目次:
ビデオ: PingOne for Enterprise and PingID (10月 2024)
Ping Identity PingOneは、Identity-Management-as-a-Service(IDaaS)の分野で堅実な実績を誇っています。 既存のActive Directory(AD)環境に対して認証するための複数のオプションと、Google Appsまたは他のサードパーティディレクトリのサポートを提供します。 Ping Identity PingOneが競合他社の一部に及ばない場合(エディターズチョイスの受賞者であるMicrosoft Azure Active DirectoryやOkta Identity Managementは認証ポリシーやレポートなどの分野に属します。これらのカテゴリでは、Ping Identity PingOneは単に同じレベルを提供しません)ただし、ユーザーあたり年間28ドルのコストで、Ping Identity PingOneの価格設定は、IDaasソリューションの他の分野と競争力があります。また、クラウドにデータを保存しないことに注力することも魅力的です。
セットアップと構成
Ping Identity PingOneの初期セットアップと構成は2段階のプロセスです。 まず、Ping Identity PingOneアカウントを管理ユーザーとともに作成して、サービスを管理する必要があります。 次に、Ping Identity PingOneを企業ディレクトリに接続して、既存のIDサービスに対する認証を実行する必要があります。 Ping Identityには、既存のAD環境を接続するための2つのオプションがあります。ADConnect(MicrosoftのAzure AD Connectと混同しないでください)とPingFederateです。 ADConnectは簡単なインストールであり、ディレクトリ側での構成はほとんど必要ありません。 ただし、単一のADドメインに限定されているため、ほとんどの大規模な組織ではPingFederateを選択する必要があります。
幸い、PingFederateのインストールも簡単ですが、Java Server Editionが前提条件です。 私が持っている不満の1つは、PingFederateセットアップユーティリティが、JAVA_HOME環境変数が有効なJavaランタイムを指している必要があることを示しているだけであり、Server Editionの要件については言及していないことです。 Ping Identity PingOneはJava要件の必要性を明確に示していますが、理想的にはセットアップユーティリティにすべての前提ソフトウェアが含まれていること、または少なくとも、インストール前またはインストール中に必要なものをダウンロードするための明確なパスを提供することをお勧めします。 ただし、現状では、PingFederateに進む前に、自分でJavaを見つけてダウンロードし、インストールする必要があります。
PingFederateがインストールされると、Webベースの管理コンソールが起動します。 コンソールには、「アイデンティティリポジトリへの接続」ウィザードがあります。このウィザードを使用して、PingFederateに入力する必要があるアクティベーションキーを作成する必要があります。 アクティベーションキーを入力したら、サービスアカウントやユーザーコンテナの識別名など、AD Active環境に関する基本情報を手元に用意してください。 それが完了したら、ディレクトリをPing Identity PingOneに接続する必要があります。
ディレクトリ接続プロセスで、ディレクトリツリーを表示し、同期するコンテナを選択したり、ユーザーオブジェクトを検索したり参照したりできるグラフィカル要素を見たいと思いました。 PingのアイデンティティPingOneは、識別名がその適切な構文よりもはるかに少ないことを誰もが理解しているわけではないことを認識する必要があります。
ディレクトリ統合
Ping Identity PingOneは、AD Connect、PingFederate、Google G Suite、またはサードパーティのセキュリティアサーションマークアップ言語(SAML)ディレクトリを使用して、ADドメインと統合できます。 Okta Identity ManagementやOneLoginを含むIDaaS分野のトップベンダーのほとんどは、ユーザーと利用可能な属性のサブセットを保存しますが、Ping Identity PingOneは企業IDのコピーを保存しません。 むしろ、提供されているコネクタの1つを使用して、オンデマンドでIDプロバイダーに接続します。 この基本的なアーキテクチャの違いにより、ほとんどのITプロフェッショナルは、PingFederateサーバーがオフラインになることによる単一障害点を防ぐために、PingFederateを適切に実装することが重要であると指摘します。
ただし、公平を期すために、現実には、ほとんどの競争では、とにかくディレクトリ接続を維持する必要があります。 唯一の違いは、ほとんどのプロバイダーがユーザー属性の完全なセットではなく、認証のためにこれを単に必要とすることです。 私にとって、このアーキテクチャの差別化は行き過ぎです。しかし、クラウドへの移行中にプライバシーを維持することについて、企業の間では合法的なためらいがあります。 そのため、おそらくPingIdentityは、雲を完全に回避することと、何も考えずに飛び込むことの間の良いバランスを見つけたのでしょう。
PingFederateをPing Identity PingOneと一緒に使用することには、IDの公開方法に対する制御の強化に加えて、いくつかの大きな利点があります。 1つは、LDAP(Lightweight Directory Access Protocol)ディレクトリを含む追加のディレクトリタイプと統合する機能です。 標準ベースの機能に密接に関連しているのは、PingFederateが複数のIDソースに接続し、それらを一緒に集約する機能です。 Ping Identity PingOneはクラウドレベルでこの機能を提供しないため、PingFederateは複数のソースからのIDをマージするための最善の方法です。
PingFederateには、Ping Identity PingOneに公開するID属性を指定する機能など、豊富な構成オプションがあります。 電子メールアドレスや名前などのユーザー属性は、SaaS(Software-as-a-Service)アプリケーションへのシングルサインオン(SSO)に使用される可能性が高いため、これらの属性は実装に不可欠です。 同期する属性を選択するには、ディレクトリ同期構成よりも若干グラフィカルなツールを使用しますが、PingFederate管理コンソールのかなり奥深くに埋もれています。
ユーザープロビジョニング
Ping Identity PingOneはユーザー名またはその属性を保存しませんが、ディレクトリから同期されたグループのリストを維持します。 これらのグループには、SSO用に構成したアプリを割り当てることができます。 これらのグループのメンバーであるユーザーは、ドックでこれらのアプリにアクセスできます。
ほとんどの場合、SaaSアプリのユーザーアカウントは手動でプロビジョニングする必要があります。 使用可能なSaaSアプリの限られたサブセット(ConcurおよびDropBoxを含む)は自動ユーザープロビジョニングをサポートしますが、これは主に必要なアプリケーションプログラミングインターフェイス(API)を公開するSaaSアプリ上にあります。 実際、「SAML with Provisioning」としてリストされているMicrosoft Office 365 SSOアプリはそのようなことをしません。 代わりに、Microsoftのディレクトリ同期ツールをインストールする必要があります。つまり、その特定のアプリのプロビジョニングの側面は、Pingによってまったく処理されません。
Ping Identityのプロビジョニング構成PingOneは、Okta Identity ManagementとOneLoginの両方に比べて面倒です。 私が懸念している2つの領域は、一部のSaaSアプリの識別方法と、管理者がプロビジョニングを有効にする方法です。 Google G Suiteでプロビジョニングを構成するには、Google Gmailアプリを選択する必要がありますが、これはかなり混乱します。 プロビジョニングはアプリ構成ウィザードで有効になりますが、ユーザープロビジョニングのオプションを表示するには、画面のいずれかの下部にあるチェックボックスをオンにする必要があります。 プロビジョニングは、IDaaSスイートに必要な数少ない機能の1つであり、Ping Identity PingOneが提供する限定的なプロビジョニングサポートは、それをまったくサポートしないことからわずか半歩です。
認証タイプ
Ping Identity PingOneは、SAML標準をサポートするアプリに強力な認証を提供するだけでなく、保存された資格情報(パスワードボールトのような)を使用して他のSaaSアプリにログインする機能を提供します。 アプリカタログには、各アプリでサポートされている認証の種類が明記されています。 実際、一部のアプリは両方の認証タイプをサポートしています(この場合、SAMLが推奨される方法です)。 通常、SAML認証をサポートするアプリへの接続は、接続の両側で構成する必要があります。つまり、SaaSアプリでSAMLサポートを有効にし、基本的な構成を完了する必要があります。 Ping Identity PingOneのアプリカタログには、各SAMLアプリのセットアップ情報が含まれているため、このリンクの構成は非常に簡単です。
Ping Identity PingOneは、MFAの形式での認証強度の向上をサポートしています。 MFAは、認証ポリシーを使用して特定のアプリとユーザーグループ(またはIPアドレス範囲)に適用できます。 ただし、Ping Identity PingOneは単一の認証ポリシーのみを提供し、グループとIPアドレスの両方でフィルタリングする機能がありません。 これにより、Ping Identity PingOneはOkta Identity ManagementやAzure ADなどの競合他社に遅れをとり、どちらも少なくともアプリごとに認証ポリシーを構成できます。
Ping ID PingOneのMFA実装では、PingIDを使用します。PingIDは、確認プロセスまたはワンタイムパスワードによって追加の認証手順を実行するスマートフォンアプリです。 ユーザーは、SMSまたはボイスメッセージを介して、またはYubiKey USBセキュリティデバイスを使用して、ワンタイムパスワードを受け取ることもできます。 これは非常に基本的なレベルでサービス可能ですが、Ping Identity PingOneは、MFAの観点から真剣に受け止めたい場合、ゲームを強化する必要があります。 LastPass Enterpriseでさえ、MFAの機能の点で彼らを圧倒しています。
シングル・サインオン
SSOは、PingFederateのアーキテクチャの選択が影響を与える別の領域です。 SSO認証プロセス中、ユーザーはPing Identity PingOneドックにサインオンし、企業ネットワークでホストされているPingFederateサービスにリダイレクトします。 内部企業ネットワーク上のユーザーの場合、これは問題ではない可能性がありますが、外部のユーザーが見るために追加のファイアウォール構成(ポート443)が必要になります。
ユーザー向けのSSOダッシュボードであるPing Identity PingOneドックは、前回の訪問から多少改善されました。 SaaSアプリの簡単なリストは、左側のフライアウトメニューを使用してもナビゲートできるアイコンのグリッドに置き換えられました。 管理者は、ユーザーが自分のSaaSアカウントを追加できるドックの個人用セクションを有効にできます。 Ping Identity PingOneブラウザー拡張機能はドックエクスペリエンスを強化し、ドックに戻ることなくアプリへのSSOアクセスを提供します。
Ping Identity PingOneダッシュボードには、これらの認証の発信元を示すグローバルマップを含むログイン統計を示すいくつかの定型レポートがあります。 レポート機能は、Ping Identity PingOneを介して処理されるユーザー認証に関する情報の取得を開始するために必要な基本をカバーしますが、詳細な分析やトラブルシューティングデータは許可しません。
価格と料金
Ping Identity PingOneのコストはユーザーごとに年間28ドルで、MFAのコストは年間24ドルです。 ボリュームおよびバンドルの割引は、PingIdentityから入手できます。 Azure AD、Okta Identity Management、OneLoginと比較して明らかな弱点がある製品の場合、Ping Identity PingOneの価格設定は競争力がありますが、競合製品よりも選択するインセンティブを提供するには十分ではありません。
全体として、Ping Identity PingOneは、競合とは根本的に異なるいくつかのアーキテクチャの選択を行いました。それらのいくつかは、セキュリティまたはプライバシーの懸念がある組織に高く評価されます。 残念ながら、このアーキテクチャは、Ping Identity PingOneが不十分な領域、特にセキュリティポリシー、ベアボーンレポート、および最も重要なユーザープロビジョニングの制限を克服するのに十分な利点を提供しません。 プライバシーが最大の関心事であり、Ping Identity PingOneがそのハードルの解消に役立つ場合を除き、Azure AD、Okta Identity Management、またはOneLoginよりもプライバシーを推奨することはできません。 ただし、クラウドデータの安全性に特に敏感な業界にいる場合は、Ping Identity PingOneが受け入れられるオプションかもしれません。
