Ping ID Pingone 검토 및 평가

Ping Identity PingOne은 IDaaS (Identity-Management-as-a-a-Service) 공간에서 확실한 성능을 발휘합니다. 기존의 AD (Active Directory) 환경에 대한 인증과 Google Apps 또는 기타 타사 디렉토리에 대한 여러 옵션을 제공합니다. Ping Identity PingOne이 경쟁 업체에 미치지 못하는 경우 (편집자 선택 수상자 포함 Microsoft Azure Active Directory 및 Okta Identity Management는 인증 정책 및보고와 같은 영역에 있습니다. 이러한 범주에서 Ping Identity PingOne은 동일한 수준을 제공하지 않습니다. Ping Identity PingOne의 가격은 다른 IDaas 솔루션과 경쟁이 치열하며 클라우드에 데이터를 저장하지 않는 데 중점을 두는 것도 매력적일 것입니다.

설정 및 구성

Ping Identity PingOne의 초기 설정 및 구성은 2 단계 프로세스입니다. 먼저 서비스를 관리하려면 관리 사용자와 함께 Ping Identity PingOne 계정을 만들어야합니다. 둘째, 기존 ID 서비스에 대한 인증을 수행하려면 Ping Identity PingOne을 회사 디렉토리에 연결해야합니다. Ping Identity는 기존 AD 환경을 연결하기위한 ADConnect (Microsoft의 Azure AD Connect와 혼동하지 말 것)와 PingFederate의 두 가지 옵션을 제공합니다. ADConnect는 간단한 설치이며 디렉터리 쪽에서 구성이 거의 필요하지 않습니다. 그러나 단일 AD 도메인으로 제한되므로 대부분의 대규모 조직은 PingFederate를 선택해야합니다.

다행히 Java Server Edition이 필수 구성 요소이지만 PingFederate의 설치도 간단합니다. 내가 가진 불만 중 하나는 PingFederate 설정 유틸리티가 단순히 JAVA_HOME 환경 변수가 Server Edition에 대한 요구 사항없이 유효한 Java 런타임을 가리켜 야한다는 것입니다. Ping Identity PingOne은 Java 요구 사항의 필요성을 분명히 밝히는 반면, 모든 필수 소프트웨어를 포함하는 설치 유틸리티를 선호하거나 최소한 설치 전 또는 설치 중에 필요한 것을 다운로드 할 수있는 명확한 경로를 제공하는 것이 좋습니다. 그러나 PingFederate로 이동하기 전에 Java를 찾아 다운로드하고 설치해야합니다.

PingFederate가 설치되면 웹 기반 관리 콘솔이 시작됩니다. 콘솔은 "Identity Repository에 연결"마법사를 제공합니다.이 마법사는 PingFederate에 입력해야하는 활성화 키를 생성하는 데 사용해야합니다. 활성화 키를 입력하면 서비스 계정의 고유 이름 및 사용자 컨테이너와 같은 AD Active 환경에 대한 몇 가지 기본 정보를 준비하십시오. 완료되면 디렉토리가 Ping Identity PingOne에 연결되어 있어야합니다.

디렉토리 연결 프로세스에서 디렉토리 트리를 보여주는 그래픽 요소를 보았을 때 동기화 할 컨테이너를 선택하거나 사용자 객체를 검색하고 탐색 할 수있었습니다. Ping Identity PingOne은 모든 사람이 고유 이름이 올바른 구문보다 훨씬 적은 것을 이해하지는 못한다는 것을 인식해야합니다.

디렉토리 통합

Ping Identity PingOne은 AD Connect, PingFederate, Google G Suite 또는 타사 SAML (Security Assertion Markup Language) 디렉터리를 사용하여 AD 도메인과 통합 할 수 있습니다. Okta Identity Management 및 OneLogin을 포함하여 IDaaS 공간의 대부분의 최고 공급 업체는 사용자 및 사용 가능한 속성의 하위 세트를 저장하지만 Ping Identity PingOne은 회사 ID의 사본을 저장하지 않습니다. 대신, 제공되는 커넥터 중 하나를 사용하여 요청시 아이덴티티 공급자에 연결합니다. 이러한 근본적인 아키텍처 차이로 인해 대부분의 IT 전문가는 PingFederate 서버가 오프라인 상태이므로 단일 장애 지점을 방지하기 위해 PingFederate를 올바르게 구현하는 것이 중요하다고 지적합니다.

그러나 여기서 공평하게하려면 실제로 대부분의 경쟁에서 디렉토리 연결을 유지해야합니다. 유일한 차이점은 대부분의 공급자가 전체 사용자 속성 집합이 아니라 인증을 위해 이것을 필요로한다는 것입니다. 나에게이 아키텍처 차별화는 과도하지만, 기업 간에는 클라우드로 이동하면서 개인 정보를 유지하는 것에 대한 합법적 인 주저가 있습니다. 따라서 PingIdentity는 클라우드를 완전히 피하는 것과 다시 생각하지 않고 뛰어 드는 것 사이의 균형이 좋은 것으로 나타났습니다.

Ping Identity PingOne과 함께 PingFederate를 사용하면 ID 노출 방식에 대한 제어 기능이 향상되는 데 몇 가지 큰 이점이 있습니다. 첫 번째는 LDAP (Lightweight Directory Access Protocol) 디렉토리를 포함하여 추가 디렉토리 유형과 통합 할 수있는 기능입니다. 표준 기반 기능과 밀접한 관련이있는 것은 PingFederate가 여러 ID 소스와 연결하고이를 통합하는 기능입니다. Ping Identity PingOne은 클라우드 수준에서이 기능을 제공하지 않으므로 PingFederate는 여러 소스의 ID를 병합하는 가장 좋은 방법입니다.

PingFederate는 Ping Identity PingOne에 노출되는 ID 속성을 지정하는 기능을 포함하여 다양한 구성 옵션을 제공합니다. 전자 메일 주소 및 이름과 같은 사용자 특성이 싱글 사인온 (SSO)에서 SaaS (Software-as-a-Service) 응용 프로그램에 사용될 수 있으므로 이러한 특성은 구현에 중요 할 수 있습니다. 동기화 할 속성을 선택하면 디렉토리 동기화 구성보다 약간 더 많은 그래픽 도구가 사용되지만 PingFederate 관리 콘솔에 상당히 깊게 묻혀 있습니다.

사용자 프로비저닝

Ping Identity PingOne은 사용자 이름이나 속성을 저장하지 않지만 디렉토리에서 동기화 된 그룹 목록을 유지 관리합니다. 이 그룹에는 SSO에 대해 구성한 앱을 할당 할 수 있습니다. 이 그룹의 멤버십을 보유한 사용자는 자신의 도크에서 이러한 앱에 액세스 할 수 있습니다.

대부분의 경우 SaaS 앱의 사용자 계정은 수동으로 프로비저닝해야합니다. 사용 가능한 SaaS 앱 (Concur 및 DropBox 포함)의 제한된 하위 세트는 자동화 된 사용자 프로비저닝을 지원하지만, 필요한 애플리케이션 프로그래밍 인터페이스 (API)를 공개하기 위해 SaaS 앱에 주로 있습니다. 실제로 "SAML with Provisioning"으로 나열된 Microsoft Office 365 SSO 앱은 그러한 기능을 수행하지 않습니다. 대신 Microsoft의 디렉토리 동기화 도구를 설치해야합니다. 즉, 특정 앱의 프로비저닝 측면이 Ping에 의해 전혀 처리되지 않습니다.

Ping Identity의 프로비저닝 구성 PingOne은 Okta Identity Management 및 OneLogin에 비해 번거 롭습니다. 내가 우려하는 두 가지 영역은 일부 SaaS 앱을 식별하는 방법과 관리자가 프로비저닝을 활성화하는 방법입니다. Google G Suite를 사용하여 프로비저닝을 구성하려면 다소 혼란스러운 Google Gmail 앱을 선택해야합니다. 프로비저닝은 앱 구성 마법사를 통해 활성화되지만 사용자 프로비저닝 옵션을 보려면 화면 중 하나의 맨 아래에있는 상자를 선택해야합니다. 프로비저닝은 IDaaS 제품군의 필수 기능 중 하나이며 Ping Identity PingOne이 제공하는 제한된 프로비저닝 지원은 전혀 지원하지 않는 데 불과 반 단계입니다.

인증 유형

Ping Identity PingOne은 SAML 표준을 지원하는 앱에 강력한 인증을 제공 할뿐만 아니라 저장된 자격 증명 (비밀번호 저장소와 같은)을 사용하여 다른 SaaS 앱에 로그인 할 수 있습니다. 앱 카탈로그에는 각 앱에서 지원하는 인증 유형이 명시되어 있습니다. 실제로 일부 앱은 두 가지 인증 유형을 모두 지원합니다 (이 경우 SAML이 권장되는 방법 임). SAML 인증을 지원하는 앱에 대한 연결은 일반적으로 연결의 양쪽에 구성되어야합니다. 즉, SaaS 앱에 SAML 지원이 활성화되어 있어야하며 일부 기본 구성이 수행되어야합니다. Ping Identity PingOne의 앱 카탈로그에는 각 SAML 앱에 대한 설정 정보가 포함되어 있으므로이 링크 구성이 매우 간단합니다.

Ping Identity PingOne은 MFA 형식의 인증 강도 향상을 지원합니다. 인증 정책을 사용하여 MFA를 특정 앱 및 사용자 그룹 (또는 IP 주소 범위)에 적용 할 수 있습니다. 그러나 Ping Identity PingOne은 단일 인증 정책 만 제공하며 그룹 및 IP 주소로 필터링 할 수있는 기능이 없습니다. 이로 인해 Ping Identity PingOne은 Okta Identity Management 또는 Azure AD와 같은 경쟁에서 뒤처지게됩니다. 둘 다 적어도 앱별로 인증 정책을 구성 할 수 있습니다.

Ping Identity PingOne의 MFA 구현은 확인 프로세스 또는 일회용 암호를 통해 추가 인증 단계를 수행하는 스마트 폰 앱인 PingID를 사용합니다. 사용자는 SMS 또는 음성 메시지 또는 YubiKey USB 보안 장치를 통해 일회용 암호를받을 수도 있습니다. 이것은 매우 기본적인 수준에서 서비스가 가능하지만 Ping Identity PingOne은 MFA 관점에서 진지하게 받아 들여지기 위해서는 게임을 실제로 강화해야합니다. LastPass Enterprise조차도 MFA 기능 측면에서 이들을 능가합니다.

싱글 사인온

SSO는 PingFederate의 아키텍처 선택이 영향을주는 또 다른 영역입니다. SSO 인증 프로세스 중에 사용자는 Ping Identity PingOne 도크에 사인온하여 회사 네트워크에서 호스팅되는 PingFederate 서비스로 리디렉션합니다. 내부 회사 네트워크에있는 사용자의 경우 이는 문제가 아닐 수 있지만 외부를 찾는 사용자를 위해 추가 방화벽 구성 (포트 443)이 필요합니다.

사용자 방문 SSO 대시 보드 인 Ping Identity PingOne 도크는 마지막 방문 이후 다소 개선되었습니다. SaaS 앱의 간단한 목록은 왼쪽의 플라이 아웃 메뉴를 사용하여 탐색 할 수있는 아이콘 그리드로 대체되었습니다. 관리자는 사용자가 자신의 SaaS 계정을 추가 할 수있는 도크의 개인 섹션을 활성화 할 수 있습니다. Ping Identity PingOne 브라우저 확장 기능은 도크 환경을 향상시켜 도크로 돌아 가지 않고도 SSO가 앱에 액세스 할 수 있도록합니다.

Ping Identity PingOne 대시 보드에는 인증이 시작된 위치를 보여주는 글로벌 맵을 포함하여 로그인 통계를 표시하는 미리 준비된 보고서가 있습니다. 보고 기능은 Ping Identity PingOne을 통해 처리되는 사용자 인증에 대한 정보를 얻는 데 필요한 기본 사항을 다루지 만 심층 분석이나 문제 해결 데이터는 허용하지 않습니다.

가격 및 수수료

Ping Identity PingOne의 비용은 매년 사용자 당 28 달러이고 MFA의 비용은 매년 24 달러입니다. 볼륨 및 번들 할인은 PingIdentity에서 제공됩니다. Azure AD, Okta Identity Management 및 OneLogin과 비교하여 명확한 약점을 가진 제품의 경우 Ping Identity PingOne의 가격은 경쟁력이 있지만 경쟁 제품을 선택할 때 많은 인센티브를 제공 할만큼 충분하지 않습니다.

전체적으로 Ping Identity PingOne은 경쟁 업체와 근본적으로 다른 아키텍처를 선택했으며 그 중 일부는 보안 또는 개인 정보 보호 문제가있는 조직에서 높이 평가할 것입니다. 안타깝게도이 아키텍처는 Ping Identity PingOne이 부족한 일부 영역, 특히 보안 정책, 베어 본보고 및 가장 중요한 사용자 프로비저닝의 한계를 극복하기에 충분한 이점을 제공하지 않습니다. 개인 정보 보호가 가장 중요하고 Ping Identity PingOne이 장애물을 해결하는 데 도움이되지 않는 한 Azure AD, Okta Identity Management 또는 OneLogin보다 권장하지 않습니다. 그러나 클라우드 데이터 안전에 특히 민감한 산업에 종사하는 경우 Ping Identity PingOne이 적합 할 수 있습니다.