Centrify身份服务(每个用户每月4美元起)是一个强有力的竞争者身份管理(IDM)类别。我们喜欢Centrify的许多功能都需要一些专业技能,但这些功能的可用性对该平台来说是一个巨大的胜利。供应工作流、脚本和自定义报告只是Centrify提供的功能的一部分。在第三方软件即服务(SaaS)应用程序中设置权限是另一个重点领域,它使您能够更好地控制用户可以做什么和不可以做什么。虽然Centrify提供了很多高级功能,但它的某些方面需要一定程度的复杂性,这对于缺乏it技能的小型企业来说是遥不可及的。也就是说,Centrify检查了所有的关键框,使它们与我们的其他编辑选择相同,Microsoft Azure Active Directory(微软Azure版0.50美元)(在新窗口中打开)(广告)和Okta身份管理(Okta每位用户每月$2.00)(在新窗口中打开).
设置和目录集成
因为它是一个SaaS软件包,所以Centrify的安装过程首先是创建一个帐户并将其链接到企业电子邮件帐户,这应该不足为奇。建立Centrify帐户后,您可以使用可下载的Cloud Connector连接到AD。您也可以连接到其他目录,只要它们基于轻量级目录访问协议(LDAP)。这种联系可以通过SSL或TLS,或者您可以简单地在Centrify中维护用户。Google也支持作为用户源,并从人力资源(人力资源)管理应用程序也正在成为一个焦点领域,WorkDay的集成已经可用,更多的供应商也在路上。
Centrify提供的另一个身份验证选项是与第三方提供商连接的能力,包括Okta、微软Azure AD等竞争对手。此功能对于需要验证合作伙伴、合同员工,甚至是合并或接管场景中涉及的人员的公司特别有益。
Centrify的用于AD的云连接器是一个强大的同步代理产品。一旦您安装并将其与您的Centrify帐户连接起来,您就可以启动或停止连接器,管理日志文件,配置代理服务器,并同步它以自动或定时运行。除了维护与AD的连接外,云连接器还用于LDAP连接。半径连接,以及维护web服务器来处理集成Windows身份验证(IWA)和应用程序网关,用于对本地应用程序进行身份验证。
类似的产品
Okta身份管理
LastPass企业
Microsoft Azure Active Directory
OneLogin
Ping身份
Bitium
EmpowerID
Identacor
最优IdM
BIO-key PortalGuard
VMware Workspace One Access
在构建Identity Service时,Centrify做了几个有趣的架构选择,这些选择直接影响到如何将用户填充到Centrify云中并进行身份验证。第一个设计选择是Centrify自动生成默认域。为身份验证目的添加您自己的域必须手动配置,或者在某些情况下从您的目录派生。关于Centrify的第二件事是,来自AD的用户不会自动填充到Centrify用户列表中。相反,添加用户的过程涉及使用CSV文件进行批量导入,或者添加一个单独的步骤,要求单个用户使用其AD凭据登录到Centrify云。
尽管Centrify的体系结构有学习曲线,但用户和组对象都可以从AD中对Centrify可用。用户一旦被添加,就可以在Centrify中进行管理,尽管组仅用于动态地为用户分配角色。这并不一定是对Centrify的抨击,只是与我们所比较的大多数其他IDM选项相比的一个区别。从我的角度来看,唯一真正值得关注的原因是,在用户或组同步之前,Centrify中的一些管理任务是不可能实现的,这使得很难主动配置某些方面。Active Directory用户和组可以在Centrify角色中使用,但前提是用户(或组中的用户)创建了Centrify帐户。
Centrify使用一个名为social Login的特性支持通过各种社交网络进行身份验证。这允许您的用户利用Google、Facebook、LinkedIn和Microsoft Live帐户的凭据,使用开放授权(OAuth)与Centrify进行身份验证。如果有必要,可以为每个服务定制OAuth身份验证过程,以合并您的应用程序ID、应用程序密钥和/或可信重定向uri。一旦使用用户的社会凭证配置了用户,就可以像管理任何其他用户一样管理他们,包括分配角色、应用程序和身份验证策略。
出色的用户配置
Centrify的用户配置功能是迄今为止我们所评测过的IDM播放器中最好的。这有几个原因,尽管对于没有内部开发人员的组织来说,实现一些更高级的功能可能过于复杂。然而,在高水平上,定价是一个优势,各种规模的客户都将欣赏,因为自动配置的应用程序价格为每个用户每月4美元,而Okta和facebook等竞争对手OneLogin(OneLogin免费试用)(在新窗口中打开)开始只在7- 8美元范围内提供此功能。工作流可以作为配置过程的一部分,不过这需要升级到8美元的App+级别。
工作流是Centrify配置工具集的一个强大方面。Centrify允许您在每个应用程序中设置审批级别,这些级别可以包括请求者的经理、特定的Centrify用户或Centrify角色。我对工作流感到奇怪的一件事是,一旦审批过程完成,分配是如何发生的。由于用户和组是通过Centrify角色分配给应用程序的,因此根据角色的配置方式,通过应用程序工作流批准的用户很可能在该过程中获得对其他应用程序的访问权限。Centrify建议将特定于应用程序的角色和用户角色分开维护(例如:salesforce_users和sales_users)作为最佳实践。使用这种方法可以有效地嵌套角色(将一个成员置于另一个成员中),以便有效地管理分配。
Centrify提供的另一个强大功能是能够使用脚本定制行为,并根据您的个人需求对Centrify进行微调。一个例子是修改应用程序的SAML断言的能力,调整默认脚本以完成诸如设置SAML版本、自定义属性处理和自定义过程中使用的各种url之类的事情。显然,任何基于脚本的功能都需要一组高级技能才能使用,但它是一个非常独特的产品,特别是在这个价格点上。
Centrify在SaaS应用程序中自动配置用户帐户的能力在IDM领域相当普遍,但是Centrify有两个可用的工具,与大多数竞争产品相比,这些工具使管理员更容易调整配置过程。第一种方法允许您定义在提供了SaaS应用程序中的用户后应该应用哪些角色。另一个提供了通过自定义脚本管理供应过程的能力,这是相当高端的,因为它需要开发人员级别的技能集,但是在具有大型软件投资组合的大型组织中可能非常有用。
强单点登录
Centrify的单点登录(SSO)功能是该服务的另一个优势,尽管这与Centrify专注于不一定与其他IDM播放器直接竞争的领域有很大关系。其中之一与设备有关,Centrify将其作为一种实际的方法多因素身份验证(MFA)。用户可以将设备关联到他们的帐户,以便使用Centrify应用程序使用他们的移动设备作为第二个身份验证因素来执行SSO。这在Centrify的设计中发挥了作用移动设备管理(MDM)领域,因为安全策略可以由组织推送到关联的设备。
Centrify的一个缺点是,它不支持第三方MFA供应商,除非经过一些限制。多因素支持仅限于移动身份验证应用程序、OATH OTP客户端或对确认电子邮件、短信、电话或安全问题的响应。如果需要额外的MFA选项,则需要使用Centrify使用RADIUS进行身份验证的功能。
另一方面,Centrify已经开始提供一种解决方案,该解决方案使用分析和机器学习来识别异常和潜在危险的身份验证活动。除了提供分析和报告的好处之外,这些数据还可以用于引入基于风险的身份验证策略,达到并包括MFA要求。这些功能绝对是最先进的,只有微软在Azure AD中提供了类似的带有身份保护的功能集。
另一组SSOCentrify提供的功能与您公司网络中的资源有关。虽然传统上大多数IDM提供商的主要关注点都在SaaS应用程序上,但Centrify已经走在了前面,它认识到许多企业拥有内部部署应用程序或服务器,这些应用程序或服务器也是满足其需求的关键。为此,Centrify提供了通过云连接器作为应用程序代理使用Centrify来访问这些资源的能力。此功能使您能够使用SSO访问内部资源,并且不需要额外的防火墙配置或将服务器直接公开到公共Internet。其他供应商也开始提供类似的功能,包括微软的Azure AD应用程序代理,但Centrify将此功能作为其核心产品的一部分,而不是作为附加服务,并且使用单个软件代理。
报告和定价
Centrify报告功能的广度是另一个优势。您不仅可以查看、导出或通过电子邮件发送大量涵盖各种类别的罐装报表,还可以复制现有报表进行自定义或从头创建自己的报表。beplay3体育app手机版许多可用的报告,以及在某些情况下自定义的报告,都提供了基于地图的视图,这些视图显示事件聚集的位置。报表使用结构化查询语言(SQL),可以在自定义报表中修改。有关可用数据库视图和列的信息可在Centrify支持文档中获得。我们希望在报告工具中看到的一个特性是能够按照时间表自动运行报告,但这无论如何都不是一个交易破坏者。
Centrify还提供了许多仪表板,这些仪表板可以让您概述环境的各个方面,包括一些关注安全性、移动设备和用户登录的方面。在每种情况下,仪表板都显示了时间线、饼图、地图和日志事件列表的组合。您还可以在登录时选择仪表板作为默认视图。
我们已经简要介绍了Centrify的定价,特别是每个用户每月4美元的较低定价层的配置功能的可用性。每月4美元的应用程序还支持MFA,这是另一个通常为高级服务级别保留的功能。App+定价级别允许您在配置中使用工作流,以及通过Centrify网关访问本地应用程序的能力,每个用户每月8美元。分析功能,以及基于风险的身份验证策略,每个用户每月需要额外支付3美元。
Social Login可以增加许可结构的复杂性。雇员和承包商的许可费用与标准用户相同,每月4美元。企业对企业(B2B)用例(如合作伙伴和供应商)的许可价格为每个用户每月2美元。对于企业对客户(B2C)场景,例如支持面向客户的应用程序的身份验证,许可成本每年为每位用户1美元,这是非常合理的。
虽然Centrify并没有提供免费的Identity Service版本,但他们有Centrify Express,其中包含了一个免费的Identity Service功能子集。值得注意的限制包括仅对三个SaaS应用程序进行SSO,没有自动配置,也没有MFA。尽管如此,这仍然是一个开始使用Centrify的好方法,对于需求有限的小型企业来说也是一个很好的解决方案。
Centrify涵盖了典型IDaaS功能的基础,包括SSO和用户配置,它们的高级功能确实提高了IDM平台的处理能力。真正使Centrify与众不同的特性是诸如报告和访问位于公司网络中的资源(应用程序和服务器)之类的功能。我们希望看到Centrify支持从AD自动创建用户帐户,至少作为一个可用的选项,以及将工作流方面与应用程序解耦,将它们放在角色级别。综上所述,Centrify很容易跻身于这一类别的顶级竞争者之列,并赢得了“编辑之选”的殊荣。
Centrify提供的功能是竞争对手所没有的,而且还能够完成一些关键功能,比如用户配置、报告、对消费者身份的支持,以及对本地应用程序的轻松访问。
