Ping identidad pingone revisión y calificación

Ping Identity PingOne es un actor sólido en el espacio de Identity-Management-as-a-Service (IDaaS). Ofrece múltiples opciones para la autenticación en un entorno de Active Directory (AD) existente, así como soporte para Google Apps u otros directorios de terceros. Donde Ping Identity PingOne no alcanza a la competencia (incluidos los ganadores de Editors 'Choice, Microsoft Azure Active Directory y Okta Identity Management se encuentran en áreas como políticas de autenticación e informes. En estas categorías, Ping Identity PingOne simplemente no ofrece el mismo nivel de sofisticación como la competencia. Sin embargo, a un costo de $ 28 por usuario anualmente, los precios de Ping Identity PingOne son competitivos con el resto del campo de soluciones IDaas. Además, su enfoque en no almacenar datos en la nube será atractivo para algunos.

Configuración y configuración

La configuración inicial y la configuración de Ping Identity PingOne es un proceso de dos pasos. Primero, su cuenta Ping Identity PingOne debe crearse junto con un usuario administrativo para administrar el servicio. En segundo lugar, Ping Identity PingOne debe estar conectado a su directorio corporativo para realizar la autenticación en su servicio de identidad existente. Ping Identity ofrece dos opciones para conectar un entorno AD existente: ADConnect (que no debe confundirse con Azure AD Connect de Microsoft) y PingFederate. ADConnect es una instalación sencilla y requiere muy poca configuración en el lado del directorio. Sin embargo, está limitado a un solo dominio de AD, lo que significa que la mayoría de las organizaciones más grandes deberán optar por PingFederate.

Afortunadamente, la instalación de PingFederate también es sencilla, aunque Java Server Edition es un requisito previo. Una queja que tengo es que la utilidad de configuración PingFederate simplemente afirma que la variable de entorno JAVA_HOME debe apuntar a un tiempo de ejecución Java válido, sin mencionar el requisito para Server Edition. Si bien Ping Identity PingOne explica claramente la necesidad del requisito de Java, idealmente preferiría que la utilidad de configuración incluya todo el software de requisitos previos o, como mínimo, ofrezca una ruta clara para descargar lo que se necesita antes o durante la instalación. Sin embargo, tal como está, deberá localizar, descargar e instalar Java por su cuenta antes de pasar a PingFederate.

Una vez que se instala PingFederate, se inicia la consola de administración basada en web. La consola ofrece el asistente "Conectar a un repositorio de identidad", que debe usar para crear una clave de activación que luego debe ingresarse en PingFederate. Una vez que se ingresa la clave de activación, tenga a mano información básica sobre su entorno AD Active, incluidos nombres distinguidos para una cuenta de servicio y un contenedor de usuario. Una vez hecho esto, su directorio debería estar conectado a Ping Identity PingOne.

Me hubiera gustado ver algunos elementos gráficos en el proceso de conexión del directorio que muestran el árbol de directorios, permitiéndole seleccionar qué contenedores sincronizar, o incluso permitiéndole buscar y buscar objetos de usuario. Ping Identity PingOne debe darse cuenta de que no todos entienden lo que un nombre distinguido es mucho menos su sintaxis adecuada.

Integración de directorio

Identidad de ping PingOne puede integrarse con dominios de AD mediante AD Connect, PingFederate, Google G Suite o un directorio de lenguaje de marcado de aserción de seguridad (SAML) de terceros. Si bien la mayoría de los principales proveedores en el espacio IDaaS, incluidos Okta Identity Management y OneLogin, almacenan usuarios y un subconjunto de sus atributos disponibles, Ping Identity PingOne no almacena copias de sus identidades corporativas. Por el contrario, se conecta a su proveedor de identidad a pedido mediante el uso de uno de los conectores provistos. Debido a esta diferencia arquitectónica fundamental, la mayoría de los profesionales de TI señalarán que es crítico implementar correctamente PingFederate para evitar un solo punto de falla debido a que el servidor PingFederate está fuera de línea.

Para ser justos aquí, sin embargo, la realidad es que la mayoría de la competencia requiere que mantengas una conexión de directorio de todos modos. La única diferencia es que la mayoría de los proveedores simplemente necesitan esto para la autenticación, no para el conjunto completo de atributos del usuario. Para mí, esta diferenciación de arquitectura es exagerada, pero existe una duda legítima entre las corporaciones sobre el mantenimiento de la privacidad mientras se traslada a la nube. Entonces, quizás PingIdentity ha encontrado un buen equilibrio entre evitar la nube por completo y saltar sin pensarlo dos veces.

Hay varias grandes ventajas de usar PingFederate junto con Ping Identity PingOne además del mayor control sobre cómo se exponen sus identidades. Primero está la capacidad de integrarse con tipos de directorio adicionales, incluidos los directorios del Protocolo ligero de acceso a directorios (LDAP). Estrechamente ligada a la funcionalidad basada en estándares está la capacidad de PingFederate de conectarse con múltiples fuentes de identidad y agregarlas juntas. Ping Identity PingOne no ofrece esta capacidad en el nivel de la nube, por lo que PingFederate es su mejor opción para fusionar identidades de múltiples fuentes.

PingFederate ofrece una gran cantidad de opciones de configuración, incluida la capacidad de especificar qué atributos de identidad están expuestos a Ping Identity PingOne. Dado que es probable que los atributos del usuario, como las direcciones de correo electrónico y los nombres, se usen para el inicio de sesión único (SSO) en aplicaciones de software como servicio (SaaS), estos atributos pueden ser cruciales para su implementación. Al seleccionar qué atributos sincronizar se usa una herramienta un poco más gráfica que la configuración de sincronización de directorios, pero está enterrada en la consola de administración PingFederate.

Aprovisionamiento de usuarios

Si bien Ping Identity PingOne no almacena nombres de usuario o sus atributos, sí mantiene una lista de grupos sincronizados desde su directorio. A estos grupos se les pueden asignar aplicaciones que haya configurado para SSO. Los usuarios que sean miembros de estos grupos obtendrán acceso a estas aplicaciones en su base.

En la mayoría de los casos, las cuentas de usuario en las aplicaciones SaaS deberán aprovisionarse manualmente. Un subconjunto limitado de las aplicaciones SaaS disponibles (incluidas Concur y DropBox) admite el aprovisionamiento automatizado de usuarios, aunque esto se debe principalmente a las aplicaciones SaaS para exponer las interfaces de programación de aplicaciones (API) necesarias. De hecho, la aplicación SSO de Microsoft Office 365 listada como "SAML con aprovisionamiento" no hace tal cosa. En cambio, requiere que instale las herramientas de sincronización de directorios de Microsoft, lo que significa que Ping no maneja los aspectos de aprovisionamiento de esa aplicación en particular.

Configuración de aprovisionamiento en Ping Identity PingOne es engorroso en comparación con Okta Identity Management y OneLogin. Dos áreas en las que tengo inquietudes son la forma en que se identifican algunas aplicaciones SaaS y cómo los administradores permiten el aprovisionamiento. La configuración del aprovisionamiento con Google G Suite requiere que elija la aplicación Google Gmail, lo cual es bastante confuso. El aprovisionamiento se habilita a través del asistente de configuración de la aplicación, pero requiere que marque una casilla en la parte inferior de una de las pantallas para ver las opciones para el aprovisionamiento del usuario. El aprovisionamiento es una de las pocas características imprescindibles para las suites IDaaS y el soporte de aprovisionamiento limitado que Ping Identity ofrece PingOne está a solo medio paso de no admitirlo en absoluto.

Tipos de autenticación

Ping Identity PingOne ofrece una autenticación sólida a las aplicaciones que admiten el estándar SAML, así como la capacidad de iniciar sesión en otras aplicaciones SaaS mediante el uso de credenciales almacenadas (al igual que una bóveda de contraseñas). El catálogo de aplicaciones establece claramente qué tipo de autenticación admite cada aplicación. De hecho, algunas aplicaciones admiten ambos tipos de autenticación (en cuyo caso SAML es el método recomendado). La conexión a una aplicación que admite la autenticación SAML generalmente debe configurarse en ambos lados de la conexión, lo que significa que la aplicación SaaS debe tener habilitado el soporte SAML y debe realizarse alguna configuración básica. Identidad de Ping El catálogo de aplicaciones de PingOne incluye información de configuración para cada aplicación SAML, lo que hace que la configuración de este enlace sea bastante sencilla.

Ping Identity PingOne admite una mayor fuerza de autenticación en forma de MFA. MFA se puede aplicar a aplicaciones específicas y grupos de usuarios (o rangos de direcciones IP) mediante el uso de una política de autenticación. Sin embargo, Ping Identity PingOne solo ofrece una política de autenticación única y carece de la capacidad de filtrar tanto por grupo como por dirección IP. Esto hace que Ping Identity PingOne vaya a la zaga de algunos de la competencia, como Okta Identity Management o Azure AD, que al menos le permiten configurar políticas de autenticación por aplicación.

Identidad de Ping La implementación de MFA de PingOne utiliza PingID, una aplicación de teléfono inteligente que realiza el paso de autenticación adicional mediante un proceso de confirmación o una contraseña de un solo uso. Los usuarios también pueden recibir contraseñas de un solo uso a través de SMS o mensajes de voz o con un dispositivo de seguridad USB YubiKey. Si bien esto es útil en un nivel muy básico, Ping Identity PingOne realmente necesita intensificar su juego si quieren ser tomados en serio desde el punto de vista de MFA. Incluso LastPass Enterprise los supera en términos de capacidades MFA.

Inicio de sesión único

SSO es otra área en la que las opciones de arquitectura de PingFederate tienen un impacto. Durante el proceso de autenticación SSO, los usuarios inician sesión en su base Ping Identity PingOne, que los redirige al servicio PingFederate alojado en su red corporativa. Para los usuarios de la red corporativa interna, es probable que esto no sea un problema, pero requerirá una configuración de firewall adicional (puerto 443) para los usuarios que estén fuera.

El panel de SSO orientado al usuario, el dock Ping Identity PingOne, ha mejorado algo desde nuestra última visita. La lista directa de aplicaciones SaaS ha sido reemplazada por una cuadrícula de iconos que también se puede navegar utilizando un menú desplegable en el lado izquierdo. Los administradores pueden habilitar una sección personal del dock donde los usuarios pueden agregar sus propias cuentas SaaS. Ping Identity Las extensiones de navegador PingOne mejoran la experiencia del muelle, proporcionando acceso SSO a las aplicaciones sin tener que regresar al muelle.

El panel de Ping Identity PingOne tiene algunos informes enlatados que muestran estadísticas de inicio de sesión, incluido un mapa global que muestra desde dónde se originan estas autenticaciones. La funcionalidad de informes cubre los conceptos básicos necesarios para comenzar a obtener información sobre las autenticaciones de los usuarios que se procesan a través de Ping Identity PingOne, pero no permite ningún análisis profundo ni datos de resolución de problemas.

Precios y tarifas

Ping Identity PingOne cuesta $ 28 por usuario cada año y MFA cuesta $ 24 adicionales anualmente. Los descuentos por volumen y por paquetes están disponibles en PingIdentity. Para un producto con debilidades claras en comparación con Azure AD, Okta Identity Management y OneLogin, los precios de Ping Identity PingOne son competitivos pero no suficientes como para proporcionar muchos incentivos para elegirlo sobre la competencia.

En general, Ping Identity PingOne hizo algunas elecciones de arquitectura que son fundamentalmente diferentes a las de la competencia y algunas de ellas serán apreciadas por organizaciones con problemas de seguridad o privacidad. Desafortunadamente, la arquitectura no proporciona suficientes beneficios para superar algunas áreas en las que Ping Identity PingOne se queda corto, particularmente la limitación en las políticas de seguridad, los informes básicos y el aprovisionamiento de usuarios más crítico. A menos que la privacidad sea su mayor preocupación y Ping Identity PingOne lo ayude a superar ese obstáculo, no podemos recomendarlo sobre Azure AD, Okta Identity Management o OneLogin. Sin embargo, si se encuentra en una industria que es particularmente sensible a la seguridad de los datos en la nube, Ping Identity PingOne podría ser una opción aceptable para usted.