بينغ هوية pingone مراجعة وتقييم

Ping Identity PingOne هو أداء قوي في مساحة إدارة الهوية كخدمة (IDaaS). يوفر خيارات متعددة للمصادقة مقابل بيئة Active Directory (AD) الحالية بالإضافة إلى دعم تطبيقات Google أو الدلائل الأخرى. حيث Ping Identity PingOne أقل من بعض المسابقات (بما في ذلك الفائزون في اختيار المحررين. Microsoft Azure Active Directory و Okta Identity Management في مجالات مثل سياسات المصادقة وإعداد التقارير. في هذه الفئات ، لا تقدم Ping Identity PingOne بنفس المستوى ومع ذلك ، فإن تكلفة Ping Identity PingOne بتكلفة تبلغ 28 دولارًا لكل مستخدم سنويًا منافسة مع باقي مجال حلول IDaas ، كما أن تركيزه على عدم تخزين البيانات في السحابة سيكون جذابًا للبعض.

الإعداد والتكوين

يعد الإعداد والتكوين الأولي لـ Ping Identity PingOne عملية من خطوتين. أولاً ، يجب إنشاء حساب Ping Identity PingOne مع مستخدم إداري لإدارة الخدمة. ثانياً ، يجب أن تكون Ping Identity PingOne متصلاً بدليل شركتك لإجراء مصادقة مقابل خدمة الهوية الحالية الخاصة بك. يوفر Ping Identity خيارين لتوصيل بيئة AD موجودة: ADConnect (يجب عدم الخلط بينه وبين Microsoft Azure AD Connect) و PingFederate. ADConnect هو تثبيت مباشر ويتطلب القليل جدًا من التكوين على جانب الدليل. ومع ذلك ، فإنه يقتصر على مجال AD واحد ، مما يعني أن معظم المؤسسات الأكبر ستحتاج إلى اختيار PingFederate.

لحسن الحظ ، يعد تثبيت PingFederate واضحًا أيضًا ، على الرغم من أن Java Server Edition هو شرط أساسي. إحدى الشكاوى التي لدي هي أن الأداة المساعدة لإعداد PingFederate تنص ببساطة على أن متغير البيئة JAVA_HOME يجب أن يشير إلى وقت تشغيل Java صالح ، دون ذكر لمتطلبات إصدار الخادم. بينما توضح Ping Identity PingOne بوضوح الحاجة لمتطلبات Java ، إلا أنني أفضل أن تشتمل أداة الإعداد على جميع برامج المتطلبات المسبقة - أو ، على الأقل ، تقديم مسار واضح لتنزيل ما هو مطلوب قبل التثبيت أو أثناءه. ومع ذلك ، ستحتاج إلى تحديد موقع Java وتنزيله وتثبيته بنفسك قبل الانتقال إلى PingFederate.

بمجرد تثبيت PingFederate ، يتم تشغيل وحدة التحكم الإدارية المستندة إلى الويب. توفر وحدة التحكم معالج "الاتصال بمستودع الهوية" ، الذي تحتاج إلى استخدامه لإنشاء مفتاح تنشيط يجب إدخاله بعد ذلك في PingFederate. بمجرد إدخال مفتاح التنشيط ، يكون لديك بعض المعلومات الأساسية حول بيئة AD النشطة الخاصة بك ، بما في ذلك أشياء مثل الأسماء المميزة لحساب الخدمة وحاوية المستخدم. بمجرد الانتهاء من ذلك ، يجب أن يكون دليلك متصلاً بـ Ping Identity PingOne.

كنت أرغب في رؤية بعض العناصر الرسومية في عملية اتصال الدليل تُظهر شجرة الدليل ، مما يتيح لك تحديد الحاويات التي ستتم مزامنتها ، أو حتى تتيح لك البحث عن كائنات المستخدم وتصفحها. يجب أن تدرك PingOne أنه لا يفهم كل شخص ما الاسم المميز أقل بكثير من بناء الجملة الصحيح.

تكامل الدليل

يمكن أن تتكامل PingOne مع نطاقات AD باستخدام إما اتصال AD أو PingFederate أو Google G Suite أو دليل لغة توصيف الأمان التابع لجهة خارجية (SAML). على الرغم من أن معظم البائعين في مساحة IDaaS ، بما في ذلك Okta Identity Management و OneLogin ، يقومون بتخزين المستخدمين ومجموعة فرعية من السمات المتاحة لهم ، فإن Ping Identity PingOne لا يخزن نسخًا من هويات شركتك. بدلاً من ذلك ، يتصل بموفر هويتك عند الطلب باستخدام أحد الموصلات المتوفرة. نظرًا لهذا الاختلاف المعماري الأساسي ، سيشير معظم محترفي تكنولوجيا المعلومات إلى أنه من الأهمية بمكان تنفيذ PingFederate بشكل صحيح لمنع حدوث نقطة واحدة من الفشل بسبب عدم اتصال خادم PingFederate.

لكي نكون منصفين هنا ، ومع ذلك ، فإن الواقع هو أن معظم المنافسة تتطلب منك الحفاظ على اتصال الدليل على أي حال. الفرق الوحيد هو أن معظم مقدمي الخدمة يحتاجون ببساطة إلى المصادقة ، وليس للمجموعة الكاملة من سمات المستخدم. بالنسبة لي ، هذا التمايز في الهندسة المعمارية مبالغة ، لكن هناك ترددًا مشروعًا بين الشركات حول الحفاظ على الخصوصية أثناء الانتقال إلى السحابة. لذلك ، ربما وجد PingIdentity توازنًا جيدًا بين تجنب السحابة تمامًا والقفز دون تفكير ثانٍ.

هناك العديد من المزايا الكبيرة لاستخدام PingFederate إلى جانب Ping Identity PingOne بالإضافة إلى التحكم المتزايد في كيفية تعريض هوياتك. الأول هو القدرة على التكامل مع أنواع الدليل الإضافية ، بما في ذلك أدلة بروتوكول الوصول لتغيير بيانات الدليل (LDAP). ترتبط ارتباطًا وثيقًا بالوظائف المستندة إلى المعايير بقدرة PingFederate على الاتصال بمصادر هوية متعددة وتجميعها معًا. Ping Identity لا تقدم PingOne هذه القدرة على مستوى السحابة ، لذلك PingFederate هو أفضل رهان لدمج الهويات من مصادر متعددة.

يوفر PingFederate ثروة من خيارات التكوين ، بما في ذلك القدرة على تحديد سمات الهوية التي يتعرض لها Ping Identity PingOne. نظرًا لأن من المحتمل استخدام سمات المستخدم مثل عناوين البريد الإلكتروني والأسماء لتطبيقات تسجيل الدخول الأحادي (SSO) لتطبيقات البرامج كخدمة (SaaS) ، فقد تكون هذه السمات مهمة للتنفيذ. يؤدي تحديد السمات المراد مزامنتها إلى استخدام أداة رسومية أكثر قليلاً من تكوين مزامنة الدليل ولكنها مدفونة في عمق وحدة تحكم إدارة PingFederate.

توفير المستخدم

على الرغم من أن Ping Identity PingOne لا يخزن أسماء المستخدمين أو سماتهم ، إلا أنه يحتفظ بقائمة من المجموعات التي تمت مزامنتها من دليلك. يمكن تعيين هذه المجموعات للتطبيقات التي قمت بتكوينها لـ SSO. سيتمكن المستخدمون الذين لديهم عضوية في هذه المجموعات من الوصول إلى هذه التطبيقات في قفص الاتهام.

في معظم الحالات ، يجب توفير حسابات المستخدمين في تطبيقات SaaS يدويًا. تدعم مجموعة فرعية محدودة من تطبيقات SaaS المتاحة (بما في ذلك Concur و DropBox) توفير المستخدم الآلي ، على الرغم من أن هذا إلى حد كبير على تطبيقات SaaS لفضح واجهات برمجة التطبيقات الضرورية (API). في الواقع ، فإن تطبيق Microsoft Office 365 SSO المدرج باسم "SAML مع التزويد" لا يفعل شيئًا من هذا القبيل. بدلاً من ذلك ، يتطلب منك تثبيت أدوات مزامنة دليل Microsoft ، مما يعني أنه لا يتم التعامل مع جوانب توفير ذلك التطبيق المعين بواسطة Ping على الإطلاق.

توفير التهيئة في Ping Identity PingOne مرهق مقارنة بكل من Okta Identity Management و OneLogin. هناك مجالان لديهما مخاوف هما الطريقة التي يتم بها تحديد بعض تطبيقات SaaS وكيفية تمكين المسؤولين من التزويد. تتطلب تهيئة التزويد باستخدام Google G Suite اختيار تطبيق Google Gmail ، وهو أمر مربك إلى حد ما. يتم تمكين التوفير من خلال معالج تكوين التطبيق ، لكنه يتطلب منك تحديد مربع في أسفل إحدى الشاشات لمعرفة خيارات توفير المستخدم. التزويد هو واحد من الميزات القليلة التي يجب توفرها لمجموعات IDaaS والدعم المحدود للتوفير الذي تقدمه Ping Identity PingOne لا يبعد سوى مسافة نصف خطوة عن عدم دعمه على الإطلاق.

أنواع المصادقة

يوفر Ping Identity PingOne مصادقة قوية للتطبيقات التي تدعم معيار SAML بالإضافة إلى القدرة على تسجيل الدخول إلى تطبيقات SaaS الأخرى باستخدام بيانات الاعتماد المخزنة (يشبه إلى حد كبير قبو كلمة المرور). يوضح كتالوج التطبيق بوضوح نوع المصادقة الذي يدعمه كل تطبيق. في الواقع ، تدعم بعض التطبيقات كلا النوعين من المصادقة (في هذه الحالة SAML هي الطريقة الموصى بها). يجب تكوين الاتصال بتطبيق يدعم مصادقة SAML على كلا جانبي الاتصال ، مما يعني أن تطبيق SaaS يجب أن يكون دعم SAML ممكنًا ويجب إنجاز بعض التكوينات الأساسية. يتضمن كتالوج تطبيق Ping Identity PingOne معلومات الإعداد لكل تطبيق SAML ، مما يجعل تكوين هذا الرابط واضحًا إلى حد ما.

Ping Identity PingOne يدعم زيادة قوة المصادقة في شكل MFA. يمكن تطبيق MFA على تطبيقات ومجموعات محددة من المستخدمين (أو نطاقات عناوين IP) باستخدام سياسة المصادقة. ومع ذلك ، فإن Ping Identity PingOne يقدم فقط سياسة مصادقة واحدة ويفتقر إلى القدرة على التصفية حسب المجموعة وعنوان IP. هذا يجعل Ping Identity PingOne متخلفًا عن بعض المنافسة مثل Okta Identity Management أو Azure AD ، وكلاهما يتيحان لك على الأقل تكوين سياسات المصادقة على أساس كل تطبيق.

يستخدم تطبيق Ping Identity في تطبيق PingOne MFA PingID ، وهو تطبيق للهاتف الذكي ينفذ خطوة المصادقة الإضافية إما من خلال عملية تأكيد أو كلمة مرور لمرة واحدة. يمكن للمستخدمين أيضًا استلام كلمات مرور لمرة واحدة من خلال الرسائل القصيرة أو الرسائل الصوتية أو من خلال جهاز أمان YubiKey USB. في حين أن هذه الخدمة قابلة للتطبيق على مستوى أساسي للغاية ، فإن Ping Identity PingOne بحاجة حقًا إلى تكثيف لعبتها إذا كانت تريد أن تؤخذ على محمل الجد من وجهة نظر MFA. حتى LastPass Enterprise تتفوق عليهم بشكل جيد من حيث إمكانيات MFA.

علامة واحدة على

SSO هو مجال آخر يكون لخيارات الهندسة المعمارية لـ PingFederate تأثير. أثناء عملية مصادقة SSO ، يقوم المستخدمون بتسجيل الدخول إلى قاعدة Ping Identity PingOne الخاصة بهم ، والتي تعيد توجيههم إلى خدمة PingFederate المستضافة على شبكة الشركة الخاصة بهم. بالنسبة إلى المستخدمين على شبكة الشركة الداخلية ، من المحتمل ألا تكون هذه مشكلة ، ولكنها ستتطلب بعض التكوين الإضافي لجدار الحماية (المنفذ 443) للمستخدمين من الخارج الذين يبحثون عنهم.

تم تحسين لوحة تحكم خدمة الدخول الموحد التي تواجه المستخدم ، وهي Ping Identity PingOne ، إلى حد ما منذ زيارتنا الأخيرة. تم استبدال القائمة الواضحة لتطبيقات SaaS بشبكة من الرموز التي يمكن تصفحها أيضًا باستخدام قائمة الطيران الموجودة على الجانب الأيسر. يمكن للمسؤولين تمكين قسم شخصي من قفص الاتهام حيث يمكن للمستخدمين إضافة حسابات SaaS الخاصة بهم. Ping Identity تعمل ملحقات مستعرض PingOne على تحسين تجربة الإرساء ، مما يوفر وصول SSO إلى التطبيقات دون الحاجة إلى العودة إلى الإرساء.

تحتوي لوحة معلومات Ping Identity PingOne على بعض التقارير المعلبة التي تعرض إحصائيات تسجيل الدخول بما في ذلك خريطة عامة تظهر من أين تنشأ هذه المصادقة. تغطي وظيفة إعداد التقارير الأساسيات اللازمة لبدء الحصول على معلومات حول مصادقة المستخدم التي تتم معالجتها من خلال Ping Identity PingOne ، ولكنها لا تسمح بإجراء أي تحليل عميق أو استكشاف الأخطاء وإصلاحها.

الأسعار والرسوم

تكلفة Ping Identity تبلغ تكلفة PingOne 28 دولارًا لكل مستخدم سنويًا وتكاليف MFA تبلغ 24 دولارًا إضافيًا سنويًا. تتوفر خصومات الحجم والباقة من PingIdentity. بالنسبة إلى المنتج ذي نقاط الضعف الواضحة مقارنة بـ Azure AD و Okta Identity Management و OneLogin ، فإن أسعار Ping Identity PingOne تنافسية ولكنها ليست كافية لتوفير حافز كبير لاختيارها على المنافسة.

بشكل عام ، اتخذ Ping Identity PingOne بعض خيارات الهندسة المعمارية التي تختلف اختلافًا جوهريًا عن المنافسة وسيتم تقدير بعضها من قبل المنظمات التي لديها مخاوف تتعلق بالأمان أو الخصوصية. لسوء الحظ ، لا توفر البنية فوائد كافية للتغلب على بعض المناطق التي ينقصها Ping Identity PingOne - لا سيما التقييد في سياسات الأمان ، والإبلاغ عن البيانات المجردة ، وتوفير المستخدم بشكل بالغ الأهمية. ما لم تكن الخصوصية مثار قلق كبير بالنسبة لك ، Ping Identity PingOne يساعدك على إزالة هذه العقبة ، لا يمكننا التوصية بها عبر Azure AD أو Okta Identity Management أو OneLogin. ومع ذلك ، إذا كنت تعمل في صناعة حساسة بشكل خاص لسلامة البيانات السحابية ، فقد يكون Ping Identity PingOne خيارًا مقبولًا لك.