Oneloginのレビューと評価

OneLoginは、豊富な機能を備えたID管理サービスを提供します。 OneLoginは、無料版と月額ユーザーあたり8ドルの無制限の階層の間に4つの価格帯を提供しています。 このサービスは、複数のセキュリティポリシー、ユーザーポータル用のモバイルアプリケーション、多要素認証（MFA）、およびすべての主要な認証メカニズムを含む、主要なID管理機能ボックスをすべてチェックします。 OneLoginは、競合他社にはない驚きをいくつか提供します。 ただし、リストの最上位にありますが、OneLoginの機能は、エディターズチョイスの受賞者であるOkta Identity ManagementまたはMicrosoft Azure Active Directory（AD）に完全には一致していませんでした。 それでも、OneLoginは引き続きトップ候補であり、ほとんどの中小企業（SMB）のお客様に最適なサービスを提供できます。

セットアップと構成

OneLoginの使用を開始し、既存のディレクトリサービスに接続することは、かなり標準的なことです。 OneLogin管理コンソールに初めてログオンすると、サブドメインの作成、ユーザーのインポート、アプリケーションの追加など、構成プロセスを完了するために必要な初期手順をガイドするセットアップウィザードが表示されます。

OneLoginは、Microsoft Active Directory（AD）、Google G Suite、Workday、SSLまたはOneLoginのコネクタを介したLightweight Directory Access Protocol（LDAP）など、いくつかのディレクトリタイプをサポートしています。 ADをOneLoginに接続するには、ADコネクタをダウンロードしてインストールし、いくつかの簡単な構成手順（サービスアカウントの選択、ポート番号の構成、同期するドメインの選択）を完了する必要があります。 Ping Identity PingOne PingFederateエージェントと同様に、OneLoginは、アカウントの資格情報ではなく、トークンを使用してADコネクタをOneLoginに関連付けることを選択しました。 関連付けが行われたら、ADコネクタを構成できます（特に、同期する組織単位またはグループを選択します）。 負荷分散とフォールトトレランスの目的で、複数のADコネクタを展開して、1つが故障した場合に可用性を維持できます。

競合他社のいくつかと同様に、OneLoginは、Workday、UltiPro、Isなどの人事（HR）管理システムなどの他のIDソースと統合することにより、企業IDを管理する総合的なアプローチに向かっています。 OneLoginのツールセットを使用すると、OneLoginおよび関連するサービスとしてのソフトウェア（SaaS）アプリ内でIDを作成および管理するだけでなく、それらのIDをActive Directoryにプッシュダウンして、デュアルエントリを制限し、精度を向上させることができます。

ディレクトリ統合とユーザープロビジョニング

ディレクトリ統合のもう1つの重要な側面は、ADからインポートする属性の選択と設定です。 OneLoginを使用すると、カスタムフィールドを作成し、それらのフィールドに入力するAD属性を定義できます。 ビジネスニーズに応じて、これらのフィールドは、アプリケーションまたはセキュリティポリシーのマッピングを構成するのに役立ちます。 たとえば、組織がADスキーマを拡張して会社構造に関する情報を含むカスタム属性を含める場合、OneLoginはその情報を簡単に活用できます。

OneLogin管理コンソールのAD接続の[詳細設定]タブでは、新しいユーザーを自動的にOneLoginユーザーとして作成するか、単にステージングするかを設定できます。ユーザーを作成する前に管理者の個人的なタッチが必要です。 [詳細設定]タブの設定では、ADで無効または削除されたユーザーをOneLoginで処理する方法も構成できます。

OneLoginと競合他社の大半との重要な違いの1つは、グループとアプリケーションの割り当てを処理する方法です。 まず、OneLoginはADからセキュリティグループを同期しません。 むしろ、グループはOneLoginで個別に管理されます。 OneLoginのグループは、主に含まれるユーザーにセキュリティポリシーを割り当てるために使用され、ロールはアプリケーションの割り当てを処理するために使用されます。 ユーザーは、手動で、またはマッピングを使用してOneLoginグループに割り当てることができます。マッピングは、条件とアクションを使用してユーザーを管理する自動化ツールです（グループまたはロールに割り当て、ステータスを即座に変更したり属性を変更したりすることもできます）。 マッピングはOneLoginの重要な機能であり、セキュリティポリシーとアプリケーションの割り当ての処理方法に柔軟性と複雑さの両方を追加します。 私はコンセプトとそれが提供する柔軟性が好きですが、確かに物事を混乱させると思います。 グループの同期と、マッピングなどを使用してポリシーまたはアプリケーションを動的に割り当てる機能の組み合わせを見たいと思っていました。

ユーザーをロールに割り当てるマッピングを構成したら、SaaSアプリケーションへのシングルサインオン（SSO）アクセスを構成し、それらのアプリケーションをロールに割り当てるプロセスを開始できます。 OneLoginは、他のIDaaSツールと同様のアプリケーションカタログを提供し、カタログは各アプリケーションで使用できる認証方法を識別します。 OneLoginが互換性のあるSaaSアプリケーションに提供する優れた機能の1つは、セキュリティアサーションマークアップ言語（SAML）接続の両側の部分的に自動構成です。 たとえば、Google G Suiteは、OAuthトークン交換後の自動構成をサポートしています。 OneLoginはSaaSユーザープロビジョニングもサポートしていますが、IDaaSソリューションと同様に、これはプロビジョニング機能を実行するアプリケーションプログラミングインターフェイス（API）を提供するSaaSアプリケーションに依存しています。 主要なSaaSアプリケーションの多くは、Google G Suite、Microsoft Office 365、Dropboxなどのユーザープロビジョニングをサポートしているため、自動プロビジョニングはIDaaSソリューションの必須機能となります。

OneLoginが提供する1つの高度な機能には、SAMLサポートを提供しないSaaSアプリが含まれます。 OneLoginでは、カスタムコネクタを使用して、OneLoginカタログではすぐに利用できないアプリのログインプロセスに関連するURLとフォーム要素を定義できます。 カスタムコネクタを使用すると、フォームアクションまたは名前とボタンID、タイプ、名前、または値などのHTMLタグを使用して、フォームおよびフォーム要素を選択できます。 管理者は、OneLoginブラウザー拡張機能を使用してカスタムコネクタを追加することもできます。これにより、フォーム要素指定子をキャプチャし、カスタムコネクタを有効にするプロセスが合理化されます。 つまり、OneLoginは、ほとんど知られていない、または社内のカスタムアプリにすぐに接続できる既製の方法を提供します。

OneLoginを際立たせるもう1つの機能は、複数の自己登録ページをサポートする機能です。 これらのページからアカウントをリクエストするユーザーは、デフォルトでOneLoginにのみ保存されます。 これらの登録ページは、AD環境の一部ではないが、特定のビジネスアプリケーションへのある程度のアクセスが必要なユーザーを登録するために使用できます。 これらの機能の使用例には、学生、インターン、またはボランティアが含まれます。 自己登録ページの構成中に、アカウントを完全にプロビジョニングする前に管理アクションを実行する必要があるかどうか、および新しいユーザーのデフォルトの役割とグループを定義できます。

シングルサインオンとモバイルアプリ

管理者は、色の変更、グラフィックス、カスタムヘルプコンテンツなど、OneLoginユーザーポータルで非常に多くのカスタマイズを行うことができます。 ユーザーは、新しいウィンドウまたは同じウィンドウでアプリケーションを起動する方法と、タブ付きビューを使用するかどうかを決定することにより、ポータルエクスペリエンスをカスタマイズすることもできます。 ユーザーは、ユーザーポータルに安全なメモを保存し、多要素認証（MFA）で使用する認証デバイスを関連付けることもできます。 OneLoginには、ユーザーポータルのモバイルバージョンであるOneLogin Launcherと、ワンタイムパスワードを使用する多要素オプションであるOneLogin OTPの2つのモバイルアプリケーションがあります。 OneLogin OTPとOneLoginアカウントをペアリングするには、個々のデバイスを識別する資格情報IDと、アプリケーションによって生成された連続したワンタイムパスワードを入力します。

OneLoginは、ユーザーポリシーとアプリケーションポリシーの2種類のセキュリティポリシーをサポートしています。 アプリケーションポリシーを使用して、ワンタイムパスワード（OTP）検証を要求したり、個々のアプリケーションにIPアドレス制限を適用したりできます。これにより、ユーザーのネットワークの場所（企業ネットワークのオン/オフなど）に基づいてポリシーを選択的に適用できます。 ユーザーに適用されるセキュリティポリシーを使用して、パスワードの複雑さを強制し、機能とセッション情報（ロックアウト動作とセッションタイムアウトを含む）を更新できます。 セキュリティポリシーを使用して、多要素要件とIPアドレス制限を実施することもできます。

ユーザーポリシーを活用してソーシャルサインインを有効にすると、ユーザーはGoogle、Facebook、LinkedIn、またはTwitterにある既存の資格情報を使用してOneLogin環境に対して認証できます。 また、これらの資格情報を使用して、ビジネスパートナーまたは顧客にSaaSツールまたは社内企業アプリへのアクセスを提供できます。

OneLoginの適応認証は、Microsoft Azure ADおよびCentrifyが提供する機能と同等の機械学習ベースのソリューションです。 特定のアプリまたはリソースにリスク値を割り当て、リソースのリスクスコアがセキュリティ強化の必要性を示している場合、MFAなどの追加手順を推奨することにより、セキュリティを強化するように設計されています。

すばらしい報告

OneLoginが提供するレポートエンジンは、サービスのもう1つのハイライトです。 複数の定型レポートを使用できます。レポートを複製して、必要に応じてカスタマイズできます。 新しいレポートを最初から作成して、必要なフィールドとフィルターを追加することもできます。 レポートは、列にグループ化されるように構成することもできます。 残念ながら、レポートをスケジュールする方法はないようですが、結果セットをさらに分析するためにCSVファイルにエクスポートできます。 レポートを複製およびカスタマイズする機能は、IDaaSの分野では珍しいことですが、Okta Identity ManagementやAzure ADなどの他のトップソリューションでは提供されていません。

OneLoginは、イベントブロードキャスターを介してSplunkやSumo Logicなどのセキュリティイベントマネージャー（SEIM）ソリューションをサポートしています。 これらは、JavaScript Object Notation（JSON）ペイロードをURLに送信し、URLがデータを消費するように構成されています。 さらに、OneLoginが非常に簡単に設定できるプロセスである条件アクションエンジンを使用して、電子メール通知を構成できます。

OneLoginの価格構造は、市場の大部分と同じ球場にありますが、OneLoginは、ユーザーを3つの企業アプリ、5つの個人アプリに制限する無料の階層を提供し、MFAは提供しません。 月額2ドルのスターター層はMFAを追加し、無制限の数のSaaSアプリケーションへのSSOを処理できます。 スターター層には、OneLoginとディレクトリパスワードの両方にパスワードリセット機能を提供する機能もあります。 セキュリティを強化したい企業は、セキュリティポリシーを提供し、複数のディレクトリからの同期もサポートするエンタープライズサービスレベルで、ユーザーあたり月額4ドルを支払う必要があります。 SaaSアプリケーションおよびカスタマイズ可能なフィールドでの自動ユーザープロビジョニングには、ユーザーあたり月額8ドルという最上位の無制限の階層が必要です。

OneLoginは、基本的な価格設定階層に加えて、いくつかのアドオンを提供しています。 仮想LDAP（ユーザーあたり月額2ドル）を使用すると、OneLoginディレクトリを標準のLDAPディレクトリのように機能させることができます。 これにより、長年にわたるLDAP標準を活用することを決定した多数のアプリやサービスからアクセスできるようになります。 機械学習とリスクベースの認証制御を提供する適応認証機能も、ユーザーあたり月額3ドルの追加費用がかかります。

OneLoginが最近重大なセキュリティインシデントに見舞われたことに言及する必要があります。 企業のセキュリティを強化するために使用されるツールにとってセキュリティは最も重要ですが、この種の侵害の影響を判断するのは困難です。 多くの企業は、最近の実績のためにOneLoginを避ける可能性が高い一方で、他の企業は、イベント自体ではなく、インシデントに対するOneLoginの反応により重点を置いています。 私は個人的には後者のカテゴリに分類される傾向があり、OneLoginはプロセス全体を通じてユーザーベースとコミュニケーションを取り、クラウドサービスプロバイダーや、適用可能な専門知識を持つ一部の顧客と連携して、セキュリティ管理とポリシーを強化しています。この状況が将来発生するのを防ぎます。

OneLoginのマッピングの使用を過小評価しないでください。 SaaSとIDaaSのセールスポイントが効率である場合、マッピングでは、競合では利用できない自動化機能を提供することで、それを次のレベルに引き上げます。 そうは言っても、マッピングへの依存とOneLoginがセキュリティグループを同期しないという事実には少し先送りされていますが、実際には数千のグループを持つ大規模な組織にとってはメリットになります。 ただし、OneLoginは、SaaSアプリケーションのプロビジョニング、ディレクトリ統合、SSOポータルなどの重要な分野で、他のIDaaSソリューションをうまく評価しています。 しかし、私にとっては、セキュリティグループの省略により、OneLoginはこのラウンドアップのIDaaSのトップスポットであるOkta Identity Managementを恥ずかしく思っています。