Onelogin评论和评分

OneLogin提供功能丰富的身份管理服务，不会让您破产。 OneLogin在其免费版本和其每用户每月8美元的无限级别之间提供四个定价层。 该服务选中所有主要的身份管理功能框，包括多个安全策略，用户门户的移动应用程序，多因素身份验证（MFA）以及所有关键身份验证机制。 OneLogin甚至提供了一些您在竞争对手中找不到的惊喜。 但是，虽然它在我们列表的顶部，但OneLogin的功能与编辑选择奖得主Okta Identity Management或Microsoft Azure Active Directory（AD）并不完全匹配，并且OneLogin对映射的依赖将使某些人感到困惑。 尽管如此，OneLogin仍然是最有力的竞争者，可以很好地服务于大多数中小型企业（SMB）客户。

设置和配置

OneLogin入门并将其连接到现有目录服务是相当标准的事情。 首次登录OneLogin管理控制台时，您会看到一个设置向导，该向导将指导您完成完成配置过程所需的初始步骤，包括创建子域，导入用户和添加应用程序。

OneLogin支持多种目录类型，包括Microsoft Active Directory（AD），Google G Suite，Workday和通过SSL或OneLogin的连接器的轻型目录访问协议（LDAP）。 将AD连接到OneLogin涉及下载并安装其AD连接器并完成一些简单的配置步骤（选择服务帐户，配置端口号以及选择要同步的域）。 与Ping Identity PingOne PingFederate代理一样，OneLogin选择使用令牌将AD连接器关联到OneLogin，而不是您的帐户凭据。 建立关联后，您可以配置AD连接器（尤其是选择要同步的组织单位或组）。 为了实现负载平衡和容错目的，可以部署多个AD连接器，以便在一个连接器出现故障时保持可用性。

与其他竞争对手一样，OneLogin通过与其他身份标识源（如人力资源（HR）管理系统，包括Workday，UltiPro和Namely）集成，正朝着一种整体方法来管理公司身份。 使用OneLogin的工具集，您不仅可以在OneLogin和任何相关的软件即服务（SaaS）应用程序中创建和管理身份，而且可以将这些身份下推到Active Directory中，从而限制了双重输入并提高了准确性。

目录集成和用户配置

目录集成的另一个关键方面是选择要从AD导入的属性以及对其进行配置。 OneLogin允许您创建自定义字段并定义将填充这些字段的AD属性。 根据您的业务需求，这些字段在配置应用程序或安全策略映射时可能很有用。 例如，如果您的组织扩展了其AD模式，以包括包含有关公司结构信息的自定义属性，则OneLogin可以轻松利用这些信息。

通过OneLogin管理员控制台中AD连接的“高级”选项卡，您可以配置是自动将新用户创建为OneLogin用户还是将其简单地登台，这要求在创建用户之前需要管理员的个人指导。 “高级”选项卡设置还允许您配置OneLogin如何处理AD中已禁用或删除的用户。

OneLogin与大多数竞争产品之间的主要区别在于，它如何处理组和应用程序分配。 对于初学者，OneLogin不会从AD同步安全组；而是从AD同步。 而是在OneLogin中独立管理组。 OneLogin中的组主要用于向其包含的用户分配安全策略，而角色则用于处理应用程序的分配。 可以手动将用户分配给OneLogin组，也可以使用自动化工具Mappings将其分配给OneLogin组，该工具使用条件和操作来管理用户（将用户分配给组或角色，甚至即时更改其状态或更改属性）。 映射是OneLogin的一项关键功能，它为安全策略和应用程序分配的处理方式增加了灵活性和额外的复杂性。 尽管我喜欢这个概念及其提供的灵活性，但我认为它确实使事情感到困惑。 我希望看到组同步和使用诸如映射之类的动态分配策略或应用程序的能力相结合。

一旦配置了一些映射以将用户分配给角色，就可以开始配置对SaaS应用程序的单点登录（SSO）访问并将这些应用程序分配给角色的过程。 OneLogin提供了类似于其他IDaaS工具的应用程序目录，该目录标识了每个应用程序可用的身份验证方法。 OneLogin为兼容的SaaS应用程序提供的一项不错的功能是对安全性断言标记语言（SAML）连接的双方进行部分自动配置。 例如，Google G Suite在OAuth令牌交换后支持自动配置。 OneLogin还支持SaaS用户供应，但是，与任何IDaaS解决方案一样，这取决于SaaS应用程序提供的应用程序编程接口（API）来执行供应功能。 许多重要的SaaS应用程序都支持用户预配置，例如Google G Suite，Microsoft Office 365，Dropbox以及可能的许多其他用户，这使自动预配置成为IDaaS解决方案中的必备功能。

OneLogin提供的一项高级功能涉及不提供SAML支持的SaaS应用程序。 使用自定义连接器，OneLogin允许您为OneLogin目录中不可用的应用程序定义与登录过程有关的URL和表单元素。 自定义连接器允许您使用HTML标签选择表单和表单元素，例如表单操作或名称以及按钮ID，类型，名称或值。 管理员还可以使用OneLogin浏览器扩展添加自定义连接器，这将简化捕获表单元素标识符并启用自定义连接器的过程。 这意味着OneLogin提供了一种现成的方法，可以直接连接到鲜为人知甚至是内部的自定义应用程序。

OneLogin的另一个与众不同的功能是它能够支持多个自我注册页面。 默认情况下，通过这些页面请求帐户的用户仅存储在OneLogin中。 这些注册页面可用于注册不属于您的广告环境但需要某种程度的访问某些业务应用程序的用户。 这些功能的用例包括学生，实习生或志愿者。 在配置自注册页面期间，您可以定义在完全配置帐户之前是否必须执行管理操作，以及新用户的默认角色和组。

单一登录和移动应用

管理员可以在OneLogin用户门户上进行很多自定义，包括颜色更改，图形和自定义帮助内容。 用户还可以通过确定如何启动应用程序（在新窗口中还是在同一窗口中）以及是否应使用选项卡式视图来定制其门户网站体验。 用户还可以在他们的用户门户中存储安全笔记，并将身份验证设备与多因素身份验证（MFA）关联使用。 OneLogin有两个移动应用程序：OneLogin Launcher（这是用户门户的移动版本）和OneLogin OTP（这是使用一次性密码的多因素选项）。 您可以通过输入凭据ID来将OneLogin OTP与OneLogin帐户配对，该凭据ID标识单个设备和应用程序生成的连续的一次性密码。

OneLogin支持两种类型的安全策略：用户策略和应用程序策略。 应用程序策略可用于要求一次性密码（OTP）验证或对单个应用程序强制实施IP地址限制，从而使您可以根据用户的网络位置（例如公司网络上或下）选择性地应用策略。 应用于用户的安全策略可用于强制执行密码复杂性，以及更新功能和会话信息（包括锁定行为和会话超时）。 安全策略还可以用于强制实施多因素要求和IP地址限制。

您可以利用用户策略来启用社交登录，这使用户可以使用他们可能在Google，Facebook，LinkedIn或Twitter上拥有的任何现有凭据对您的OneLogin环境进行身份验证。 您还可以使用这些凭据为业务合作伙伴或客户提供对您的SaaS工具或内部公司应用程序的访问权限。

OneLogin的自适应身份验证是一种基于机器学习的解决方案，与Microsoft Azure AD和Centrify提供的功能相当。 它旨在通过为特定应用或资源分配风险值，然后建议其他步骤（例如MFA）来增强安全性（如果资源的风险评分表明需要提高安全性）。

很棒的报道

OneLogin提供的报告引擎是该服务的另一个亮点。 提供了多个罐头报告，您可以克隆任何报告并根据需要对其进行自定义。 您也可以从头开始创建新报告，添加所需的字段和过滤器。 甚至可以将报告配置为按列分组。 遗憾的是，似乎没有任何安排报告的方法，但是您可以将任何结果集导出到CSV文件以进行进一步分析。 克隆和自定义报告的功能在IDaaS领域中很少见，其他顶级解决方案（如Okta Identity Management或Azure AD）甚至没有提供。

OneLogin通过事件广播器支持Splunk或Sumo Logic等安全事件管理器（SEIM）解决方案。 这些配置为将JavaScript对象表示法（JSON）有效内容发送到URL，这些URL又配置为使用数据。 另外，您可以使用条件操作引擎配置电子邮件通知，OneLogin的设置过程非常简单。

OneLogin的定价结构与大多数市场处于同一水平，但OneLogin提供了免费层，将用户限制为三个企业应用程序，五个个人应用程序，并且不提供MFA。 每月2美元的入门级服务增加了MFA，可以处理无限数量的SaaS应用程序中的SSO。 入门级用户还可以为OneLogin和目录密码提供密码重置功能。 寻求更高安全性的公司将需要为企业服务级别每个用户每月支付4美元的费用，该服务提供安全策略，还将支持来自多个目录的同步。 SaaS应用程序中的自动用户配置以及可自定义字段需要每用户每月$ 8的顶级无限制级别。

除基本定价层外，OneLogin还提供了一些附加组件。 虚拟LDAP（每位用户每月2美元）使您的OneLogin目录像标准LDAP目录一样工作。 这使得决定使用长期LDAP标准的众多应用程序和服务可以访问它。 自适应身份验证功能还提供机器学习和基于风险的身份验证控制，这也是一项额外的费用，每位用户每月需额外支付3美元。

值得一提的是，OneLogin最近遭受了重大安全事件。 尽管安全对于用于提高公司安全性的工具至关重要，但很难判断此类违规的影响。 许多公司可能会因为其最近的记录而避免使用OneLogin，而其他公司则将更多地关注OneLogin对事件的反应，而不是事件本身。 我个人通常倾向于使用后者，并且OneLogin在整个过程中一直与他们的用户群保持联系，并且正在与他们的云服务提供商，甚至某些具有适用专业知识的客户合作，以​​加强他们的安全控制和策略，防止将来发生这种情况。

不应低估OneLogin对映射的使用。 如果SaaS和IDaaS的卖点是效率，那么映射就可以通过提供竞争对手中没有的自动化功能将其提升到一个新的水平。 话虽这么说，但我对它对映射的依赖以及OneLogin不同步安全组这一事实让我有些不安，尽管这实际上可能对具有数千个组的大型组织有所帮助。 但是，OneLogin在关键领域（例如SaaS应用程序配置，目录集成及其SSO门户）中与其他IDaaS解决方案配合得很好。 但是，对我而言，安全组的遗漏使OneLogin避开Okta Identity Management成为本综述中的最佳IDaaS位置。