了Centrify帐户后才能使用。
Centrify支持使用称为“社交登录”的功能通过各种社交网络进行身份验证。 这使您的用户可以利用其在Google,Facebook,LinkedIn和Microsoft Live帐户中的凭据来使用开放授权(OAuth)向Centrify进行身份验证。 如有必要,可以为每个服务自定义OAuth身份验证过程,以合并您的应用程序ID,应用程序密钥和/或受信任的重定向URI。 使用他们的社交凭据为用户提供资源后,就可以像管理其他任何用户一样对他们进行管理,包括分配角色,应用程序和身份验证策略。
出色的用户配置
Centrify的用户配置功能是迄今为止我们所审查的IDM播放器中最好的之一。 这有两个原因,尽管对于没有内部开发人员的组织来说,实现某些更高级的功能可能太复杂了。 从较高的层次来看,定价是所有规模的客户都将欣赏的一个优势,因为自动配置可以按每用户每月4美元的应用定价级别进行,而竞争对手(如Okta和OneLogin)仅在以下位置开始提供此功能: $ 7- $ 8范围。 工作流可以包含在置备过程中,尽管这需要升级到$ 8 App +层。
工作流是Centrify设置工具集的强大方面。 Centrify允许您在每个应用程序中设置批准级别,并且可以包括请求者的经理,特定的Centrify用户或Centrify角色。 我对工作流感到奇怪的一件事是,一旦批准流程完成,分配如何发生。 由于用户和组是通过Centrify角色分配给应用程序的,因此通过应用程序工作流程批准的用户很可能会在此过程中获得对其他应用程序的访问权限,具体取决于角色的配置方式。 Centrify建议最佳做法是分别维护特定于应用程序的角色和用户角色(例如:salesforce_users和sales_users)。 使用此方法,您可以有效地嵌套角色(将一个成员资格赋予另一个成员资格),以便有效地管理分配。
Centrify提供的另一项强大功能是能够使用脚本来自定义行为并根据您的个人需求微调Centrify。 一个示例就是修改应用程序的SAML断言,调整默认脚本以执行诸如设置SAML版本,自定义属性处理以及自定义过程中使用的各种URL之类的功能。 显然,任何基于脚本的功能都需要一组高级技能才能使用,但这是一个非常独特的产品,尤其是在这个价位上。
Centrify在SaaS应用程序中自动设置用户帐户的功能在IDM领域相当普遍,但是Centrify拥有一些可用的工具,与大多数竞争产品相比,管理员可以更轻松地微调配置过程。 第一个允许您定义在配置SaaS应用程序后应将哪些角色应用于用户。 另一个提供了通过自定义脚本管理配置过程的能力,这是相当高端的,因为它需要开发人员级别的技能,但是在具有大量软件产品的大型组织中尤其有用。
强大的单点登录
Centrify的单点登录(SSO)功能是该服务的另一项优势,尽管这与Centrify专注于不一定与其他IDM参与者直接竞争的领域有很大关系。 其中之一与设备有关,Centreify将其用作事实上的多因素身份验证(MFA)方法。 用户可以将设备关联到他们的帐户,以便使用Centrify应用程序将其移动设备用作第二身份验证因素来执行SSO。 由于组织可以将安全策略推送到关联的设备,因此这在Centrify在移动设备管理(MDM)领域的设计中发挥了作用。
对Centrify的一击是,它不支持一些第三方MFA供应商。 多因素支持仅限于移动身份验证器应用程序,OATH OTP客户端或对确认电子邮件,短信,电话或安全问题的答复。 如果需要其他MFA选项,则需要使用Centrify的使用RADIUS进行身份验证的功能。
另一方面,Centreify已开始提供一种使用分析和机器学习来识别异常和潜在危险的身份验证活动的解决方案。 除了提供分析和报告优势外,该数据还可用于引入基于风险的身份验证策略,最高达到并包括MFA要求。 这些功能绝对是最前沿的,只有Microsoft在Azure AD中提供具有身份保护的类似功能集。
Centrify提供的另一套SSO功能与企业网络中的资源有关。 传统上,大多数IDM提供程序的主要重点完全放在SaaS应用程序上,而Centrify则处于领先地位,因为它认识到许多公司都有本地应用程序或服务器,这也是其需求的关键。 为此,Centreify可以通过使用Cloud Connector将Centrify用作应用程序代理来访问这些资源。 此功能使您能够使用SSO来访问内部资源,并且无需进行其他防火墙配置或将服务器直接暴露于公共Internet的需求。 其他供应商也开始提供类似的功能,包括带有Azure AD应用程序代理的Microsoft,但是Centrify将此功能作为其核心产品的一部分提供,而不是作为附加服务,并使用单个软件代理提供。
报告与定价
Centrify报告功能的广度是另一个优势。 您不仅可以查看,导出或通过电子邮件发送涵盖各种类别的多个罐头报告,还可以复制现有报告以进行自定义或从头开始创建自己的报告。 许多可用的报告(在某些情况下还包括自定义报告)提供基于地图的视图,这些视图显示事件的聚集位置。 报表使用结构化查询语言(SQL),可以在自定义报表中对其进行修改。 Centrify支持文档中提供了有关可用数据库视图和列的信息。 我们希望在报表工具中看到的一项功能是能够按计划自动运行报表的功能,但这绝不是一项破坏交易的事情。
Centrify还提供了许多仪表板,可让您大致了解环境的各个方面,其中包括一些专注于安全性,移动设备和用户登录的方面。 在每种情况下,仪表板都会显示时间线,饼图,地图和日志事件列表的组合。 登录时,您还可以选择将仪表板作为默认视图。
我们已经简要介绍了Centrify的定价,特别是按较低的价格(每个用户每月4美元)提供配置功能。 每月4美元的应用层还支持MFA,这是通常用于高级服务级别的另一项功能。 App +定价级别使您可以在配置中使用工作流程,还可以通过Centrify网关访问本地应用程序,每位用户每月8美元。 分析功能以及基于风险的身份验证策略将使您每位用户每月额外获得3美元。
社交登录会增加您的许可结构的复杂性。 员工和承包商的许可费用与标准用户相同,每月为4美元。 企业对企业(B2B)用例(例如合作伙伴和供应商)的许可费为每位用户每月2美元。 对于企业对客户(B2C)方案(例如支持对面向客户的应用程序的身份验证),许可成本每年每位用户1美元非常合理。
尽管Centrify并未真正提供免费版本的Identity Service,但它们确实具有Centrify Express,其中包含免费提供的Identity Service功能的子集。 显着的限制包括仅对三个SaaS应用程序的SSO,无自动配置和无MFA。 仍然是开始使用Centrify的好方法,并且是对需求有限的小型企业的良好解决方案。
Centrify涵盖了典型IDaaS功能(包括SSO和用户配置)的基础知识,它们的高级功能确实提高了IDM平台可以处理的功能的门槛。 真正使Centrify脱颖而出的功能是诸如报告和访问位于企业网络内的资源(应用程序和服务器)的功能。 我们希望看到Centrify至少可以将AD作为自动选项从AD创建自动帐户,以及将工作流方面与应用程序分离,将它们置于角色级别。 综上所述,Centrify轻松跻身该类别的顶级竞争对手,并赢得了编辑选择奖。
