IT专业人士很可能熟悉LastPass虽然可能不是它的LastPass企业版。代表公司进入商务级身份管理(IDM), LastPass试图利用其极受欢迎的消费者密码库产品的营销浪潮。自我们上次测试以来,LastPass一直为团队和企业提供选择,但最近对企业平台进行了一些重大补充,使其成为中小型企业的入门级IDM产品。为此,该产品引入了目录同步或联合等组件,并使用SAML(安全断言标记语言)对web应用程序进行身份验证。LastPass还在LastPass身份服务层中将企业与LastPass MFA(多因素身份验证)结合在一起,将企业IDM和最好的MFA体验之一结合在一起。
开始
LastPass企业版的设置过程包括先注册试用期,然后再注册所需的服务级别和用户数量。一旦使用试用版或付费服务建立了管理帐户,就可以开始执行与IDM套件相关的各种任务。典型的第一步(后期注册)包括让你的商业用户(或身份)进入LastPass。虽然LastPass支持手动创建和管理用户身份,但大多数客户可能更喜欢利用活动目录中的目录同步,或者其他基于云的IDM,特别是我们的编辑选择之一,例如微软Azure广告或Okta.
LastPass还支持联合,这提供了额外的好处,允许用户使用他们现有的公司凭证进行身份验证,而不必管理一个公司LastPass帐户。联邦登录可以通过Active Directory联邦服务(ADFS)、Azure AD或Okta提供。LastPass企业版的一个缺点是缺乏对LDAP(轻量级目录访问协议)目录的真正支持。LastPass建议LDAP客户考虑他们的REST API,从技术角度来看,REST API并不是特别难,但距离指向点击功能还有很长的路要走,而且确实需要一些基本的开发技巧。
活动目录的LastPass连接器是一个安装在网络上的小型软件代理(LastPass建议您安装在域控制器以外的系统上)。一旦安装了连接器并完成了一些基本配置步骤(LastPass凭证和Active Directory详细信息,例如要同步哪些用户和组,以及包含您希望同步的对象的目录中的位置)。Active Directory连接器还提供了在活动目录帐户发生更改时调优LastPass用户工作流的选项。当用户被纳入LastPass企业账户并获得批准(手动或自动)后,他们会收到一封邀请邮件,允许他们创建自己的LastPass企业账户。
类似的产品
微软Azure活动目录
Okta身份管理
OneLogin
Ping身份
Bitium
集中身份服务
EmpowerID
Identacor
最优IdM
BIO-key PortalGuard
VMware Workspace One Access
简化用户认证
归根结底,IDM解决方案为您的组织带来了两个主要好处,这两个好处最终都归结于安全性。第一个主要好处是使用户到其应用程序的身份验证过程直观而简单,最终鼓励密码复杂性(如果不能完全消除对密码的需求),同时帮助最小化便利贴过载和其他不安全的跟踪密码的方法。
LastPass Enterprise(以及扩展名Identity)以多种方式方便用户对应用程序进行身份验证。首先,也是最简单的一点,LastPass用户可以像在消费者LastPass账户中那样存储和使用他们管理的凭证。用户甚至可以将现有的个人LastPass账户链接到他们的企业账户,这样他们就可以利用存储在任何一个账户中的凭证。其次,管理员可以与特定的用户组创建和共享LastPass凭据,甚至可以设置哪些组可以管理某些凭据的权限。这些方法有一些缺点,因为它们不能像SAML那样带来完全的安全好处(帐户凭据最终仍然可能被LastPass之外的用户或第三方泄露),但这两种方法都比用户在笔记本上保存满帐户凭据的方法进步了一大步。
说到SAML, LastPass企业提供了一个重要的web应用程序集合,其中部分配置了SAML连接,允许用户身份验证,而无需管理单个用户凭据。对用户应用程序启用SAML身份验证是在LastPass和web应用程序中启用连接,填充基本身份验证细节(如url),并导入SSL证书以保护身份验证流量。如果你想要的应用程序由于某些原因没有列在应用程序目录中,比如如果它是内部开发的业务应用程序,LastPass提供了创建自定义应用程序连接的功能。一旦建立了SAML应用程序连接,用户就可以通过将应用程序连接分配给用户、组或角色(可以包含用户和组的组合)来访问应用程序。用户将能够在SSO门户中看到分配给他们的应用程序(与密码库分开)。
保护你的身份
IDM的第二个主要好处是该平台可以为您的业务带来的主要安全好处。大多数支持SAML的IDM平台都带来了一些关键的好处,比如限制用户维护多个帐户的凭据的需要,以及集中身份验证过程以支持增强的策略实施和监视。LastPass为密码库中包含的两个站点以及基于saml的SSO门户中的站点提供了策略。
LastPass Identity与LastPass企业服务层的区别在于包含了LastPass MFA,后者也可以作为一个独立的服务使用。LastPass MFA为LastPass企业提供了MFA支持,但也带来了上下文认证策略:考虑到设备类型、位置和时间等因素。虽然这些政策不像微软的Azure AD、Okta等重量级广告那样复杂,OneLogin,Idaptive,它们都支持由机器学习支持的条件认证策略,与手动管理用户认证或完全没有策略或监督相比,它们是一个巨大的飞跃。
除了web应用程序,LastPass MFA还有一些外围好处。LastPass MFA可以在您的公司内部发挥杠杆作用虚拟专用网(VPN)解决方案,用于工作站登录,或用于通过LDAP或RADIUS进行身份验证的企业应用程序和服务。请注意,MFA支持LDAP,但如前所述,如果不利用REST API,此时不支持同步身份。
LastPass Identity缺少的一个主要特性是与移动设备管理(MDM)套件等VMware AirWatch、MobileIron或微软Intune.MDM集成支持更复杂的身份验证策略,这些策略围绕用于身份验证的设备类型展开。与个人移动设备或公共计算机相比,如果设备是具有始终在线VPN的公司笔记本电脑,则可能有更宽松的身份验证要求。
为小型企业客户定价
LastPass身份认证的月费为每位用户8美元,按年计费。如上文所述,身份层是LastPass企业版和LastPass MFA版的组合,分别为每个用户每月6美元和3美元。虽然这些价格在表面上与其他IDM套件具有竞争力,但当你深入研究功能集时,LastPass真的没有什么优势,特别是与我们的编辑选择获胜者竞争。
但是,作为用户基数较小且IT部门工作量过大的企业的入门级IDM,它可能只是门票,使您能够为用户提供密码库,并通过实现MFA、身份验证策略和SAML逐步改善您的安全状况。
在过去的几年里,LastPass企业版已经有了一些发展,现在已经成为小型企业寻找简单的云认证解决方案的一个真正可行的选择。不过,对安全要求较高的企业可能需要另寻他处。
