Lastpass企业评论与评分

LastPass Enterprise在密码库领域是一个大牌，因此只有为企业提供身份管理（IDM）解决方案才有意义。 LastPass Enterprise（起价为每用户每年48美元，是两年前我们首次对其进行审核时的起价的两倍）在纸张上与其他IDM服务具有很好的对比，并提供诸如多因素身份验证（MFA）和多种安全策略等功能。 不幸的是，即使公司在过去两年中做出了改进，LastPass Enterprise仍然处于困境。 它仅支持少数几个软件即服务（SaaS）应用程序的自动用户配置，在与Active Directory（AD）用户帐户同步时提供最小的灵活性，并且总体上说，它们在管理工具和界面元素方面不合标准。 除了希望快速进行安全性升级的小型企业之外，很难将LastPass Enterprise推荐给该类别的编辑选择奖得主，Microsoft Azure Active Directory（AD），Okta Identity Management，以及最近的Centrify。

设置和配置

自上次审核以来，我们发现LastPass的AD同步客户端得到了很大的改进。 尽管在撰写本文时，软件代理仅具有beta标识，但LastPass鼓励用户立即开始在生产中使用它。 这主要是因为它现在提供了诸如正确处理嵌套组成员身份之类的功能，而缺少嵌套组成员资格是上一版本中的严重缺陷。 与它的许多竞争对手一样，包括我们所有的编辑选择奖得主和Bitium，LastPass使用同步客户端将用户和安全组导入您的LastPass Enterprise帐户。 同步客户端的安装相当简单，一旦完成，就可以开始配置Active Directory。

LastPass Enterprise提供的另一种替代其AD同步客户端的方法是安装标准客户端软件，并配置为与常规Windows登录过程集成。 在这种情况下，当用户登录计算机时，各台计算机将与您的LastPass Enterprise帐户进行通信以执行帐户创建。 此方法的明显缺点是，安全组没有同步到LastPass Enterprise，需要在服务中进行手动组管理。 尽管此方法不是最佳方法，但它确实可以替代基于AD的代理，并且在IDaaS空间中是唯一的产品。

目录整合

AD同步客户端提供了许多配置选项，其中包括从另一台主机定位域控制器的能力。 它还包括目录选项，例如要使用的基本专有名称（DN），以及几个策略类型选项，例如如何处理禁用的帐户或组成员身份更改。 LastPass Enterprise可以同步AD中的用户和安全组，从而可以在任一级别上应用应用程序分配和安全策略。 从管理员的角度来看，您确实可以控制将用户添加到同步组（或删除）时的情况。 选项包括向用户发送邀请或简单地启用其帐户，或者在删除用户的情况下，简单地暂停或完全删除LastPass帐户。

总体而言，LastPass Enterprise在管理从现有目录中同步哪些属性方面没有提供与我审查过的其他竞争对手相同的功能，并且自我首次审查该产品以来的两年中，这种情况一直没有改变。 AD同步客户端现在可以启用自定义属性，但是它涉及提供逗号分隔的值列表，并且不提供选择要同步的属性的图形方式。 也无法查看已选择的属性。 如果LastPass Enterprise想要在此领域扮演重要角色，则需要在其AD连接选项中加紧处理。

缺乏满足大型企业需求的功能将继续成为本次审查的主题。 例如，大型企业有时会具有多个Active Directory域，甚至还有其他目录类型。 我们审查过的IDM仅有少数能很好地处理此问题，最著名的是Okta和Optimal IdM，尽管大多数至少提供了同时连接多个身份源的功能。 大型组织的另一个限制是LastPass Enterprise不支持任何消费者身份来源，例如Facebook，Google或LinkedIn。 消费者IDM通常用于轻松访问面向客户的应用程序，因为它使用户在对您的应用程序或服务进行身份验证时可以利用其现有的社交媒体帐户凭据。 在这两种情况下，只有那些有特定需求的公司才会意识到这些缺点，但是它们是该类别中重量级人物处理得当的一个特征。

SaaS应用程序中的自动用户配置在LastPass Enterprise中得到支持，但受支持的服务数量最高为10，与“编辑选择奖”获得者Okta Identity Management中的数量相比是贫乏的。 您会发现对一些流行的云应用程序的支持，包括SalesForce，Google G Suite，Jira Service Desk和Zendesk，但奇怪的是，缺少大型企业必需的Office 365和DropBox。 对于打算推出单一登录（SSO）以简化整个企业中SaaS应用程序的供应和安全性的公司而言，缺乏直接供应支持可能会破坏交易。

单点登录

自上次我们与LastPass Enterprise进行全面合作以来，最大的改进领域之一就是SSO门户。 在我们之前的评论中，我们注意到基本构成SSO门户的树视图是笨拙的，并且对于用户而言根本不直观。 现在，该门户已成为LastPass消费者版本中的门户的一面镜子，该版本干净高效。 但这并不是说门户网站与重量级人物完全一样。 一方面，缺少一些功能，例如自定义品牌，但与服务的安全性和可用性相比，我们认为这是低优先级。

除了基于浏览器的SSO门户，LastPass还提供了许多面向客户的软件工具。 浏览器插件是最明显的，提供使用或添加已保存凭据的提示。 LastPass还提供了与Windows桌面的集成，包括对VPN客户端或远程访问会话等应用程序进行身份验证的能力。 企业管理员可以自定义安装程序，该安装程序可用于使用多种不同方法将适当的软件推送到客户端工作站。

向用户分配应用程序类似于在其他身份管理系统中找到的应用程序。 您通常需要在LastPass Enterprise中，然后在应用程序或服务端，配置与SaaS应用程序的SAML连接。 这涉及定义哪些组应该有权访问该服务。 此外，“高级选项”下还有一个菜单项，可让您将网站推送给用户，然后这些网站将填充用户的LastPass库。 可以将站点推送配置为持久推送，这会导致新的组成员自动接收应用程序分配。

LastPass在其面向消费者的服务中提供的另一项功能（现在在LastPass Enterprise中也可用）是共享文件夹。 共享文件夹的操作不同于简单地将网站推送给用户。 例如，任何用户都可以创建共享文件夹，并且文件夹可以共享给单个用户或AD组。 新群组成员添加到群组后，还将获得对共享文件夹的访问权限。 正如共享文件夹可以由任何用户创建一样，它们也可以由任何用户进行管理。 可以分配几个权限级别，以管理谁可以向文件夹中添加项目，或者谁可以管理其他用户的权限。 对于非关键应用程序的委托管理而言，这是理想的解决方案，这些应用程序不需要企业级别的安全性或控制级别。

LastPass Enterprise在大多数竞争中所拥有的两个优势涉及安全性。 多因素身份验证（MFA）是SSO领域的一项关键功能，但通常仅在竞争产品中以更高价格提供。 此外，LastPass Enterprise支持多种多因素提供商，包括Duo Security，Google Authenticator，LastPass Sesame，RSA SecurID，Toopher，YubiKey等。 最新添加的功能之一是LastPass Authenticator，它具有将推送通知发送到您的移动设备的附加好处，然后该通知会要求您确认身份验证。 MFA选项中最好的部分可能是管理员在分配它方面具有很大的灵活性。 他们可能需要整个组织或特定用户组的MFA，或者如果用户需要额外的保护，则仅允许用户启用MFA。

LastPass Enterprise的第二大优势是可以将多个安全配置文件应用于单个用户或组。 安全策略可以管理一切，包括多因素要求，阻止从TOR出口节点或其他IP地址范围使用以及密码复杂性要求。 单个策略通常包括一个复选框或一个文本字段，以及将策略范围限制为特定用户或组的选项。 我不会抱怨用于管理这些策略的界面是否进行了一些改进，但是与LastPass的竞争相比，使用这些策略可以对身份验证进行控制的控制量非常好，仅次于Azure AD提供的功能机器学习（ML）功能。

LastPass Enterprise为用户提供的另一个优势是个人密码库。 尽管其他IDaaS选项允许用户在其SSO仪表板中存储个人帐户的帐户信息，但LastPass Enterprise是在个人密码保险库领域中具有竞争力的唯一竞争者。 现有的LastPass Enterprise用户甚至可以将其个人LastPass帐户与公司保管库关联起来。

弱报告

LastPass Enterprise最弱的方面可能是其报告工具。 LastPass Enterprise报告功能仅是事件日志，它使您可以搜索和排序事件以查找特定条目，也可以将列表导出到Excel以进行更全面的分析。 LastPass还通过REST应用程序编程接口（REST API）公开其报告数据。

自上次审核以来，LastPass Enterprise添加的一种赎回质量是其Splunk集成。 此功能使用Splunk Cloud中的HTTP事件收集器与LastPass Enterprise实例进行接口，提取事件并将其合并到公司日志记录解决方案中。 您可以通过简单地配置管理电子邮件通知来降低技术含量，这适用于超过15种事件类型。 或者，您可以管理通知限制（在一段时间内发送了多少电子邮件）或仅查看即将到来的通知和过去的通知。

LastPass Enterprise订阅为年度订阅，而不是按月订阅，对于100个以下的用户，起价为每用户48美元。 用户数超过100的公司可享受每位用户8美元的折扣（每年低至40美元），用户数超过1500的公司每年可享受每位用户10美元的额外折扣（30美元）。 LastPass还为拥有大量用户的企业客户提供站点许可，该解决方案不仅可以让您支付固定的年费，还可以为您提供自定义的安全级别。

总体而言，与竞争对手相比，LastPass Enterprise在我们的最新评论中仍然有些令人失望，这是由于几个问题所致。 首先是它对自动用户配置的支持非常有限，我们认为这是IDaaS解决方案的关键功能。 此外，它仍然缺少用于AD同步的关键功能，包括无法从多个目录中获取资源，这是一个关键缺陷。 尽管如此，我们将LastPass Enterprise作为平台的许多问题通常还是较大企业的问题，这意味着使用LastPass Enterprise作为其选择的IDM的小型企业可能很好。 但是在购买之前，请务必仔细评估并确保它适合您的组织。