Πώς να επιλέξετε τον καλύτερο έλεγχο ταυτότητας ως πάροχος υπηρεσιών για την εταιρεία σας

Αναρωτηθήκατε ποτέ πώς να επιλέξετε έναν πάροχο υπηρεσιών ελέγχου ταυτότητας;

Είμαστε εν μέσω μιας αυξανόμενης τάσης χρήσης ομόσπονδων αναγνωριστικών για την παροχή ελέγχου ταυτότητας στους ιστότοπους που χρησιμοποιούμε καθημερινά.

Μπορούμε να συνδεθούμε σε αμέτρητες εφαρμογές χρησιμοποιώντας τους λογαριασμούς μας στα μέσα κοινωνικής δικτύωσης, όλοι οι λογαριασμοί εργασίας μας έχουν δυνατότητες SSO και μπορούμε ακόμη και να συνδεθούμε σε κυβερνητικούς ιστότοπους χρησιμοποιώντας τα διαδικτυακά μας διαπιστευτήρια τραπεζικής.

Εννοιολογικά, ο έλεγχος ταυτότητας (και SSO) είναι απλός, αλλά είναι δύσκολο και δαπανηρό να εφαρμοστεί σωστά. Αν και οι επιχειρήσεις έχουν παραδοσιακά επικεντρωθεί στις δυνατότητες δημιουργίας, τώρα στην πραγματικότητα πρέπει επίσης να επικεντρωθούν στη μείωση του ενδιαφέροντος εγγραφής χρηστών χωρίς να εκθέσουν την εφαρμογή σε ευπάθειες. Ακριβώς όπως το πώς οι πλατφόρμες υποδομής cloud (όπως το AWS) επιτρέπουν πλέον στις επιχειρήσεις να επικεντρώνονται στη δημιουργία εφαρμογών, βλέπουμε το ίδιο ικανοποιημένο με τον έλεγχο ταυτότητας.

Ο έλεγχος ταυτότητας ως υπηρεσία (ή πάροχοι υπηρεσιών ελέγχου ταυτότητας) παρέχει υπηρεσίες ελέγχου ταυτότητας και διαχείρισης χρηστών για εφαρμογές.

Δεν είναι απλώς πάροχος ταυτότητας, αλλά παρέχουν διαμορφώσιμες σελίδες σύνδεσης χρήστη (ή widget), λειτουργικότητα αποσύνδεσης, ενοποιημένες ταυτότητες με λογαριασμούς κοινωνικών μέσων, βάσεις δεδομένων χρηστών και κάποιο βαθμό διαχείρισης χρηστών. Έχουν τις δυνατότητες να υποστηρίξουν κοινά πρωτόκολλα ελέγχου ταυτότητας, όπως SAML και OpenID Connect.

Οι εταιρικοί πελάτες που επιθυμούν SSO μπορούν συχνά να επωφεληθούν από εύκολες ρυθμίσεις με ένα κλικ με εφαρμογές τρίτων όπως το JIRA, το Office 365 και το Salesforce μέσω της χρήσης του SAML2.

Ποιοι είναι οι στόχοι σου?

Μερικές φορές, η εφαρμογή συστημάτων ελέγχου ταυτότητας για μια εφαρμογή μπορεί να μοιάζει να επανεφεύρει τον τροχό. Η έννοια του ελέγχου ταυτότητας ως υπηρεσίας (AaaS) προσπαθεί να λύσει αυτό το πρόβλημα, αλλά υπάρχουν πράγματα που πρέπει να λάβετε υπόψη πριν επιλέξετε έναν πάροχο (ή αποφασίσετε να αναπτύξετε μια προσαρμοσμένη λύση).

Κριτήρια

Μόλις καταθέσετε μια λίστα με σημαντικές εκτιμήσεις για τον οργανισμό σας, είναι καιρός να αρχίσετε να αξιολογείτε τον έλεγχο ταυτότητας ως πάροχοι υπηρεσιών (AaaSp's) στην αγορά. Τα τελευταία χρόνια, έχουμε δει έναν αριθμό AssSp να μπαίνει και να εξαφανίζεται. Αυτό καθιστά την επιλογή του σωστού AaaSp πολύ πιο κρίσιμη. Έρχονται σε όλα τα σχήματα και μεγέθη - από μικρές εταιρείες με μικρούς πελάτες έως μεγάλους εταιρικούς πωλητές.

Εμπιστοσύνη και φήμη

Η εμπιστοσύνη σε κάτι τόσο σημαντικό όσο ο έλεγχος ταυτότητας απαιτεί σημαντικό βαθμό εμπιστοσύνης, επομένως είναι σημαντικό ο επιλεγμένος πωλητής να είναι αξιόπιστος και αξιόπιστη αρχή στον έλεγχο ταυτότητας. Εξετάστε εάν η αρχιτεκτονική τους έχει ελεγχθεί από άλλους ειδικούς ασφαλείας και ελέγξτε τυχόν διαδικτυακά σχόλια σχετικά με τον πάροχο.

Όπως έχουμε δει με Stormpath (αγοράστηκε από ΟΚΤΑ το 2017, στη συνέχεια μειώθηκε το Stormpath API), μετεγκατάσταση σε τρίτο προμηθευτή ανοίγει τον κίνδυνο του πωλητή εγκατάλειψης. Στη χειρότερη περίπτωση, όπως συνέβη με την εξαγορά που αναφέρθηκε παραπάνω, πολλοί έμειναν χωρίς διαδρομή μετανάστευσης από το Strompath στο Okta και υποχρεώθηκαν να αναπτύξουν τα δικά τους συστήματα ελέγχου ταυτότητας.

Το μέγεθος του προμηθευτή, η λίστα πελατών και το προφίλ της εταιρείας είναι γενικές οδηγίες που μπορούν να ληφθούν υπόψη, αλλά εξακολουθείτε να διατρέχετε κίνδυνο. Οι μικρότεροι πάροχοι εκκίνησης μπορούν να προσφέρουν σημαντικά κίνητρα, αλλά η ικανότητά τους να εξαφανίζονται γρήγορα χωρίς την κατάλληλη ειδοποίηση μπορεί να τους κάνει επικίνδυνη επιλογή. Εναλλακτικά, οι μεγαλύτεροι πάροχοι μπορούν ακόμα να κλείσουν τις υπηρεσίες τους εάν αυτό το επιχειρηματικό πεδίο δεν είναι πλέον κερδοφόρο.

Προβλεπόμενοι χρήστες

Ορισμένοι πάροχοι AaaS, όπως το One Login, εστιάζουν αποκλειστικά στο B2E - παρέχοντας μια εμπειρία SSO για τους εσωτερικούς υπαλλήλους μιας εταιρείας με τις διαδικτυακές υπηρεσίες τους. Σκεφτείτε τις σελίδες της πύλης της εταιρείας με συνδέσμους προς πόρους ανθρώπινου δυναμικού, την εταιρεία Wiki, το Sharepoint και το Salesforce. Το Auth0 και το AWS Cognito είναι πάροχοι που εξυπηρετούν τόσο B2E όσο και B2C και υποστηρίζουν ρητά πελάτες που έχουν εκατοντάδες χιλιάδες πελάτες.

Κλείδωμα πωλητή

Η ενσωμάτωση με AaaSp εισάγει μια πιο σημαντική ποσότητα αλληλεξάρτησης και μετά την ενσωμάτωση μιας στοίβας εφαρμογών σε μια λύση που βασίζεται σε σύννεφο, επειδή πρέπει να γραφτεί κωδικός για πάροχο για να ολοκληρωθεί η ενσωμάτωση.

Όχι μόνο αυτό πρέπει να αναιρεθεί, αλλά θα πρέπει να γραφτεί περισσότερος κωδικός ενοποίησης για τον νέο πάροχο. Η μετάβαση από το AaaS στη διάθεση μιας προσαρμοσμένης λύσης είναι ακόμη πιο δαπανηρή, καθώς όλα θα πρέπει να γράφονται από το μηδέν.

Σε αντίθεση με τις αλλαγές υποδομής, όπου υπάρχουν αστέρια μετριασμού για τη μείωση της διακοπής των χρηστών, η ανταλλαγή παρόχων AaaS θα επηρεάσει σχεδόν πάντα τους χρήστες. Θυμηθείτε, αλλάζουμε στοιχεία που αλληλεπιδρούν απευθείας με τους τελικούς χρήστες.

Εισαγωγή δεδομένων

Οι περισσότεροι πάροχοι AaaS ορίζουν έναν μηχανισμό εισαγωγής χρηστών στο σύστημά τους με μαζική εισαγωγή (όπου οι χρήστες πρέπει να περάσουν από μια ροή επαναφοράς κωδικού πρόσβασης) ή τη διαδικασία σταδιακής μετεγκατάστασης. Με τη σταδιακή μετεγκατάσταση, τα διαπιστευτήρια χρήστη πρώτα επικυρώνονται έναντι της παλιάς βάσης δεδομένων και στη συνέχεια κρυπτογραφούνται και αποθηκεύονται στη νέα βάση δεδομένων. Σε αυτήν την περίπτωση χρήσης, οι χρήστες δεν επηρεάζονται από τη μετεγκατάσταση.

Εξαγωγή δεδομένων

Αυτή η δυνατότητα είναι ιδιαίτερα σημαντική στην περίπτωση που οι εφαρμογές χρησιμοποιούν το αρχείο δεδομένων του AaaS. Για λόγους ασφαλείας, οι πάροχοι AaaS δεν δημοσιεύουν τον αλγόριθμο κατακερματισμού κωδικού πρόσβασης. Επομένως, όταν απαιτείται εξαγωγή, όλοι οι χρήστες πρέπει να ξεκινήσουν μια ροή επαναφοράς κωδικού πρόσβασης.

Εάν αυτό δεν ακούγεται αρκετά κακό, πολλοί πάροχοι AaaS ΔΕΝ παρέχουν μια δυνατότητα εξαγωγής δεδομένων μαζικής μεταφοράς, προσθέτοντας έτσι επιπλέον πολυπλοκότητα και χειροκίνητα βήματα για τη μετεγκατάσταση δεδομένων χρήστη από ένα AaaS.

Υπεργολάβοι

Ορισμένες υπηρεσίες που προσφέρονται από τους παρόχους AaaS πληρούνται από μια άλλη υπηρεσία τρίτου μέρους. Το 2fa / mfa και το email είναι μερικές φορές λειτουργίες που απαιτούν ξεχωριστές εγγραφές (και επιπλέον πληρωμή) στο τρίτο μέρος.

Λαμβάνοντας ως παράδειγμα το 2FA, ορισμένες υπηρεσίες AaaS δεν σας επιτρέπουν να επιλέξετε τον υποκείμενο παροχέα 2FA και σας αναγκάζει να χρησιμοποιήσετε την προτιμώμενη προσφορά τους. Όχι μόνο αναγκάζεστε να συνεργαστείτε με αυτόν τον πωλητή, αλλά αναγκάζεστε επίσης να πληρώσετε τα ποσοστά τους (όπου μερικές φορές είναι διαθέσιμες φθηνότερες εναλλακτικές λύσεις).

Τεχνολογική υποστήριξη

Πρωτόκολλα

Οι περισσότεροι πάροχοι AaaS υποστηρίζουν τα κύρια ομοσπονδιακά πρωτόκολλα (OpenID Connect και SAML). Άλλοι έχουν πρόσθετες υποδοχές που επιτρέπουν προσαρμοσμένες πηγές δεδομένων (Microsoft AD ή LDAP) και εύκολες ρυθμίσεις σε εφαρμογές τρίτων όπως το JIRA, το Office 365 και το Salesforce μέσω της χρήσης SMAL.

Ενσωμάτωση

Η ενσωμάτωση της υπηρεσίας AaaS στην εφαρμογή σας μπορεί να εξακολουθεί να αποτελεί σημαντική εργασία (ειδικά εάν εκτελείτε μια εφαρμογή παλαιού τύπου). Επομένως, πρέπει να δούμε αν το AaaS προσφέρει βιβλιοθήκες για τη στοίβα τεχνολογίας σας.

Για παράδειγμα: Οι περισσότεροι μεγάλοι πάροχοι AaaS μαζί με ιστότοπους κοινωνικών μέσων παρέχουν βιβλιοθήκες πελατών για να ζητούν, να καταναλώνουν και να επικυρώνουν διάφορα διακριτικά και έγγραφα ελέγχου ταυτότητας. Εάν εκτελείτε μια στοίβα Java, πολλές υπηρεσίες προσφέρουν βιβλιοθήκες Java για να συμπεριληφθούν στο έργο σας για οποιαδήποτε επεξεργασία backend. Εάν υποστηρίζεται η στοίβα σας, η διαδικασία ενοποίησης μπορεί να είναι τόσο απλή όσο η πτώση σε ένα αρχείο JS, συμπεριλαμβανομένου ενός JAR, και η συμπλήρωση ορισμένων τιμών σε μια τιμή ιδιότητας.

Τεκμηρίωση

Η άφθονη, καλογραμμένη τεκμηρίωση και η υποστήριξη της κοινότητας θα συμβάλουν σημαντικά στην ευκολότερη ένταξη Μερικοί πάροχοι προσφέρουν σπόρους και δείγματα έργων για να ξεκινήσετε.

Αλλα χαρακτηριστικά

Πολλές υπηρεσίες προσφέρουν πρόσθετα χαρακτηριστικά όπως προφίλ χρήστη, email και 2fa / mfa.

Προσαρμόσιμες διεπαφές χρήστη και ροές

Οι πάροχοι AaaS επιτρέπουν διάφορα επίπεδα προσαρμογής για σελίδες διεπαφής χρήστη, γραφικά στοιχεία και χαρακτηριστικά χρήστη. Επιπλέον, ορισμένα συστήματα έχουν «άγκιστρα» όπου μπορεί να πραγματοποιηθεί προσαρμογή ροών (checkout Auth0 και AWS Cognito για περισσότερες λεπτομέρειες).

Ανάλογα με τον συγκεκριμένο οργανισμό σας, μπορεί να είναι δύσκολο να επιτύχετε την ισορροπία μεταξύ της συνάντησης που θέλει η UX και της προσαρμογής (εντός του λόγου) από τον πάροχο. Σε ορισμένες περιπτώσεις, οι ροές που ζητούνται από την επιχείρηση ενδέχεται να μην υποστηρίζονται από το επιλεγμένο AaaS.

Μια σημείωση σχετικά με την προσαρμογή:

Οι έτοιμες δυνατότητες ελέγχου ταυτότητας είναι ένα από τα μεγάλα οφέλη από τη χρήση του AaaSp. Όταν χρησιμοποιούνται τα προ-κατασκευασμένα στοιχεία, η ολοκλήρωση είναι απίστευτα απλή.

Από την άλλη πλευρά, η βαριά προσαρμογή του περιβάλλοντος χρήστη και των ροών αυξάνει τον χρόνο και την πολυπλοκότητα. Μπορεί να βρείτε τον εαυτό σας τόσο μεγάλη και εκτεταμένη προσαρμογή της διεπαφής χρήστη και των ροών ελέγχου ταυτότητας που πρέπει να αναρωτηθείτε αν θα είναι φθηνότερο να διαθέσετε μια προσαρμοσμένη εσωτερική λύση (λαμβάνοντας επίσης υπόψη το ετήσιο κόστος). Η απάντηση μπορεί να είναι ΝΑΙ .

Η πρότασή μου είναι να παρακρατήσω όσο το δυνατόν περισσότερη προσαρμογή εντός του πλαισίου AaaS. Αυτό συμβαίνει ιδιαίτερα όταν πρόκειται για ροές ελέγχου ταυτότητας και επαναφοράς κωδικού πρόσβασης, καθώς η προσθήκη προσαρμογής σε αυτά τα στοιχεία τείνει να αυξήσει την πολυπλοκότητα της ενσωμάτωσης και να δημιουργήσει κλείδωμα προμηθευτή.

Υποστήριξη ανάπτυξης και δοκιμών

Περιβάλλοντα ανάπτυξης, QA και παραγωγής

Ορισμένες εταιρείες έχουν απομονωμένα περιβάλλοντα ανάπτυξης και QA. Για να υποστηρίξουν αυτές τις απαιτήσεις, ορισμένοι πάροχοι AaaS επιτρέπουν σε έναν λογαριασμό να έχει πολλές βάσεις δεδομένων ταυτότητας. Δυστυχώς, αυτό δεν είναι καθολική δυνατότητα και ενδέχεται να απαιτούνται πολλοί λογαριασμοί με το AaaS για την υποστήριξη κάθε περιβάλλοντος δοκιμών.

Φόρτωση δοκιμής

Όλα τα συστήματα AaaS απαγορεύουν τη μη εξουσιοδοτημένη δοκιμή φορτίου. Αυτό μπορεί να είναι πρόβλημα εάν η αίτησή σας απαιτεί δοκιμή φόρτωσης από άκρο σε άκρο για έγκριση για παραγωγή. Σε αυτήν την περίπτωση, ορισμένοι πάροχοι AaaS επιτρέπουν τη δοκιμή φορτίου εάν έχει προεγκριθεί πριν από τη διεξαγωγή του ελέγχου. Υπάρχουν συχνά αυστηροί περιορισμοί και χρονικά πλαίσια στα οποία πρέπει να εκτελεστεί η δοκιμή.

Πιο ρεαλιστικά, πιθανότατα θα πρέπει να εφαρμόσετε έναν μηχανισμό παράκαμψης σύνδεσης για την εφαρμογή που υποστηρίζει δοκιμές φόρτωσης.

Τιμολόγηση

Τα μοντέλα τιμολόγησης διαφέρουν σημαντικά μεταξύ των παρόχων AaaS. Ορισμένοι πάροχοι έχουν κίνητρα για μικρούς οργανισμούς εκκίνησης και έχουν μια χαμηλότερη βαθμίδα δωρεάν ή πολύ προσιτή. Σε γενικές γραμμές, περιμένετε να δείτε ένα γράφημα τιμής / χρήστη όπως το εξής:

Η τιμή ανά χρήστη είναι αρχικά πολύ χαμηλή (ή $ 0), κάτι που είναι ιδανικό για μικρούς οργανισμούς ή επιχειρήσεις με χαμηλό όγκο. Ωστόσο, καθώς αυξάνεται η βάση χρηστών σας, η τιμή / χρήστης παραμένει συνεπής. Τελικά θα αρχίσει να μειώνεται μετά από ένα συγκεκριμένο σημείο, επειδή είτε έχετε φτάσει στο υψηλότερο επίπεδο χρήσης είτε είστε σε θέση να διαπραγματευτείτε τις τιμές.

Το κόστος μπορεί να φαίνεται λογικό καθώς ξεκινάτε, αλλά μόλις είστε κλειδωμένοι, μια εφαρμογή με 100.000 ενεργούς χρήστες σε ένα μήνα θα μπορούσε να δει έναν ετήσιο λογαριασμό από 150k έως 200k!

Εάν η εφαρμογή σας έχει ήδη μια βάση χρηστών αρκετών εκατοντάδων χιλιάδων χρηστών, ίσως είναι φθηνότερο να αναπτύξετε τη δική σας λύση! Εκτός από τις χρεώσεις ανά χρήστη, υπάρχουν συχνά χρεώσεις για πρόσθετες υπηρεσίες που ενδέχεται να προκύψουν (και πάλι, 2fa και email).

Β2Γ

Διαπραγματευτείτε την τιμή εάν η εφαρμογή σας έχει μεγάλες περιόδους χρήσης Ορισμένες υπηρεσίες έχουν μεταβλητή τιμολόγηση ανά σκώρο με βάση τον αριθμό των πραγματικών ενεργών χρηστών, ενώ άλλες καθορίζουν την τιμή ανά μήνα με βάση μια εκτίμηση του βαρύτερου μήνα καθ 'όλη τη διάρκεια του έτους (ανεξάρτητα από τον αριθμό των χρηστών που χρησιμοποιούν πραγματικά το σύστημα). Η διαφορά μεταξύ αυτών των σχεδίων τιμών μπορεί να είναι σημαντική.

Β2Ε

Οι τιμές καθορίζονται πάντα σε ένα ποσό ανά λογαριασμό υπαλλήλου. Προσοχή στις ελάχιστες χρεώσεις στην εκτύπωση!

Διαχείριση χρηστών και πίνακας ελέγχου

Τα περισσότερα AaaS έχουν κάποια μορφή βασικής διαχείρισης χρηστών ενσωματωμένων στους πίνακες ελέγχου διαχειριστή τους. Σε ορισμένες περιπτώσεις, μπορείτε να δημιουργήσετε λογαριασμούς εκτός διαχειριστή για τους αντιπροσώπους εξυπηρέτησης πελατών ή άλλους συνεργάτες σας για να κάνετε αλλαγές στις ταυτότητες των χρηστών.

Πρέπει να αποφεύγεται η παροχή λογαριασμών πλήρους διαχειριστή στους υπαλλήλους, ώστε να έχουν πρόσβαση στον πίνακα ελέγχου διαχείρισης χρηστών . Ο λογαριασμός διαχειριστή πρέπει να βρίσκεται στα χέρια των κατάλληλα εκπαιδευμένων υπαλλήλων, διαφορετικά διατρέχετε τον κίνδυνο κάποιου να διαγράψει κατά λάθος ολόκληρη τη βάση δεδομένων χρήστη ή να εκθέσει ταυτότητες χρήστη.

Το αν ο ενσωματωμένος πίνακας ελέγχου AaaS υποστηρίζει ή όχι τις ανάγκες σας είναι συγκεκριμένος για τις καθημερινές ιδιότητες χρήστη που πρέπει να πραγματοποιήσει ο οργανισμός σας. Βεβαιωθείτε ότι το AaaS παρέχει το κατάλληλο ίχνος παρακολούθησης / καταγραφής ελέγχου σύμφωνα με τις πολιτικές του οργανισμού σας.

SLA και Εξυπηρέτηση Πελατών

Δεν προσφέρεται άμεση επαφή με διαχειριστή λογαριασμού του παρόχου σε όλους τους παρόχους AaaS. Τα επίπεδα δωρεάν ή χαμηλής χρήσης συχνά έχουν πρόσβαση μόνο σε φόρουμ κοινότητας. Ορισμένοι πάροχοι προσφέρουν πληρωμένη υποστήριξη, αποκλειστικούς διακομιστές, πρόσβαση σε αρχεία καταγραφής και συμμόρφωση με HIPAA / PCI με επιπλέον κόστος.

Τα περισσότερα AaaSp προσφέρουν το βασικό χρόνο λειτουργίας SLA 99,9% έως 99,995%, αλλά αυτό εξακολουθεί να επιτρέπει τη διακοπή λειτουργίας κατά τη διάρκεια του έτους. Αυτό μπορεί να είναι σημαντικό εάν η αίτησή σας πρέπει να τεθεί σε λειτουργία κατά τη διάρκεια κρίσιμων περιόδων. Ορισμένες εταιρικές λύσεις προσφέρουν AaaSp (προσαρμοσμένες αναπτύξεις) για να εξασφαλίσουν κάποια μορφή απολύσεων σε περίπτωση βλάβης του συστήματος

συμπέρασμα

Για νεοσύστατες επιχειρήσεις, η AaaSp παρέχει μια προσιτή λύση για έλεγχο ταυτότητας, ώστε να μπορείτε να εστιάσετε στο προϊόν σας. Για μεγαλύτερους οργανισμούς με εφαρμογές παλαιού τύπου και μια καθιερωμένη βάση χρηστών, πρέπει να λάβετε υπόψη μια πολύ ευρύτερη λίστα κριτηρίων για να βεβαιωθείτε ότι έχετε επιλέξει το AaaS που ταιριάζει στις ανάγκες μετεγκατάστασης, ελέγχου / καταγραφής και προϋπολογισμού.

Ως συνέχεια, έχω γράψει μια εισαγωγή στις ενοποιημένες ταυτότητες και τον έλεγχο ταυτότητας.