Revisión y calificación de Lastpass Enterprise

LastPass Enterprise es un gran nombre en el ámbito de la bóveda de contraseñas, por lo que tiene sentido que tenga una solución de gestión de identidad (IDM) para las empresas. LastPass Enterprise (que comienza en $ 48 por usuario por año, el doble del precio inicial desde que lo revisamos por primera vez hace dos años) se compara bien en papel con otros servicios de IDM, ofreciendo características como la autenticación multifactor (MFA) y múltiples políticas de seguridad. Desafortunadamente, incluso con las mejoras que la compañía ha realizado en los últimos dos años, LastPass Enterprise sigue siendo difícil. Admite el aprovisionamiento automatizado de usuarios para solo un puñado de aplicaciones de software como servicio (SaaS), ofreciendo una flexibilidad mínima al sincronizar con sus cuentas de usuario de Active Directory (AD) y, en general, es deficiente en sus herramientas de administración y elementos de interfaz. En general, aparte de las pequeñas empresas que buscan una actualización de seguridad rápida, es difícil recomendar LastPass Enterprise a los ganadores de nuestra elección de editores en esta categoría, Microsoft Azure Active Directory (AD), Okta Identity Management y, más recientemente, Centrify.

Configuración y configuración

Desde nuestra última revisión, encontramos que el cliente de sincronización AD de LastPass ha mejorado mucho. Aunque en el momento de escribir este artículo, el agente de software solo tiene una designación beta, LastPass está animando a los usuarios a comenzar a usarlo en la producción de inmediato. Esto se debe principalmente a que ahora ofrece cosas como el manejo adecuado de las membresías de grupos anidados, cuya falta fue un serio inconveniente en la versión anterior. Al igual que gran parte de su competencia, incluidos todos los ganadores de Elección de los editores, así como Bitium, LastPass utiliza el cliente de sincronización para importar usuarios y grupos de seguridad a su cuenta de LastPass Enterprise. La instalación del cliente de sincronización es bastante sencilla, y una vez que se haya completado, puede comenzar a configurar Active Directory.

Otra opción que LastPass Enterprise ofrece como alternativa a su cliente de sincronización AD es una instalación de su software cliente estándar, configurado para integrarse con el proceso normal de inicio de sesión de Windows. En este caso, las computadoras individuales se comunicarán con su cuenta de LastPass Enterprise para realizar creaciones de cuenta cuando un usuario inicie sesión en su computadora. La clara desventaja de este método es que los grupos de seguridad no están sincronizados con LastPass Enterprise, lo que requiere la administración manual de grupos dentro del servicio. Si bien este método no es óptimo, ofrece una alternativa a un agente basado en AD y es una oferta única en el espacio IDaaS.

Integración de directorio

El cliente de sincronización de AD ofrece una serie de opciones de configuración que incluyen la capacidad de apuntar a un controlador de dominio desde otro host. También incluye opciones de directorio como el Nombre distinguido base (DN) para usar, así como varias opciones de tipo de política, como cómo manejar cuentas deshabilitadas o cambios de membresía de grupo. LastPass Enterprise sincroniza los usuarios y los grupos de seguridad de AD, lo que permite que las asignaciones de aplicaciones y las políticas de seguridad se apliquen en cualquier nivel. Desde la perspectiva del administrador, tiene cierto control sobre lo que sucede cuando los usuarios se agregan a grupos sincronizados (o se eliminan). Las opciones incluyen enviar una invitación al usuario o simplemente habilitar su cuenta, o en el caso de eliminación, simplemente suspender o eliminar completamente la cuenta de LastPass.

En general, LastPass Enterprise no ofrece el mismo nivel de sofisticación que los otros competidores que revisé en términos de administrar qué atributos están sincronizados desde su directorio existente, y eso no ha cambiado en los dos años desde que revisé por primera vez el producto. El cliente de sincronización de AD ahora ofrece la capacidad de habilitar atributos personalizados, pero implica proporcionar una lista de valores separados por comas, y no ofrece una forma gráfica de seleccionar qué atributos desea sincronizar. Tampoco hay forma de ver qué atributos ya están seleccionados. LastPass Enterprise necesitará intensificar las cosas en sus opciones de conectividad de AD si quieren ser un jugador serio en este campo.

La falta de características que satisfagan las necesidades de las grandes empresas seguirá siendo un tema a lo largo de esta revisión. Por ejemplo, las grandes empresas a veces tienen múltiples dominios de Active Directory, o incluso otros tipos de directorios. Solo algunos de los IDM que hemos revisado manejan esto bien, especialmente Okta y IdM óptimo, aunque la mayoría al menos ofrecen la capacidad de conectarse a múltiples fuentes de identidad simultáneamente. Otra limitación para las grandes organizaciones es que LastPass Enterprise no admite ninguna fuente de identidad del consumidor, como Facebook, Google o LinkedIn. Consumer IDM se usa generalmente para proporcionar un fácil acceso a las aplicaciones orientadas al cliente porque permite a los usuarios aprovechar sus credenciales de cuenta de redes sociales existentes cuando se autentican en su aplicación o servicio. En ambos casos, se trata de deficiencias que solo sentirán las empresas con necesidades específicas, pero son características que los pesos pesados ​​de la categoría hacen bien en manejar.

El aprovisionamiento automatizado de usuarios en aplicaciones SaaS es compatible con LastPass Enterprise, pero el número de servicios admitidos supera los diez, lo que es anémico en comparación con el número que se encuentra en Okta Identity Management, ganador de Editors 'Choice. Encontrará soporte para algunas aplicaciones populares en la nube, como SalesForce, Google G Suite, Jira Service Desk y Zendesk, pero curiosamente, los productos básicos de pequeñas empresas Office 365 y DropBox están notablemente ausentes. Para las empresas que tienen la intención de implementar el inicio de sesión único (SSO) para optimizar el aprovisionamiento y la seguridad de las aplicaciones SaaS en toda su empresa, esta falta de soporte de aprovisionamiento directo podría ser un factor decisivo.

Inicio de sesión único

Fácilmente una de las mayores áreas de mejora desde nuestra última ronda con LastPass Enterprise es el portal SSO. En nuestra revisión anterior, notamos que la vista de árbol que básicamente comprendía el portal de SSO era torpe y nada intuitiva para los usuarios. Ahora el portal se ha convertido en un espejo del que está en la versión para el consumidor de LastPass, que es limpio y eficiente. Sin embargo, eso no quiere decir que el portal esté completamente a la par con los pesos pesados. Por un lado, faltan algunas características, como la marca personalizada, pero en nuestra opinión es una prioridad baja en comparación con la seguridad y la usabilidad del servicio.

LastPass ofrece una serie de herramientas de software orientadas al cliente además del portal SSO basado en navegador. Los complementos del navegador son los más obvios, ya que proporcionan indicaciones para usar o agregar credenciales guardadas. LastPass también ofrece integración con el escritorio de Windows, incluida la posibilidad de autenticarse en aplicaciones como un cliente VPN o una sesión de acceso remoto. Los administradores empresariales tienen la capacidad de personalizar un instalador que se puede usar para enviar el software apropiado a las estaciones de trabajo del cliente utilizando una variedad de métodos diferentes.

Asignar aplicaciones a los usuarios es similar a lo que encontrará en otros sistemas de gestión de identidad. Deberá configurar la conexión SAML a una aplicación SaaS, generalmente en LastPass Enterprise y luego en el lado de la aplicación o servicio. Eso implica definir qué grupos deberían tener acceso al servicio. Además, hay un elemento de menú en Opciones avanzadas que le permite enviar sitios a los usuarios y esos sitios luego llenarán la bóveda LastPass del usuario. Las actualizaciones del sitio se pueden configurar como persistentes, lo que da como resultado que los nuevos miembros del grupo reciban automáticamente la asignación de la aplicación.

Una capacidad adicional que LastPass ofrece en su servicio orientado al consumidor que ahora también está disponible en LastPass Enterprise son las carpetas compartidas. Las carpetas compartidas funcionan de manera diferente que simplemente enviar sitios a los usuarios. Por ejemplo, cualquier usuario puede crear una carpeta compartida, y las carpetas se pueden compartir con usuarios individuales o con un grupo de AD. Los nuevos miembros del grupo también obtendrán acceso a la carpeta compartida cuando se agreguen al grupo. Del mismo modo que cualquier usuario puede crear carpetas compartidas, cualquier usuario también puede administrarlas o administrarlas. Se pueden asignar varios niveles de permisos para regular quién puede agregar elementos a una carpeta o quién puede administrar los permisos para otros usuarios. Esta es una solución ideal para la administración delegada de aplicaciones no críticas que no requieren el mismo nivel de seguridad o control a nivel empresarial.

Dos puntos fuertes que LastPass Enterprise tiene sobre la mayoría de la competencia implican la seguridad. La autenticación multifactorial (MFA) es una característica clave del espacio SSO, pero generalmente solo se ofrece en niveles de mayor precio en productos de la competencia. Además, LastPass Enterprise admite una amplia gama de proveedores multifactoriales, incluidos Duo Security, Google Authenticator, LastPass Sesame, RSA SecurID, Toopher, YubiKey y muchos más. Una de las nuevas incorporaciones es LastPass Authenticator, que tiene el beneficio adicional de enviar notificaciones push a su dispositivo móvil, que luego le solicitan que confirme la autenticación. Quizás la mejor parte de las opciones de MFA es que los administradores tienen mucha flexibilidad para asignarla. Pueden requerir MFA en toda la organización o para un conjunto específico de usuarios o simplemente permitir que los usuarios habiliten MFA si desean la protección adicional.

La segunda gran ventaja que tiene LastPass Enterprise es una amplia gama de perfiles de seguridad que se pueden aplicar a usuarios individuales o grupos. Las políticas de seguridad pueden administrar todo, desde requisitos multifactoriales, bloqueo de uso desde nodos de salida TOR u otros rangos de direcciones IP, y requisitos de complejidad de contraseña. Las políticas individuales generalmente consisten en una casilla de verificación o un campo de texto, así como la opción de limitar el alcance de la política a usuarios o grupos específicos. No me quejaría si la interfaz utilizada para administrar estas políticas se renovara un poco, pero la cantidad de control que puede obtener sobre la autenticación usando estas políticas es muy buena en comparación con la competencia de LastPass, solo superada por opciones como la capacidad de Azure AD para ofrecer funcionalidad de aprendizaje automático (ML).

Otra ventaja que LastPass Enterprise ofrece a los usuarios es una bóveda de contraseñas personales. Mientras que otras opciones de IDaaS permiten a los usuarios almacenar información de la cuenta para cuentas personales en su panel de SSO, LastPass Enterprise es el único competidor que es competitivo en el ámbito del depósito de contraseñas personales. Los usuarios existentes de LastPass Enterprise pueden incluso vincular su cuenta personal de LastPass con su bóveda corporativa.

Informes débiles

El aspecto más débil de LastPass Enterprise puede ser su herramienta de informes. Poco más que un registro de eventos, la función de informes de LastPass Enterprise le permite buscar y ordenar eventos para encontrar una entrada específica o puede exportar la lista a Excel para un análisis más exhaustivo. LastPass también expone sus datos de informes a través de una interfaz de programación de aplicaciones REST (API REST).

Una calidad redentora que LastPass Enterprise ha agregado desde nuestra última revisión es su integración Splunk. Esta característica utiliza un recopilador de eventos HTTP en Splunk Cloud para interactuar con su instancia de LastPass Enterprise, extrayendo eventos e incorporándolos en su solución de registro corporativo. Puede ir un poco más de baja tecnología simplemente configurando notificaciones administrativas de correo electrónico, que es factible para más de 15 tipos de eventos. O puede administrar los límites de notificación (cuántos correos electrónicos se envían durante un período de tiempo) o simplemente ver las notificaciones próximas y pasadas.

Las suscripciones de LastPass Enterprise son anuales en lugar de mensuales, y comienzan en $ 48 por usuario para 100 usuarios o menos. Las empresas con más de 100 usuarios reciben un descuento de $ 8 por usuario (hasta $ 40 por año), y aquellas con más de 1500 usuarios reciben un descuento adicional de $ 10 por usuario por año ($ 30). LastPass también ofrece licencias de sitios para clientes empresariales con una gran cantidad de usuarios, una solución que le permite pagar una tarifa anual fija y también le brinda niveles de seguridad personalizados.

En general, LastPass Enterprise sigue siendo un poco decepcionante en nuestra última revisión en comparación con su competencia, y eso se debe a varios problemas. Primero es su soporte muy limitado para el aprovisionamiento automatizado de usuarios, que consideramos es una característica crítica para las soluciones IDaaS. Además, todavía carece de características clave para la sincronización de AD, incluida la incapacidad de obtener de múltiples directorios, lo cual es un déficit clave. Aún así, muchos de nuestros problemas con LastPass Enterprise como plataforma son generalmente un problema mayor para las empresas más grandes, lo que significa que las pequeñas empresas podrían estar bien utilizando LastPass Enterprise como su IDM de elección. Pero asegúrese de evaluarlo cuidadosamente y asegúrese de que sea adecuado para su organización antes de comprar.