Onelogin 검토 및 평가

OneLogin은 기능이 풍부한 신원 관리 서비스를 제공하여 은행을 망치지 않습니다. OneLogin은 무료 버전과 월 사용자 당 8 달러 무제한 등급 사이에 4 가지 가격 등급을 제공합니다. 이 서비스는 여러 보안 정책, 사용자 포털 용 모바일 애플리케이션 및 다중 인증 (MFA) 및 모든 주요 인증 메커니즘을 포함한 모든 주요 ID 관리 기능 상자를 확인합니다. OneLogin은 경쟁에서 찾을 수없는 몇 가지 놀라움을 제공합니다. 그러나 OneLogin의 기능은 편집자 선택 수상자 Okta Identity Management 또는 Microsoft Azure Active Directory (AD)와 일치하지 않았으므로 매핑에 대한 OneLogin의 의존성은 약간 혼란 스럽습니다. 여전히 OneLogin은 최고의 경쟁자로 남아 있으며 대부분의 중소기업 고객에게 잘 서비스를 제공 할 수 있습니다.

설정 및 구성

OneLogin을 시작하고 기존 디렉토리 서비스에 연결하는 것은 상당히 표준적인 것입니다. OneLogin 관리 콘솔에 처음 로그온하면 하위 도메인 만들기, 사용자 가져 오기 및 응용 프로그램 추가를 포함하여 구성 프로세스를 완료하는 데 필요한 초기 단계를 안내하는 설정 마법사가 나타납니다.

OneLogin은 SSL 또는 OneLogin의 커넥터를 통한 Microsoft AD (Active Directory), Google G Suite, Workday 및 LDAP (Lightweight Directory Access Protocol)를 포함한 여러 디렉토리 유형을 지원합니다. AD를 OneLogin에 연결하려면 AD 커넥터를 다운로드하여 설치하고 몇 가지 간단한 구성 단계 (서비스 계정 선택, 포트 번호 구성 및 동기화 할 도메인 선택)를 완료해야합니다. Ping Identity PingOne PingFederate 에이전트와 마찬가지로 OneLogin은 토큰을 사용하여 AD 커넥터를 계정 자격 증명이 아닌 OneLogin에 연결하도록 선택했습니다. 연결되면 AD 커넥터를 구성 할 수 있습니다 (특히 동기화 할 조직 구성 단위 또는 그룹 선택). 로드 밸런싱 및 내결함성을 위해 여러 AD 커넥터를 배포 할 수 있으므로 장애가 발생할 경우 가용성을 유지할 수 있습니다.

다른 경쟁사들과 마찬가지로 OneLogin은 Workday, UltiPro 및 Namely를 포함한 인사 관리 시스템과 같은 다른 ID 소스와 통합하여 회사 ID를 관리하기위한 전체적인 접근 방식으로 나아가고 있습니다. OneLogin의 도구 세트를 사용하면 OneLogin 및 관련 SaaS (Software as a Service) 앱 내에서 ID를 생성 및 관리 할뿐만 아니라 이러한 ID를 Active Directory로 푸시하여 이중 입력을 제한하고 정확성을 향상시킬 수 있습니다.

디렉토리 통합 및 사용자 프로비저닝

디렉터리 통합의 또 다른 주요 측면은 AD에서 가져올 속성을 선택하고 구성하는 것입니다. OneLogin을 사용하면 사용자 지정 필드를 만들고 해당 필드를 채울 AD 특성을 정의 할 수 있습니다. 비즈니스 요구에 따라이 필드는 응용 프로그램 또는 보안 정책 매핑을 구성하는 데 유용 할 수 있습니다. 예를 들어 조직에서 회사 구조에 대한 정보가 포함 된 사용자 지정 특성을 포함하도록 AD 스키마를 확장 한 경우 OneLogin을 사용하면 해당 정보를 쉽게 활용할 수 있습니다.

OneLogin 관리자 콘솔에서 AD 연결의 고급 탭을 사용하면 새 사용자가 OneLogin 사용자로 자동 생성되는지 또는 단순히 준비되는지 여부를 구성 할 수 있으므로 사용자를 만들기 전에 관리자의 개인적인 연락이 필요합니다. 고급 탭 설정을 통해 OneLogin이 AD에서 비활성화되거나 삭제 된 사용자를 처리하는 방법을 구성 할 수도 있습니다.

OneLogin과 경쟁 업체의 주요 차이점 중 하나는 그룹 및 응용 프로그램 할당을 처리하는 방법입니다. 우선 OneLogin은 AD의 보안 그룹을 동기화하지 않습니다. 오히려 그룹은 OneLogin에서 독립적으로 관리됩니다. OneLogin의 그룹은 주로 포함 된 사용자에게 보안 정책을 할당하는 데 사용되고 역할은 응용 프로그램 할당을 처리하는 데 사용됩니다. 사용자를 수동으로 또는 그룹 및 역할에 할당하고 상태를 변경하거나 속성을 즉시 변경하는 조건 및 작업을 사용하여 자동화 도구 인 매핑을 사용하여 OneLogin 그룹에 할당 할 수 있습니다. 매핑은 OneLogin의 핵심 기능으로, 보안 정책 및 응용 프로그램 할당 처리 방식에 유연성과 추가 복잡성을 모두 추가합니다. 나는 그것이 제공하는 개념과 유연성을 좋아하지만, 확실히 혼란스러워한다고 생각합니다. 그룹 동기화와 매핑과 같은 것을 사용하여 정책이나 응용 프로그램을 동적으로 할당하는 기능의 조합을보고 싶었습니다.

사용자를 역할에 할당하도록 일부 매핑을 구성한 후에는 SaaS 애플리케이션에 대한 싱글 사인온 (SSO) 액세스를 구성하고 해당 애플리케이션을 역할에 할당하는 프로세스를 시작할 수 있습니다. OneLogin은 다른 IDaaS 도구와 유사한 응용 프로그램 카탈로그를 제공하며 카탈로그는 각 응용 프로그램에 사용할 수있는 인증 방법을 식별합니다. 호환 가능한 SaaS 애플리케이션에 OneLogin이 제공하는 유용한 기능 중 하나는 SAML (Security Assertion Markup Language) 연결의 양쪽을 부분적으로 자동으로 구성하는 것입니다. 예를 들어 Google G Suite는 OAuth 토큰 교환 후 자동 구성을 지원합니다. OneLogin은 SaaS 사용자 프로비저닝도 지원하지만 IDaaS 솔루션과 마찬가지로 프로비저닝 기능을 수행하기 위해 API (Application Programming Interface)를 제공하는 SaaS 애플리케이션에 의존합니다. 많은 주요 SaaS 애플리케이션은 Google G Suite, Microsoft Office 365, Dropbox 등과 같은 사용자 프로비저닝을 지원하므로 IDaaS 솔루션에서 자동화 된 프로비저닝은 필수 기능입니다.

OneLogin이 제공하는 고급 기능 중 하나는 SAML을 지원하지 않는 SaaS 앱입니다. 사용자 정의 커넥터를 사용하면 OneLogin에서 OneLogin 카탈로그에서 쉽게 사용할 수없는 앱의 로그인 프로세스와 관련된 URL 및 양식 요소를 정의 할 수 있습니다. 사용자 정의 커넥터를 사용하면 양식 조치 또는 이름 및 단추 ID, 유형, 이름 또는 값과 같은 HTML 태그를 사용하여 양식 및 양식 요소를 선택할 수 있습니다. 관리자는 OneLogin 브라우저 확장을 사용하여 사용자 지정 커넥터를 추가 할 수도 있습니다. 그러면 양식 요소 지정자를 캡처하고 사용자 지정 커넥터를 활성화하는 프로세스가 간소화됩니다. 이것이 의미하는 바는 OneLogin이 거의 알려지지 않았거나 사내 사용자 정의 앱에 즉시 연결할 수있는 기성품 방법을 제공한다는 것입니다.

OneLogin을 차별화하는 또 다른 기능은 여러 자체 등록 페이지를 지원하는 기능입니다. 이 페이지를 통해 계정을 요청하는 사용자는 기본적으로 OneLogin에만 저장됩니다. 이 등록 페이지는 AD 환경에 속하지 않지만 특정 비즈니스 응용 프로그램에 일정 수준의 액세스 권한이 필요한 사용자를 등록하는 데 사용할 수 있습니다. 이러한 기능의 사용 사례에는 학생, 인턴 또는 자원 봉사자가 포함됩니다. 자체 등록 페이지를 구성하는 동안 계정을 완전히 프로비저닝하기 전에 관리 작업을 수행해야하는지 여부와 새 사용자를위한 기본 역할 및 그룹을 정의 할 수 있습니다.

싱글 사인온 및 모바일 앱

관리자는 색상 변경, 그래픽 및 사용자 정의 도움말 내용을 포함하여 OneLogin 사용자 포털에서 많은 사용자 정의를 수행 할 수 있습니다. 또한 사용자는 응용 프로그램이 새 창 또는 같은 창에서 시작되는 방식과 탭보기를 사용해야하는지 여부를 결정하여 포털 환경을 사용자 정의 할 수 있습니다. 또한 사용자 포털에 보안 메모를 저장하고 사용하기 위해 인증 장치를 MFA (다단계 인증)와 연결할 수 있습니다. OneLogin에는 모바일 버전의 사용자 포털 인 OneLogin Launcher와 일회용 암호를 사용하는 다중 요소 옵션 인 OneLogin OTP의 두 가지 모바일 애플리케이션이 있습니다. 응용 프로그램에서 생성 된 개별 장치 및 연속 일회용 암호를 식별하는 자격 증명 ID를 입력하여 OneLogin OTP를 OneLogin 계정과 페어링 할 수 있습니다.

OneLogin은 두 가지 유형의 보안 정책, 즉 사용자 및 응용 프로그램 정책을 지원합니다. 응용 프로그램 정책을 사용하여 OTP (일회성 암호) 확인을 요구하거나 개별 응용 프로그램에 대한 IP 주소 제한을 적용하여 사용자 네트워크 위치 (예: 회사 네트워크 안팎)를 기반으로 정책을 선택적으로 적용 할 수 있습니다. 사용자에게 적용된 보안 정책을 사용하여 암호 복잡성을 강화하고 기능 및 세션 정보 (잠금 동작 및 세션 시간 초과 포함)를 업데이트 할 수 있습니다. 보안 정책을 사용하여 다중 요소 요구 사항 및 IP 주소 제한을 시행 할 수도 있습니다.

사용자 정책을 사용하여 소셜 로그인을 활성화하면 사용자가 Google, Facebook, LinkedIn 또는 Twitter에있을 수있는 기존 자격 증명을 사용하여 OneLogin 환경에 인증 할 수 있습니다. 이 자격 증명을 사용하여 비즈니스 파트너 또는 고객에게 SaaS 도구 또는 내부 회사 앱에 대한 액세스 권한을 제공 할 수 있습니다.

OneLogin의 적응 인증은 Microsoft Azure AD 및 Centrify가 제공하는 기능과 동등한 머신 러닝 기반 솔루션입니다. 특정 앱 또는 리소스에 위험 값을 할당 한 다음 리소스의 위험 점수에 보안 강화가 필요한 것으로 표시되는 경우 MFA와 같은 추가 단계를 권장하여 보안을 강화하도록 설계되었습니다.

훌륭한보고

OneLogin에서 제공하는 보고서 엔진은 서비스의 또 다른 특징입니다. 미리 준비된 여러 보고서를 사용할 수 있으며 보고서를 복제하고 필요에 따라 사용자 지정할 수 있습니다. 원하는 필드와 필터를 추가하여 처음부터 새 보고서를 만들 수도 있습니다. 열로 그룹화되도록 보고서를 구성 할 수도 있습니다. 안타깝게도 보고서를 예약 할 수있는 방법은 없지만 추가 분석을 위해 결과 집합을 CSV 파일로 내보낼 수 있습니다. 보고서를 복제하고 사용자 지정할 수있는 기능은 IDaaS 공간에서 드문 경우이며 Okta Identity Management 또는 Azure AD와 같은 다른 최상위 솔루션에서는 제공되지 않습니다.

OneLogin은 이벤트 브로드 캐스터를 통해 Splunk 또는 Sumo Logic과 같은 SEIM (Security Event Manager) 솔루션을 지원합니다. 이들은 JSON (JavaScript Object Notation) 페이로드를 URL로 전송하여 데이터를 사용하도록 구성됩니다. 또한 OneLogin이 매우 쉽게 설정 한 프로세스 인 조건 작업 엔진을 사용하여 전자 메일 알림을 구성 할 수 있습니다.

OneLogin의 가격 구조는 대부분의 시장과 같은 구장에 있지만 OneLogin은 사용자를 3 개의 회사 앱, 5 개의 개인 앱으로 제한하고 MFA를 제공하지 않는 프리 티어를 제공합니다. 월 $ 2의 스타터 티어는 MFA를 추가하고 무제한의 SaaS 애플리케이션에 SSO를 처리 할 수 ​​있습니다. 스타터 계층은 OneLogin 및 디렉토리 비밀번호 모두에 대한 비밀번호 재설정 기능을 제공하는 기능도 제공합니다. 더 많은 보안을 원하는 기업은 엔터프라이즈 서비스 수준을 위해 한 달에 사용자 당 $ 4를 모아야합니다.이 서비스는 보안 정책을 제공하고 여러 디렉토리에서의 동기화도 지원합니다. 사용자 정의 가능한 필드뿐만 아니라 SaaS 애플리케이션의 자동 사용자 프로비저닝에는 매월 사용자 당 $ 8의 최상위 무제한 계층이 필요합니다.

기본 가격 계층 외에도 OneLogin은 소수의 추가 기능을 제공합니다. 가상 LDAP (월 사용자 당 $ 2)를 사용하면 OneLogin 디렉토리가 표준 LDAP 디렉토리처럼 작동 할 수 있습니다. 따라서 오랜 LDAP 표준을 활용하기로 결정한 수많은 앱과 서비스에 액세스 할 수 있습니다. 머신 러닝 및 인증에 대한 위험 기반 제어를 제공하는 적응 형 인증 기능은 한 달에 사용자 당 3 달러의 추가 비용이 발생합니다.

OneLogin이 최근 심각한 보안 사고를 당했다고 언급합니다. 회사 보안을 강화하는 데 사용되는 도구에는 보안이 가장 중요하지만 이러한 종류의 위반이 미치는 영향을 판단하기는 어렵습니다. 많은 기업들이 최근의 실적으로 인해 OneLogin을 피할 가능성이 높지만 다른 회사는 이벤트 자체가 아니라 사건에 대한 OneLogin의 반응에 더 집중할 것입니다. 나는 개인적으로 후자의 범주에 속하는 경향이 있으며 OneLogin은 프로세스 전반에 걸쳐 사용자 기반과 의사 소통을했으며 보안 제어 및 정책을 강화하기 위해 클라우드 서비스 제공 업체 및 일부 고객과 관련 전문 지식을 보유하고 있습니다. 앞으로 이러한 상황이 발생하지 않도록하십시오.

OneLogin의 매핑 사용을 과소 평가해서는 안됩니다. SaaS 및 IDaaS의 판매 포인트가 효율성이라면 경쟁에서는 사용할 수없는 자동화 기능을 제공하여 매핑을 한 단계 끌어 올립니다. 즉, 매핑에 대한 의존성과 OneLogin이 보안 그룹을 동기화하지 않는다는 사실에 약간 벗어났습니다. 실제로 수천 그룹의 대규모 조직에게는 이점이 될 수 있습니다. 그러나 OneLogin은 SaaS 애플리케이션 프로비저닝, 디렉토리 통합 및 SSO 포털과 같은 주요 영역에서 다른 IDaaS 솔루션과 잘 어울립니다. 그러나 보안 그룹이 누락되면 OneLogin은 Okta Identity Management를 부끄럽게 여기고 이번 라운드에서 IDaaS 최고 자리에 올랐습니다.