Revisión y calificación de Onelogin

OneLogin ofrece un servicio de gestión de identidad rico en funciones que no arruinará el banco. OneLogin ofrece cuatro niveles de precios entre su versión gratuita y su nivel ilimitado de $ 8 por usuario por mes. El servicio verifica todos los cuadros principales de funciones de administración de identidad, incluidas múltiples políticas de seguridad, aplicaciones móviles para el portal de usuario y autenticación multifactor (MFA), así como todos los mecanismos de autenticación clave. OneLogin incluso ofrece un par de sorpresas que no encontrarás entre la competencia. Pero, aunque está en la parte superior de nuestra lista, las características de OneLogin no coincidían con los ganadores de Editors 'Choice Okta Identity Management o Microsoft Azure Active Directory (AD), y la dependencia de OneLogin en las asignaciones será un poco confusa para algunos. Aún así, OneLogin sigue siendo uno de los principales competidores y puede servir a la mayoría de los clientes de pequeñas y medianas empresas (SMB).

Configuración y configuración

Comenzar con OneLogin y conectarlo a su servicio de directorio existente es algo bastante estándar. Al iniciar sesión en la consola de administración de OneLogin por primera vez, recibirá un asistente de configuración que lo guiará a través de los pasos iniciales necesarios para completar el proceso de configuración, incluida la creación de su subdominio, la importación de usuarios y la adición de aplicaciones.

OneLogin admite varios tipos de directorio, incluidos Microsoft Active Directory (AD), Google G Suite, Workday y Lightweight Directory Access Protocol (LDAP) a través de SSL o el conector de OneLogin. Conectar AD a OneLogin implica descargar e instalar su conector AD y completar unos simples pasos de configuración (seleccionar una cuenta de servicio, configurar un número de puerto y seleccionar el dominio para sincronizar). Al igual que el agente Ping Identity PingOne PingFederate, OneLogin optó por usar un token para asociar el conector AD a OneLogin en lugar de las credenciales de su cuenta. Una vez que se realiza la asociación, puede configurar el conector AD (en particular, seleccionando qué unidades organizativas o grupos para sincronizar). Para fines de equilibrio de carga y tolerancia a fallas, se pueden implementar múltiples conectores AD para que pueda mantener la disponibilidad en caso de que uno falle.

Al igual que varios de sus competidores, OneLogin se está moviendo hacia un enfoque holístico para administrar las identidades corporativas al integrarse con otras fuentes de identidad como los sistemas de gestión de recursos humanos (RR. HH.), Incluidos Workday, UltiPro y Namely. Con el conjunto de herramientas de OneLogin, no solo crea y administra identidades dentro de OneLogin y cualquier aplicación de software como servicio asociado (SaaS), sino que puede insertar esas identidades en Active Directory, lo que limita la entrada doble y mejora la precisión.

Integración de directorios y aprovisionamiento de usuarios

Otro aspecto clave de la integración de directorios es elegir qué atributos importará de AD, así como configurarlos. OneLogin le permite crear campos personalizados y definir qué atributo AD rellenará esos campos. Dependiendo de las necesidades de su negocio, estos campos podrían ser útiles para configurar las asignaciones de políticas de seguridad o aplicaciones. Por ejemplo, si su organización ha extendido su esquema AD para incluir atributos personalizados que contienen información sobre la estructura de su empresa, OneLogin facilita el aprovechamiento de esa información.

La pestaña Avanzado de la conexión AD en la consola del administrador de OneLogin le permite configurar si los nuevos usuarios se crean automáticamente como usuarios de OneLogin o si simplemente se organizan, lo que requiere un toque personal de un administrador antes de que se cree un usuario. La configuración de la pestaña Avanzado también le permite configurar cómo OneLogin maneja a los usuarios deshabilitados o eliminados en AD.

Una diferencia clave entre OneLogin y la mayoría de la competencia es cómo maneja los grupos y las asignaciones de aplicaciones. Para empezar, OneLogin no sincroniza grupos de seguridad de AD; más bien, los grupos se administran de forma independiente en OneLogin. Los grupos en OneLogin se usan principalmente para asignar políticas de seguridad a los usuarios que contienen, mientras que los roles se usan para manejar la asignación de aplicaciones. Los usuarios pueden asignarse a grupos de OneLogin de forma manual o mediante Mappings, una herramienta de automatización que utiliza condiciones y acciones para administrar usuarios (asignándolos a grupos o roles e incluso cambiando su estado o alterando los atributos sobre la marcha). Las asignaciones son una característica clave en OneLogin, ya que agregan flexibilidad y complejidad adicional a la forma en que se manejan las políticas de seguridad y las asignaciones de aplicaciones. Si bien me gusta el concepto y la flexibilidad que brinda, creo que ciertamente confunde las cosas. Me hubiera encantado haber visto una combinación de sincronización grupal y la capacidad de asignar dinámicamente políticas o aplicaciones usando algo como mapeos.

Una vez que haya configurado algunas asignaciones para asignar usuarios a roles, puede comenzar el proceso de configurar el acceso de inicio de sesión único (SSO) a las aplicaciones SaaS y asignar esas aplicaciones a roles. OneLogin ofrece un catálogo de aplicaciones similar a otras herramientas IDaaS, y el catálogo identifica qué métodos de autenticación están disponibles para cada aplicación. Una buena característica que OneLogin ofrece para aplicaciones SaaS compatibles es una configuración parcialmente automática de ambos lados de la conexión del Lenguaje de marcado de aserción de seguridad (SAML). Google G Suite, por ejemplo, admite la configuración automática después de un intercambio de tokens OAuth. OneLogin también admite el aprovisionamiento de usuarios de SaaS pero, como con cualquier solución IDaaS, esto depende de que la aplicación SaaS ofrezca una interfaz de programación de aplicaciones (API) para realizar funciones de aprovisionamiento. Muchas de las aplicaciones SaaS clave son compatibles con el aprovisionamiento de usuarios, como Google G Suite, Microsoft Office 365, Dropbox y, posiblemente, muchas otras, lo que hace que el aprovisionamiento automático sea una característica imprescindible en una solución IDaaS.

Una característica avanzada que ofrece OneLogin incluye aplicaciones SaaS que no ofrecen soporte SAML. Con un conector personalizado, OneLogin le permite definir las URL y los elementos de formulario involucrados en el proceso de inicio de sesión para una aplicación que no está fácilmente disponible en el catálogo de OneLogin. Los conectores personalizados le permiten seleccionar el formulario y los elementos del formulario mediante etiquetas HTML, como la acción del formulario o el nombre y la ID del botón, tipo, nombre o valor. Los administradores también pueden agregar conectores personalizados utilizando la extensión del navegador OneLogin, que simplificará el proceso de capturar los designadores de elementos de formulario y habilitar el conector personalizado. Lo que esto significa es que OneLogin ofrece un método listo para conectarse a aplicaciones personalizadas poco conocidas o incluso internas desde el primer momento.

Otra característica que distingue a OneLogin es su capacidad para admitir múltiples páginas de autorregistro. Los usuarios que solicitan cuentas a través de estas páginas se almacenan solo en OneLogin de forma predeterminada. Estas páginas de registro se pueden usar para inscribir usuarios que no forman parte de su entorno de AD pero que necesitan cierto nivel de acceso a ciertas aplicaciones comerciales. Los casos de uso para estas características incluyen estudiantes, pasantes o voluntarios. Durante la configuración de una página de autorregistro, puede definir si se deben tomar o no medidas administrativas antes de que la cuenta esté completamente aprovisionada, así como un rol y grupo predeterminados para los nuevos usuarios.

Inicio de sesión único y aplicaciones móviles

Los administradores pueden personalizar bastante en el portal de usuarios de OneLogin, incluidos cambios de color, gráficos y contenido de Ayuda personalizado. Los usuarios también pueden personalizar su experiencia en el portal determinando cómo se inician las aplicaciones (ya sea en una nueva ventana o en la misma) y si se debe usar una vista con pestañas. Los usuarios también pueden almacenar notas seguras en su portal de usuario y asociar un dispositivo de autenticación para su uso con la autenticación multifactor (MFA). OneLogin tiene dos aplicaciones móviles: OneLogin Launcher, que es una versión móvil del portal del usuario, y OneLogin OTP, que es una opción multifactor que utiliza contraseñas de un solo uso. Puede emparejar OneLogin OTP con su cuenta de OneLogin ingresando una identificación de credencial que identifica el dispositivo individual y las contraseñas de un solo uso consecutivas generadas por la aplicación.

OneLogin admite dos tipos de políticas de seguridad: políticas de usuario y de aplicación. Las políticas de aplicación se pueden usar para exigir la verificación de contraseña de un solo uso (OTP) o aplicar restricciones de dirección IP para aplicaciones individuales, lo que le permite aplicar políticas selectivamente en función de la ubicación de la red del usuario (como dentro o fuera de la red de la empresa). Las políticas de seguridad aplicadas a los usuarios se pueden usar para imponer la complejidad de la contraseña y actualizar las capacidades y la información de la sesión (incluido el comportamiento de bloqueo y los tiempos de espera de la sesión). Las políticas de seguridad también se pueden usar para aplicar requisitos multifactoriales y restricciones de direcciones IP.

Puede aprovechar las políticas de usuario para habilitar el inicio de sesión social, lo que permite a los usuarios autenticarse en su entorno OneLogin utilizando las credenciales existentes que puedan tener en Google, Facebook, LinkedIn o Twitter. También puede usar estas credenciales para proporcionar a los socios comerciales o clientes acceso a sus herramientas SaaS o aplicaciones corporativas internas.

La autenticación adaptativa de OneLogin es una solución basada en aprendizaje automático que está a la par con las capacidades ofrecidas por Microsoft Azure AD y Centrify. Está diseñado para mejorar la seguridad asignando valores de riesgo a aplicaciones o recursos específicos y luego recomendando pasos adicionales, como MFA, si el puntaje de riesgo del recurso indica que se requiere una mayor seguridad.

Gran informe

El motor de informes ofrecido por OneLogin es otro punto destacado del servicio. Hay varios informes enlatados disponibles, y tiene la capacidad de clonar cualquier informe y personalizarlo según sus necesidades. También puede crear nuevos informes desde cero, agregando los campos y filtros que desee. Los informes pueden incluso configurarse para agruparse en una columna. Lamentablemente, no parece haber ninguna forma de programar informes, pero puede exportar cualquiera de los conjuntos de resultados a un archivo CSV para su posterior análisis. La capacidad de clonar y personalizar informes es una rareza en el espacio IDaaS, algo que ni siquiera ofrecen otras soluciones principales como Okta Identity Management o Azure AD.

OneLogin admite soluciones de administrador de eventos de seguridad (SEIM) como Splunk o Sumo Logic a través de emisoras de eventos. Estos están configurados para enviar cargas útiles de JavaScript Object Notation (JSON) a las URL que, a su vez, están configuradas para consumir los datos. Además, puede configurar las notificaciones por correo electrónico utilizando un motor de acción y condición, un proceso que OneLogin ha facilitado mucho la configuración.

La estructura de precios de OneLogin está en el mismo estadio que la mayoría del mercado, pero OneLogin ofrece un nivel gratuito que limita a los usuarios a tres aplicaciones corporativas, cinco aplicaciones personales y no ofrece MFA. El nivel inicial de $ 2 por mes agrega MFA y puede manejar SSO a un número ilimitado de aplicaciones SaaS. El nivel inicial también ofrece la capacidad de proporcionar la funcionalidad de restablecimiento de contraseña para OneLogin y las contraseñas de directorio. Las empresas que buscan más seguridad deberán pagar $ 4 por usuario por mes para el nivel de servicio Enterprise, que ofrece políticas de seguridad y también admitirá la sincronización desde múltiples directorios. Se requiere el nivel ilimitado de nivel superior a $ 8 por usuario por mes para el aprovisionamiento automático de usuarios en aplicaciones SaaS, así como en campos personalizables.

Además de los niveles de precios básicos, OneLogin ofrece un puñado de complementos. El LDAP virtual ($ 2 por usuario por mes) permite que su directorio OneLogin actúe como un directorio LDAP estándar. Eso lo hace accesible a una multitud de aplicaciones y servicios que han decidido aprovechar el estándar LDAP de larga data. Las características de autenticación adaptativa que ofrecen aprendizaje automático y control basado en el riesgo sobre la autenticación también tienen un costo adicional de $ 3 adicionales por usuario por mes.

Vale la pena mencionar que OneLogin sufrió recientemente un incidente de seguridad significativo. Si bien la seguridad es de suma importancia para una herramienta utilizada para aumentar la seguridad de su empresa, es difícil juzgar el impacto de una violación de este tipo. Es probable que muchas corporaciones eviten OneLogin debido a su historial reciente, mientras que otras se centrarán más en la reacción de OneLogin al incidente, en lugar del evento en sí. Tiendo a caer en la última categoría personalmente, y OneLogin se ha comunicado con su base de usuarios durante todo el proceso, y está trabajando con su proveedor de servicios en la nube e incluso algunos de sus clientes con la experiencia correspondiente para ajustar sus controles y políticas de seguridad a evitar que esta situación ocurra en el futuro.

El uso de los mapas de OneLogin no debe subestimarse. Si un punto de venta de SaaS e IDaaS es la eficiencia, las asignaciones simplemente lo llevan al siguiente nivel al proporcionar capacidades de automatización que no están disponibles en la competencia. Dicho esto, estoy un poco desanimado por su dependencia de las asignaciones y el hecho de que OneLogin no sincroniza los grupos de seguridad, aunque en realidad eso podría ser un beneficio para las grandes organizaciones con miles de grupos. Sin embargo, OneLogin se adapta bien con otras soluciones IDaaS en áreas clave como el aprovisionamiento de aplicaciones SaaS, la integración de directorios y su portal SSO. Pero, para mí, la omisión de los grupos de seguridad deja a OneLogin a la altura de Okta Identity Management para el primer lugar IDaaS en este resumen.