目录:
Ping身份PingOne在身份管理即服务(IDaaS)空间中表现出色。 它提供了多个选项,可以针对现有的Active Directory(AD)环境进行身份验证,还支持Google Apps或其他第三方目录。 Ping Identity PingOne在某些竞争中脱颖而出的地方(包括编辑选择奖得主Microsoft Azure Active Directory和Okta Identity Management处于身份验证策略和报告等领域。在这些类别中,Ping Identity PingOne不能提供相同的级别但是,Ping Identity PingOne的定价为每位用户每年28美元,与IDaas解决方案领域的其余部分相比具有竞争力,而且其专注于不将数据存储在云中也将吸引一些人。
设置和配置
Ping Identity PingOne的初始设置和配置是一个两步过程。 首先,必须与管理用户一起创建您的Ping身份PingOne帐户,以管理服务。 其次,Ping身份PingOne必须连接到您的公司目录,才能针对您现有的身份服务执行身份验证。 Ping Identity提供了两个用于连接现有AD环境的选项:ADConnect(不要与Microsoft的Azure AD Connect混淆)和PingFederate。 ADConnect是直接安装,不需要在目录侧进行任何配置。 但是,它仅限于单个AD域,这意味着大多数大型组织将需要选择PingFederate。
幸运的是,尽管必须先安装Java Server Edition,但PingFederate的安装也很简单。 我有一个抱怨是PingFederate设置实用程序仅声明JAVA_HOME环境变量必须指向有效的Java运行时,而没有提到Server Edition的要求。 虽然Ping Identity PingOne明确指出了对Java要求的需求,但我还是更希望设置实用程序包括所有必备软件,或者至少提供一个清晰的路径来下载安装之前或安装期间所需的内容。 但是,就目前情况而言,在继续使用PingFederate之前,您需要自行查找,下载和安装Java。
一旦安装了PingFederate,它将启动基于Web的管理控制台。 控制台提供了“连接到身份存储库”向导,您需要使用该向导来创建激活密钥,然后必须将其输入到PingFederate中。 输入激活密钥后,请准备好有关AD Active环境的一些基本信息,包括诸如服务帐户和用户容器的可分辨名称之类的内容。 完成后,您的目录应连接到Ping Identity PingOne。
我希望在目录连接过程中看到一些图形元素,这些图形元素显示目录树,让您选择要同步的容器,甚至让您搜索和浏览到用户对象。 Ping身份PingOne应该认识到,并不是每个人都能理解专有名称与专有语法的区别。
目录整合
Ping身份PingOne可以使用AD Connect,PingFederate,Google G Suite或第三方安全声明标记语言(SAML)目录与AD域集成。 尽管IDaaS领域中的大多数顶级供应商(包括Okta Identity Management和OneLogin)都存储用户及其部分可用属性,但Ping Identity PingOne并不存储您的公司身份的副本。 而是,它通过使用提供的连接器之一按需连接到您的身份提供者。 由于这种根本的体系结构差异,大多数IT专业人员都会指出,正确实施PingFederate至关重要,以防止由于PingFederate服务器处于脱机状态而导致的单点故障。
为了公平起见,实际上,大多数竞争都要求您始终保持目录连接。 唯一的区别是,大多数提供程序仅需要此进行身份验证,而不需要完整的用户属性集。 对我而言,这种架构差异是过大的,但是公司之间在迁移到云时维护隐私方面存在着一定的犹豫。 因此,也许PingIdentity已在完全避免云与不费吹灰之力地跳进云端之间找到了一个很好的平衡。
将PingFederate与Ping Identity PingOne一起使用还有许多重大好处,此外,您还可以更好地控制公开身份的方式。 首先是能够与其他目录类型集成的功能,包括轻型目录访问协议(LDAP)目录。 与基于标准的功能紧密相关的是PingFederate与多个身份源连接并将它们聚合在一起的能力。 Ping身份PingOne在云级别没有提供此功能,因此PingFederate是合并多个来源的身份的最佳选择。
PingFederate确实提供了许多配置选项,包括指定哪些身份属性公开给Ping Identity PingOne的能力。 由于诸如电子邮件地址和名称之类的用户属性很可能用于软件即服务(SaaS)应用程序的单点登录(SSO),因此这些属性对于您的实施至关重要。 选择要同步的属性所使用的图形工具比目录同步配置略多一些,但是它被深深地埋在PingFederate管理控制台中。
用户配置
虽然Ping Identity PingOne不存储用户名或其属性,但它会维护一个从目录同步的组列表。 可以为这些组分配您为SSO配置的应用。 在这些组中具有成员身份的用户将可以在其坞站中访问这些应用程序。
在大多数情况下,将需要手动设置SaaS应用程序中的用户帐户。 可用的SaaS应用程序的有限子集(包括Concur和DropBox)支持自动用户配置,尽管这主要是在SaaS应用程序上,以公开必需的应用程序编程接口(API)。 实际上,被列为“ SAML with Provisioning”的Microsoft Office 365 SSO应用程序没有做到这一点。 相反,它需要您安装Microsoft的目录同步工具,这意味着Ping根本无法处理该特定应用程序的配置方面。
与Okta Identity Management和OneLogin相比,Ping Identity PingOne中的配置配置很麻烦。 我关注的两个领域是确定某些SaaS应用程序的方式以及管理员如何启用配置。 使用Google G Suite配置配置要求您选择Google Gmail应用程序,这很令人困惑。 通过应用程序配置向导启用了配置,但需要您选中其中一个屏幕底部的复选框,以查看用于用户配置的选项。 预配置是IDaaS套件的一些必备功能之一,Ping Identity PingOne提供的有限预配置支持距离完全不支持它只有半步之遥。
验证类型
Ping身份PingOne对支持SAML标准的应用程序提供强大的身份验证,并能够使用存储的凭据(类似于密码库)登录其他SaaS应用程序。 应用程序目录清楚地说明了每个应用程序支持哪种身份验证。 实际上,某些应用程序支持两种身份验证类型(在这种情况下,建议使用SAML)。 与支持SAML身份验证的应用程序的连接通常必须在连接的两侧进行配置,这意味着SaaS应用程序必须启用了SAML支持,并且必须完成一些基本配置。 Ping身份PingOne的应用程序目录包含每个SAML应用程序的设置信息,这使此链接的配置相当简单。
Ping身份PingOne以MFA形式支持增强的身份验证强度。 通过使用身份验证策略,可以将MFA应用于特定的应用和用户组(或IP地址范围)。 但是,Ping身份PingOne仅提供单个身份验证策略,并且无法按组和IP地址进行过滤。 这使得Ping Identity PingOne落后于某些竞争产品,例如Okta Identity Management或Azure AD,这两种竞争至少可以让您基于每个应用程序配置身份验证策略。
Ping身份PingOne的MFA实施使用PingID,这是一种智能手机应用程序,可通过确认过程或一次性密码执行附加的身份验证步骤。 用户还可以通过短信或语音消息或通过YubiKey USB安全设备接收一次性密码。 尽管这在一个非常基本的级别上是可以使用的,但如果他们希望从MFA的角度认真对待,Ping Identity PingOne确实需要加强他们的比赛。 甚至LastPass Enterprise在MFA功能方面也击败了他们。
单点登录
SSO是PingFederate的体系结构选择会产生影响的另一个领域。 在SSO身份验证过程中,用户登录其Ping身份PingOne坞站,该坞站将其重定向到公司网络上托管的PingFederate服务。 对于内部公司网络上的用户来说,这可能不是问题,但外部访问的用户需要一些其他防火墙配置(端口443)。
自上次访问以来,面向用户的SSO仪表板Ping Identity PingOne基座已经有所改进。 SaaS应用程序的简单列表已被图标网格取代,该图标网格也可以使用左侧的弹出菜单进行导航。 管理员可以启用扩展坞的个人部分,用户可以在其中添加自己的SaaS帐户。 Ping身份PingOne浏览器扩展增强了扩展坞体验,无需重新返回扩展坞即可提供对应用程序的SSO访问。
Ping Identity PingOne仪表板具有一些罐头报告,这些报告显示了登录统计信息,其中包括显示这些身份验证源自何处的全局映射。 报告功能涵盖了开始获取有关通过Ping Identity PingOne正在处理的用户身份验证信息所需的基础知识,但是它不允许进行任何深入的分析或故障排除数据。
定价和费用
Ping Identity PingOne每年每位用户的费用为28美元,MFA每年的费用为24美元。 批量和捆绑打折可从PingIdentity获得。 对于与Azure AD,Okta Identity Management和OneLogin相比有明显缺点的产品,Ping Identity PingOne的定价具有竞争力,但不足以在竞争中提供更多动力来选择它。
总体而言,Ping Identity PingOne做出了一些架构上的选择,这些选择从根本上不同于竞争对手,并且其中一些会受到安全性或隐私问题的组织的欢迎。 不幸的是,该体系结构无法提供足够的优势来克服Ping Identity PingOne不足的某些领域-特别是安全策略,准系统报告和最关键的用户配置方面的限制。 除非您最关注隐私,并且Ping身份PingOne可以帮助您消除这一障碍,否则我们不能在Azure AD,Okta Identity Management或OneLogin上推荐它。 但是,如果您所在的行业对云数据安全特别敏感,那么Ping Identity PingOne可能是您可以接受的选择。
