灌顶id(每个用户每月1.70美元起)是一个身份管理(IDM)解决方案,它不仅填补了企业活动目录(AD)环境和云应用程序之间的空白,而且还在管理现有身份时补充了AD。这使您能够在提高安全性和遵从性的同时实现效率。然而,它的功能深度增加了复杂性,并且它的现场部署而不是基于云的部署意味着额外的IT工作,因此它在这一类别中仍然是第二位的。Okta身份管理(Okta每位用户每月$2.00)(在新窗口中打开)。
本地设置
我们已经讨论过的大多数IDM工具(包括Windows Azure Active Directory(微软Azure版0.50美元)(在新窗口中打开), Okta身份管理,和OneLogin(OneLogin免费试用)(在新窗口中打开)软件即服务(SaaS)产品。这意味着它们部署在云中,并作为连接到现有AD环境的订阅软件工作。另一方面,灌顶计划部署在现场,也就是你的办公场所,就像挂在你本地公司网络上的另一个服务器一样。这种类型的配置有利有弊,主要是便利性与粒度控制和安全性。大多数大型企业习惯于让应用服务器和数据库在本地运行,并由内部的专业IT人员管理,因为增加的员工成本被他们完全控制IT环境的事实所抵消,但是许多公司,特别是中小型企业(smb),正在转向SaaS解决方案,作为节省资金和提高效率的一种方式,因为他们能够利用提供商的员工专业知识,而不必投资自己。
灌顶的现场设置过程涉及多个学科,应仔细规划。理想情况下,您的公司将与灌顶团队协调您的初始设置,但如果您具备必要的技能,则可以完全在内部完成。一个完整功能的灌顶部署需要防火墙配置、数据库(Microsoft SQL Server)管理、AD连接、SSL证书和一些web服务器配置。
安装灌顶id的先决条件包括单独的服务器来包含数据库和托管应用程序,尽管这些服务器可以是虚拟的而不是物理的。小型组织可以使用一个服务器来处理这两个角色,尽管在生产环境中灌顶id不支持这种配置。Microsoft Windows Server两个服务器都需要,数据库服务器需要SQL server,应用服务器使用Microsoft Internet Information server (IIS) web和应用程序服务平台来托管web应用程序。令我惊讶的一个先决条件是禁用用户帐户控制(UAC)的要求,这是Microsoft Windows中的工具,要求您确认用户权限的提升。这是Windows的一项关键安全功能,现在已经有好几个版本了,所以令人惊讶的是,一个公司表面上关注安全,却没有找到一种方法来处理安装而不强制禁用它。
类似的产品
Okta身份管理
LastPass企业
Microsoft Azure Active Directory
OneLogin
Ping身份
Bitium
集中身份识别服务
Identacor
最优IdM
BIO-key PortalGuard
完全安装基本上分为两步。第一步是从灌云id提供的备份文件执行数据库恢复,创建解决方案所需的数据库对象。第二步是运行灌顶应用程序安装,它会复制必要的文件,并执行一些基本配置,以便web应用程序启动,服务开始与数据库通信。
完成设置例程后,您还需要进行更多的配置。这些步骤包括配置证书和用于发送通知的SMTP服务器。其中一些系统级设置可以使用灌顶设置工具进行配置,而其他设置则需要通过AD管理控制台和灌顶管理控制台进行处理,这是安装在服务器上的Windows应用程序。
强目录集成
当与AD配套使用时,灌顶id可以发挥最大的作用,但也可以与其他类型的目录集成,主要包括使用轻量级目录访问协议(LDAP)的目录和一些在线服务,如Google Apps和Google AppsOffice 365(微软商店每年69.99美元)(在新窗口中打开)。我们之前提到过,但是灌顶不仅仅是一个单点登录(SSO)工具。灌顶id带来了我们在其他身份管理工具中看到的面向saas的特性,比如动态或基于属性的组,到本地目录,允许你在云应用之外的领域获得效率。
灌顶在处理不同系统中的多个帐户方面也做得很好。个人只是被分配了一个“个人记录”,然后可以将其与任何数量的目录或应用程序中的帐户相关联。
用户配置和单点登录
灌顶的一个基本概念是,许多由IT专业人员团队处理的身份管理步骤可以委托给用户的管理链,只要他们使用正确的工具集。灌顶包括一个可定制的工作流系统,允许用户或主管提交帐户管理请求,无论是访问文件服务器还是文件服务器微软SharePoint(Microsoft 365 for Business的每个用户每月5.00美元)(在新窗口中打开)团队站点或SaaS应用程序中的帐户。这种类型的系统允许由组织的管理结构处理大部分帐户管理工作量,而无需系统管理员的干预。这里的权衡是,如果需要对工作流进行定制,组织内的某个人可能需要熟悉灌顶的工作流工具。
与基于云的同类产品一样,灌顶id通过使用安全断言标记语言(SAML)或密码库和浏览器插件的组合为SaaS应用程序提供SSO。然而,在灌顶中配置基于saml的单点登录比在我们已经讨论过的其他IDaaS平台中要复杂得多。首先,要使SAML端点向公共互联网开放,需要经历一个初始设置过程,包括DNS资源记录、防火墙设置和SSL证书配置等。此外,配置单个SaaS应用程序的过程需要更多的跑腿工作,尽管您可以对DNS域和证书强度等事情进行一些额外的控制。
灌顶提供了一个类似于基于云的竞争对手的用户门户,尽管从SSO的角度来看,它没有提供一些与众不同的功能,比如自动登录应用程序或组织的选项卡视图。灌顶用户门户还可以作为接口,用于提出或批准访问请求,以及处理其他与工作流相关的任务。灌顶不提供移动应用程序,但是用户门户针对移动设备进行了优化,因此无需太多努力就可以获得类似的功能。
灌顶以兼容oauth的硬件或软件令牌(如Google Authenticator)、短信一次性密码、安全问题或智能卡的形式支持多因素身份验证(MFA)。虽然肯定不是我们所见过的最全面的MFA支持,但从成本的角度来看,灌顶确实提供了各种合理的选择。
报告和定价
灌顶提供了多种报告方式。用户和管理员都可以使用仪表板,审计日志可以仔细阅读、分析和导出,用于合规性目的或仅仅用于监控,报告库在灌顶web应用程序和管理控制台中都可用。灌顶应用程序甚至输出到Windows事件日志来监控应用程序。最后,拥有适当资源的组织也可以在SQL Server级别挑选数据。
灌顶的内部部署和更全面地关注企业身份管理的结合对定价产生了影响。SSO Manager有标准版(每个用户每年8.25美元或每个用户每月0.69美元)和企业版(每个用户每年19.25美元或每个用户每月1.60美元)。标准定价层提供了大多数公司需要的所有功能,如SAML和多因素身份验证,而企业定价层则为您提供了额外的选项,如RADIUS身份验证和反向代理,这可以使企业网络中的应用程序实现SSO。永久许可证也有两种定价,分别为每用户15美元和35美元,但支持费用每年会增加20%。
当然,灌顶的真正力量远不止于SSO。组和用户管理器是关键功能,它们有自己的一组成本。组管理器的费用是每个用户每年5.50美元,每个用户每月0.46美元,或者每个用户的永久许可费用为10.00美元。用户管理将运行6.60美元的年费,0.55美元的月费,或12.00美元的永久许可证,同样,所有的价格都是按用户计算的。这些模块对于管理来自多个存储库的身份、将它们聚合到动态组中以及分配对资源的访问权至关重要。同样,基于工作流的请求和审批功能也严重依赖于这些附加模块。
SSO标准、组管理器和用户管理器的完整解决方案每年的成本为20.35美元,每月的成本为1.70美元,永久许可证的成本为37.00美元,仍然是“每个用户”。与IDaaS比赛相比,你花70美元就能得到很多好处。当然,需要注意的是,托管这种规模的应用程序需要额外的管理成本。
总的来说,从这次审查中得出的两个关键结论应该是,灌顶是一个管理企业身份的全面工具,作为一个内部部署工具,它需要像任何其他企业服务器一样进行管理和维护。在规划身份管理策略时,需要考虑这种额外的复杂性和随之而来的成本。也就是说,灌顶id在所有方面都获得了很高的分数,尽管我们希望看到对移动应用的更好支持。
灌顶提供了一个全面的身份管理即服务(IDaaS)解决方案,既可以在线管理身份,也可以在现有的企业目录中管理身份,但在初始设置复杂性和持续维护需求方面都有显著增加。
