Llegamos a ustedes gracias a:



Reportajes y análisis

Herramientas de Inicio de sesión único

Ofrecen impresionantes nuevas capacidades

Herramientas de inicio de sesión único

[17/07/2015] Desde la última vez que le dimos una mirada a los productos de inicio de sesión único, la oferta se ha ampliado y cuenta con mayores capacidades. Varios proveedores nuevos han llegado para mostrar sus ofertas, y algunos proveedores antiguos han sido adquiridos o han alterado sus productos.

Para esta ronda de evaluaciones, tomamos en cuenta siete servicios de SSO (siglas en inglés de inicio de sesión único): Identity Service de Centrify, Azure AD Premium de Microsoft, Identity y Mobility Management de Okta, OneLogin, de Ping One de Ping Identity, IdP de Secure Auth y SmartSignin. Además de estos productos, también nos fijamos brevemente en BusinessSSO de AVG.

Varios proveedores se negaron a participar, incluyendo a NetIQ, WSO2, Covisint, CA, JanRain, RSA, Radiant Logic SalesForce y SailPoint. Asimismo, no nos enfocamos en las herramientas de gestión de identidad de fuente abierta o productos para consumidores, como LogMeIn.

Estas son nuestras conclusiones generales:

- En primer lugar, los productos han ampliado su soporte hacia factores adicionales de autenticación. Hace tres años, un factor adicional tenía que ver con lo que se podía esperar más allá del nombre de usuario/contraseña. Ahora, todos los productos tienen protección sólida de autenticación de factores múltiples (MFA, por sus siglas en inglés). Okta y Centrify incluso han creado sus propias aplicaciones móviles de contraseña de un solo uso. SecureAuth, Okta, Ping y Centrify pueden especificar MFA para aplicaciones particulares como parte de un enfoque de autenticación basada en el riesgo. Esto hace que el uso del SSO sea una herramienta de protección de gran alcance y puede hacer que los inicios de sesión sean mucho más seguros en lugar de confiar que los usuarios elijan contraseñas individualmente.

* En segundo lugar, como señalaron recientemente los analistas de Gartner, los vendedores están buscando la integración de la gestión de dispositivos móviles (MDM, por sus siglas en inglés) como parte de su oferta de servicios de identidad. Gartner ve un futuro brillante cuando los dos tipos de productos estén mejor integrados, y estamos de acuerdo. Aunque todavía no es tan capaz como una verdadera herramienta MDM, las herramientas de SSO como Okta, Ping y Centrify tienen un mejor enfoque móvil, y podrían ser una buena opción si quiere proteger sus endpoints móviles con algo más que sus contraseñas de inicio de sesión, pero no desea comprar una solución MDM por separado.

* En tercer lugar, en el 2012, la mayoría simplemente estaba mirando hacia la nube. Ahora, todos, menos SecureAuth, se centran en sus soluciones basadas en la nube. Los proveedores normalmente suministran dos URLs: una para que los usuarios hagan un inicio de sesión común a sus aplicaciones, y otra para que los administradores de TI accedan a las tareas de gestión. Esto significa que estos productos solo dejan una huella pequeña en su software en las instalaciones, sobre todo para el manejo de extensiones del navegador y la sincronización de Active Directory.

* Luego, estos productos han profundizado su soporte para varios proveedores de gestión de identidad. Los proveedores también se han vuelto más serios en la publicación de sus propias APIs y SDKs de identidad. Eso, junto con la posibilidad de alcanzar el esquema de Active Directory, significa que ahora es más fácil aprovisionar automáticamente cientos de usuarios a la vez con muy poca intervención del operador. Esto hace que las herramientas de SSO sean especialmente útiles si tiene que 'subir' una gran cantidad de personal rápidamente.

* Por último, casi todos los productos ahora son compatibles con miles de aplicaciones para su inicio de sesión automático de rutina y algunos vienen con catálogos en los que puede navegar para encontrar sus aplicaciones particulares. En general los productos son cada vez más fáciles de instalar e integrar en su colección existente de aplicaciones y servidores.

Nuestro ganador de la prueba es Centrify, pero no por mucho. Supera ligeramente los otros en términos de características e informes. Tanto Okta y OneLogin no se quedan atrás. Los otros caen algo por debajo de ellos en términos de características, la documentación, o la utilidad.

Estas son las opiniones individuales:

Centrify de Identity Service

Centrify ha reunido una sólida herramienta de SSO que también tiene algunas características fabulosas de gestión de dispositivos móviles (MDM). Si está en busca de ambos tipos de productos, éste debería estar en su lista. Superó a las otras herramientas, aunque no por mucho en algunos casos.

Como nota al margen, Centrify vende una versión de su software SSO a varios proveedores, incluyendo Samsung y AVG. (Ver recuadro sobre AVG.)

Centrify Identity Service

La interfaz de usuario de administrador está bien pensada con pestañas claramente etiquetadas para aplicaciones, políticas y dispositivos, entre otras. La instalación se llevó a cabo de forma rápida en pocos minutos. Las partes más difíciles fueron recibir las características AMF y la integración de Active Directory, ninguna de las cuales fue difícil una vez que entendimos lo que el producto quería de nosotros.

Centrify ha estado en el espacio de Active Directory durante varios años y su integración es bastante transparente. Una vez que descarga el conector y lo instala en su Windows Server, no hay mucho más que hacer. Puede configurar el soporte redundante activo/activo para un segundo servidor de Active Directory con solo instalar un segundo o tercer conector: éstos se encargan de hacer el balance de carga de las solicitudes de autenticación de Active Directory y la conmutación por error automática si hay algún problema de conexión. Es compatible con Windows Servers desde la vieja 2003 de 64 bits. También soporta autenticaciones integradas de Windows para que pueda iniciar sesión en sus escritorios y aplicaciones locales de Windows.

Además de Active Directory, Centrify también soporta LDAP, SAML, y otros proveedores de identidad. Agregar uno nuevo es muy sencillo, una vez que encuentra las opciones de menú para configurar todo. Las extensiones de navegador están disponibles desde un menú desplegable en la parte superior derecha y simplemente tiene que hacer clic en la apropiada para que su navegador la descargue.

Los ajustes MFA se establecen en la pestaña de políticas para los usuarios, y en la pestaña de aplicaciones para aplicaciones individuales. Ambos comparten el mismo conjunto de pantallas: tienen diferentes características dependiendo del tipo de sistema operativo. Esto significa que hay un conjunto para OS X, otro para iOS, y así sucesivamente. Esto es algo incómodo y significa que debe ingresar la misma información varias veces. Las opciones de MFA son numerosas: puede especificar cómo se desplegará si se 'loguean' desde fuera del espacio normal de direcciones IP de la empresa o de una máquina que nunca antes ha utilizado SSO de Centrify (a través de la ausencia de una cookie del navegador). Añade factores tales como correo electrónico, mensajes de texto SMS y llamadas telefónicas, además de cuestiones de seguridad. Más importante aún, puede desactivar MFA durante unos minutos para permitir que un usuario olvidadizo inicie sesión y restablezca sus cuentas, un buen detalle.

Centrify pedirá a los nuevos usuarios que añadan una (y solo una) pregunta de seguridad. También hay soporte para la función OTP de Centrify que está integrada en su aplicación para smartphone. No cuenta con el soporte para tokens OTP de terceros que tienen otras herramientas.

Hablando de la aplicación móvil, se trata de una solución MDM completa y no solo un generador de OTP como algunos de sus competidores. Puede borrar el dispositivo de forma remota, establecer políticas para para requerir un PIN del dispositivo y configurar otras cosas que se esperan en un producto MDM tradicional.

Centrify viene con docenas de informes enlatados que cubren la línea de costa, junto con la capacidad de crear sus propias consultas personalizadas de uso del SQL. Su documentación está disponible en línea y presenta los conceptos básicos para empezar.

Centrify tiene una gran colección de aplicaciones y los administradores pueden añadir nuevas en su bóveda de contraseña al iniciar sesión en la aplicación desde un navegador. Hay 17 entradas diferentes para diversas aplicaciones relacionadas con Google, incluidas las versiones británicas y japonesas, de las que solo una tiene aprovisionado SAML. Su aplicación Web gateway puede manejar enlaces de servidor Web internos muy hábilmente, sin la necesidad de conectarse a través de VPN o hacer agujeros en el firewall.

Los precios de Centrify son muy transparentes (ver en su página web). Hay dos versiones del servicio: App por cuatro dólares por usuario al mes, y App+ por ocho dólares. Si desea ayuda para dispositivos basados en Apple, agregue otros dos dólares al mes.

Microsoft Azure Active Directory Access Control

A principios de este año Microsoft añadió Azure Active Directory a su colección de ofertas basadas en la nube. Es difícil de configurar, ya que tenderá a perderse en el salón de los espejos que es el proceso de configuración de Azure: los servicios de Active Directory aún no se han integrado en el portal principal de gestión de Azure, y los diferentes bits de la funcionalidad Azure vienen con diferentes colecciones de menú que no son fácilmente navegables de un lugar a otro.

Pero una vez que lo tiene funcionando podrá ver que está diseñado principalmente para soportar las aplicaciones basadas en la nube que ha creado usando la identidad federada, mediante el intercambio de diversos certificados. Sigue siendo en gran medida un trabajo en progreso y sobre todo un juego de herramientas de desarrollador en lugar de un servicio pulido. Pero está claro que Microsoft tiene grandes planes para Azure AD, ya que su nueva App Store de Windows va a confiar en ella para la autenticación.

Microsoft Azure Active Directory Access Control

Azure AD es compatible con varios proveedores de identidad, incluyendo Windows Live ID, Facebook, Google, Yahoo, JSON Web Tokens, OpenID, SAML y WS-Fed. Conseguir esta instalación requerirá un cuidadoso estudio de una serie de documentos en MSDN. También viene con un conector AD descargable que instala varias piezas de software, incluyendo un servidor SQL Server local en un bosque local de Windows AD.

Al igual que algunos de los demás productos, Azure AD cuenta con un catálogo de aplicaciones SaaS que puede examinar para agregar SSO, y una búsqueda de Google trae más de una docena de referencias. A continuación, añádalo a su página de portada con un sencillo proceso de tres pasos para permitir la relación de inicio de sesión, habilitar el aprovisionamiento automático y asignar usuarios particulares a esa aplicación.

Los administradores tienen tres opciones sobre cómo ocurre el inicio de sesión: ya sea mediante la creación de una federación entre Azure y el proveedor de servicios de aplicaciones, por la tienda de Azure que tiene las credenciales de la cuenta del usuario, o utilizando alguna otra relación SSO existente. Hay más de una docena de informes diferentes, incluyendo la actividad de aprovisionamiento de la cuenta, inicios de sesión irregulares y/o desde varias ubicaciones.

Una pieza adicional para Azure AD es la aplicación de nube Discovery. Ésta descarga un agente para PCs Windows 7 y 8, y le permite inspeccionar el tráfico de red para determinar qué aplicaciones SaaS están accediendo.

Azure AD Premium tiene MFA y se basa en el antiguo servidor PhoneFactor MFA, que es una aplicación de Windows por separado, pero ahora se ha integrado con todo el servicio Azure en general. Es mucho más limitada que las herramientas de MFA de otros proveedores, aunque ofrece una función de derivación de una sola vez si un usuario está bloqueado de su cuenta. La característica MFA está disponible por 1,40 dólares al mes por usuario con autenticaciones ilimitadas, si no cuenta con la suscripción premium. Puede ser desplegado como un servidor local o en la nube de Azure, y funciona con numerosas aplicaciones SaaS que no son de Microsoft.

Si ya utiliza Azure para otros fines, entonces tiene sentido echar un vistazo más de cerca sobre cuál Azure AD comprar, y si sus desarrolladores pueden incorporar sus herramientas de SSO en sus aplicaciones de cosecha propia. Si busca un portal SSO de propósito general que pueda implementar para una amplia variedad de aplicaciones basadas en SaaS, entonces probablemente debería buscar en otra parte.

Azure AD tiene tres opciones de precios. La versión gratuita se incluye con una suscripción de Azure u Office 365 y puede proporcionar SSO para hasta 10 aplicaciones por usuario. También hay niveles de suscripción básicos y premium (este último para aplicaciones ilimitadas que también incluye el SSO sin cargo adicional, que probablemente es lo que prefiere la mayoría de las empresas) que están cubiertos por diversos acuerdos de compra corporativa de Microsoft o en línea por seis dólares por usuario al mes.

Okta Identity y Mobility Management

Okta fue uno de los productos que alcanzó los puestos más altos en nuestra revisión del 2012 y todavía es muy capaz. Okta tenía una impresionante interfaz de usuario en ese entonces y sigue siendo muy fácil de navegar, con fichas para Aplicaciones, Directorio, y Seguridad. Sin embargo, tiene varias debilidades que hicieron que baje su puntaje general en esta ocasión.

Business SSO de AVG

AVG compró su código de inicio de sesión único de Centrify y lo ha reenvasado como su servicio Business SSO que la compañía puso en marcha a principios de este año. Básicamente sigue la misma estructura de menús y configuraciones. Se le han añadido algunas características para hacer frente a su mercado objetivo, que es el espacio de SMB y MSP.

Esto se maneja a través de una pestaña 'Clientes' por separado en la interfaz de administración, donde se pueden configurar proveedores de identidad separados para cada uno de sus clientes. Cada cliente tiene su propia instancia de la herramienta SSO y el MSP global o distribuidor es el único que puede ver las cuentas individuales. De lo contrario, el producto AVG es idéntico a Centrify uno, y cobra tres dólares por usuario al mes para grandes instalaciones. La herramienta SSO de AVG es un elemento de un conjunto de otras herramientas que están diseñadas para proyectos de tamaño mediano bajo su línea Business Managed Workplace. Esto también incluye la copia de seguridad y recuperación de desastres, y un servicio de mesa de ayuda externalizado.

Por un lado, extiende su aprovisionamiento de proveedor de identidad sobre todas sus interfaces: En la ficha Directorio puede agregar cualquier dominio de Active Directory o LDAP, y para los anteriores tendrá que descargar e instalar su Domain Agent AD a Windows Server 2003 R2 o posterior. Poder activar este agente tomó una llamada a su soporte técnico. Una vez que se conecte a un dominio de Active Directory local, importa y asigna usuarios. El proceso es un poco más complicado que con Centrify.

Entonces, si desea agregar autenticación SAML, tienes que ir a una pestaña independiente y descargar el certificado Okta para hacer ese trabajo. Hablando de descargas, todos los diversos trozos de código que se pueden descargar se agrupan bajo una única pestaña del menú, incluyendo las aplicaciones MFA móviles y extensiones del navegador. Eso es muy útil.

Como Centrify y algunos otros, Okta ofrece una herramienta SSO de escritorio de Windows que funciona con la autenticación integrada de Windows, así que una vez que inicie sesión en Windows, ya está autenticado.

La pantalla principal de inicio de sesión de Okta tiene una interfaz con pestañas, permitiendo que las empresas segreguen sus aplicaciones en las que administran y las que son específicos de los usuarios finales individuales.

En los últimos años, Okta ha reforzado su funcionalidad MFA. Ahora ofrece una aplicación móvil, Okta Verify, que genera contraseñas de una sola vez. También es compatible con otros métodos MFA, incluyendo Google Authenticator, mensajes de texto SMS, Symantec VIP, RSA SecurID y tókens Duo Security, junto con la elección de una lista de preguntas y respuestas de seguridad. Las credenciales MFA pueden exigirse cada vez o de forma periódica para grupos específicos. También se pueden configurar para proteger aplicaciones particulares.

Okta tiene su propia aplicación móvil que puede proporcionar una sesión de navegación segura, y le permitirá iniciar sesión en las aplicaciones de su teléfono, al igual como lo haría desde su escritorio. Contiene algunas funciones MDM, aunque no tiene todas las capacidades de una herramienta completa de MDM.

Los informes también se han fortalecido, y se puede acceder tanto desde el panel de control principal como desde su propia pestaña. En la actualidad hay 11 tipos de informes predefinidos, incluyendo la muestra de aplicaciones no utilizadas. Esto puede ser útil cuando es el momento de renegociar sus licencias de software. Pero los informes solo muestran los últimos 30 días. En el panel de la derecha, junto a la selección de reportes, está un registro del sistema resumido que muestra los eventos de los últimos 30 días en diversas categorías.

Al igual que algunos de sus competidores, le ofrece la capacidad de explorar un directorio de aplicaciones para que las pueda agregar a sus aplicaciones corporativas aprobadas en general. Esto incluye varias entradas VPN que soportan conexiones ya sea SAML o RADIUS. Cuando se realizaron búsquedas en aplicaciones relacionadas con Google, encontramos 10 "verificadas de Okta", lo que significa que han sido probadas por el vendedor.

Okta ha añadido la capacidad de cambiar rápidamente el idioma utilizado en sus formularios entre una de tres lenguas diferentes, a las que se añadirán más hacia fines de este año.

El precio de Okta también es muy transparente en su página web. Hay varias ediciones diferentes, desde dos dólares por usuario al mes. La versión para empresas, que incluye MFA y aprovisionamiento de usuario, cuesta ocho dólares por usuario al mes. Esto incluye soporte básico: el soporte 24x7 tiene un costo extra. Las características de MDM suman unos cuatro dólares adicionales por usuario al mes.

OneLogin

OneLogin era el otro co-ganador de la revisión del 2012 y, si bien todavía es bastante fuerte, su interfaz de usuario se ha vuelto un poco difícil de manejar y se ha caído en términos de nuestra puntuación global. Solo hay cuatro mejores opciones del menú: usuarios, aplicaciones, actividad y configuración, siendo la última en donde se ha cumplido la mayor parte del trabajo real de la herramienta.

Una vez que llegue a su sección política (Ajustes/Seguridad/Políticas), puede crear otras basadas en el usuario o la aplicación, que es donde puede agregar reglas y restricciones MFA basadas en direcciones IP y otros detalles. Esto significa que OneLogin hace que sea fácil agregar autenticación basada en riesgos para los usuarios y aplicaciones.

OneLogin

Una de las razones por las que OneLogin era uno de los favoritos en nuestra revisión original se debió a sus impresionantes opciones de flujo de trabajo de auto-registro. Éstas siguen presentes, aunque algunos de los otros proveedores, como SecureAuth, ya han superado su capacidad.

Como testimonio de su longevidad, OneLogin también tiene numerosas herramientas SAML en una variedad de idiomas como .Net, Java y Ruby para que le sea más fácil integrar sus aplicaciones en sus rutinas SSO. Si tiene aplicaciones de cosecha propia y desea hacer uso de este protocolo, esta es una razón suficiente para considerarlos en su lista a corto plazo. Otro ejemplo de esto es que hay 42 aplicaciones relacionadas con Google, nueve de las cuales estaban basadas en SAML. También cuenta con pantallas de configuración específicas para establecer un inicio de sesión VPN y llevarlo a aplicaciones específicas.

El conector AD de OneLogin requirió los diversos componentes de Net Framework v3.5 para ser instalado. Una vez hecho esto, instalar su agente y sincronizar nuestra Active Directory con su servicio fue un proceso sencillo. Una característica interesante es que se le pida que instale un segundo agente como una conmutación por error a otra instancia de Active Directory. Su conector también hace uso del servidor Web IIS para manejar conexiones de SSO de escritorio.

El servicio cuenta con 11 informes enlatados y puede crear fácilmente los personalizados adicionales utilizando cuatro plantillas. Estos son un poco torpes hasta que se acostumbre a la interfaz. Uno de estos informes compendia contraseñas débiles, por lo que es un buen complemento. Todas sus extensiones del navegador se pueden descargar en este enlace.

OneLogin tiene una página de precios muy transparente aunque algo compleja. Puede comenzar con una cuenta de prueba "gratis para siempre" que no incluye MFA y otras características avanzadas, pero podría ser útil probarla. Sorprendentemente, esto incluye usuarios ilimitados y hasta aplicaciones correctamente protegidas. Si quiere comprar un plan de pago, la cuenta para empezar es de dos dólares por usuario al mes que incluye MFA para un mínimo de 25 usuarios; la cuenta para empresas es de cuatro dólares por usuario al mes, la cual añade algunas características empresariales para un mínimo de 10 usuarios, y una cuenta ilimitada por ocho dólares por usuario al mes que abre todas las características para un mínimo de cinco usuarios. Los dos planes más caros incluyen soporte telefónico premium 24x7.

PingOne de Ping Identity

Ping ha estado en el espacio de gestión de identidad desde hace muchos años y tiene algunos de los mayores clientes de todo el mundo. Cuando empezaron eran básicamente una solución en las instalaciones con su producto PingFederate, pero recientemente la compañía se ha centrado en la nube y ofrece una serie de productos incluyendo PingOne basado en la nube, su herramienta de acceso a la web PingAccess y su generador de tokens blandos OTP PingID. Ping Identity también tiene una aplicación móvil desde donde puede acceder a su página de portada. Si bien eso significa muchos bits de software para realizar un seguimiento, pueden ser flexibles en el soporte de diferentes circunstancias.

PingOne soporta cuatro proveedores de identidad: el suyo propio a través de Ping Federar o PingOne, OpenID de Google utilizando OAuth, Active Directory a través de su propio conector o un conector SAML de terceros. El conector de Active Directory necesita .Net Framework v4 para trabajar. No tuvimos ningún problema en instalarlo, pero al hablar con su soporte técnico, nos dimos cuenta que la mayoría de los clientes de Ping están usando Ping Federate para proporcionar la conexión Active Directory para las conexiones de identidad adicionales.

El soporte MFA es un poco limitado en PingOne. Puede utilizar su propio generador de OTP, llamado PingID o tokens OTP de SafeNet. Puede añadir los factores adicionales a todos los ingresos o para aplicaciones particulares utilizando la página Editor de directivas de autenticación en la pestaña de configuración. Si desea más factores, tiene que comprar el producto Ping Federate para las instalaciones de la empresa.

PingOne Ping Identity

Una docena de aplicaciones relacionadas con Google vinieron en su directorio, cinco de las cuales soportaban conexiones SAML. Cuenta con más de 1.600 aplicaciones en el directorio. Cuando selecciona una aplicación basada en SAML, verá una serie de instrucciones paso a paso, junto con capturas de pantalla ilustradas, que le llevarán a través del proceso de hacer que las cosas funcionen. Los informes no son el fuerte de este producto. El tablero de instrumentos le da un resumen atractivo, pero no hay mucho más.

Al igual que varios productos, se solicita a las extensiones de explorador de la primera vez que se conecte con un enlace para descargar la extensión.

Ping sería un producto más fuerte si pudiera consolidar algunas de sus diversas características y se centrara en la nube como un vehículo de administración primario. Si eso no es importante para usted, o si tiene necesidades complejas de federación, entonces debe darles más consideración y probablemente termine utilizando Ping Federate para las instalaciones de la empresa.

SecureAuth IdP

De todos los productos que probamos, SecureAuth tiene la mayor flexibilidad y la peor interfaz de usuario, una combinación que puede ser molesta a veces. Pero se utiliza en algunas instalaciones muy grandes.

SecureAuth es el único reducto de los productos probados que tiene que ejecutarse en un servidor Windows. Lo probamos en una instancia de Amazon que la empresa configuró para nosotros. En su corazón hay una serie de reinos de autenticación, que al añadirle otro grado de libertad sobre la forma en que se puede implementar, añade otro grado de complejidad a su puesta en marcha.

Así, en esa interfaz, que se supone será actualizada a finales de este año, es fácil perderse en su serie de menús en cascada; y si bien sigue siendo un producto muy capaz, otros han pasado por su facilidad de configuración.

SecureAuth IdP

La primera vez que se le presenta la interfaz de administración, verá una serie de pestañas en la parte superior. Lamentablemente, éstas no lo llevan directamente a las tareas reales que necesita llevar a cabo. Por ejemplo, en la pestaña 'General' es donde se ajusta la apariencia de sus páginas del portal, los idiomas y el texto concreto que se muestra a los usuarios. La ficha de 'Datos' es donde se especifican los proveedores de identidad, así como el esquema de Active Directory en varias propiedades para utilizar SecureAuth. Al igual que antes, hay una larga lista de proveedores, incluyendo algunos (por desgracia, hoy en día) oscuros como Novell eDirectory y Sun ONE entre otros. Y también se puede hacer uso de sus cuentas existentes de Facebook, LinkedIn y otras redes sociales como proveedor, con la autenticación de SecureAuth para hacer las cosas más seguras.

Las pestañas de 'Flujo de trabajo' y 'Métodos de registro' son necesarias para configurar cualquier soporte MFA: la primera es donde le dice a SecureAuth cómo y cuándo implementarlos, por ejemplo, para un inicio de sesión inicial o para una instancia de aplicación en particular; la última es donde le dice a la herramienta la forma de comunicarse con el usuario sobre el factor en particular, como un token OTP blando o un mensaje SMS.

La verdadera fuerza de SecureAuth siempre ha estado con sus diversas actividades de flujo de trabajo posterior a la autenticación. Hay una larga lista de acciones que pueden suceder después de que sus usuarios se autentican a sí mismos, y han mejorado desde la última vez que las vimos. Por ejemplo, puede traer a un usuario hacia un catálogo de la tienda de aplicaciones o hacer que se verifique una etiqueta de NFC (comunicaciones de campo cercano, por sus siglas en inglés), lanzar una aplicación móvil o llevarla directamente a Websphere de IBM. Hay docenas de opciones adicionales, y todo bajo otra pestaña con ese nombre.

Para que esto funcione, también querrá entender dónde poner los diversos fragmentos de información específica de las aplicaciones en IdP. Se han publicado varias docenas de diferentes guías, que le guiarán a través del proceso. Esto es enormemente más complicado que las otras herramientas de SSO, pero también más capaz. SecureAuth puede ayudarle si desea activar algo que no está en su catálogo.

Por último, la ficha 'Registros' es donde puede encontrar su pobre sustituto de informes reales. Esta es otra gran debilidad de SecureAuth.

Volviendo al soporte de MFA de SecureAuth, cuenta con una amplia selección de factores y fichas para elegir, incluyendo tókens Symantec VIP y Yubikey junto con su propio tóken OTP tenue, SMS, correo electrónico y todas las preguntas de seguridad que los usuarios puedan soportar. Una vez más, este es un testimonio a su flexibilidad, y está ligado directamente a su soporte para diversos métodos de autenticación basados en el riesgo, como la comprobación de las diferencias de ubicación geográfica entre los inicios de sesión o añadir restricciones de direcciones IP. Uno de estos factores es una huella digital especializada del navegador que hace algo más que simplemente establecer una cookie, sino que mira las versiones específicas del navegador y código del sistema operativo que el usuario utilizó para autenticarse la última vez. Sin embargo, ninguno de estos es muy sencillo en términos de configuración.

SecureAuth cobra por su servidor y sus usuarios por separado. Una configuración de 100 usuarios, por ejemplo, costaría 5.940 dólares el primer año.

SmartSignin de PerfectCloud

SmartSignin ha sido adquirido por PerfectCloud e integrado en sus otras ofertas de seguridad basadas en la nube, incluyendo su producto de transferencia segura de archivos SmartCyptor. Desde la última vez que los vimos en el 2012, ahora soportan siete proveedores de identidad (como Amazon, NetSuite y AD), con varios más en el horizonte y más de siete mil integraciones de aplicaciones.

Agregar aplicaciones resulta similar a algunos de los demás productos, en los que las busca en un catálogo. Cuando buscamos las relacionadas con Google, encontramos cinco en la lista. Una vez que elige una aplicación, puede seleccionar los usuarios de la misma. Al examinar la lista de todas las aplicaciones seleccionadas, hay una serie de íconos de acción muy pequeños asociados a cada aplicación: para cambiar a los usuarios que tienen acceso, compartir credenciales, para agregar credenciales SSO a la aplicación (si usan un certificado SAML o simplemente un nombre de usuario/contraseña almacenado) y la suspensión de la aplicación. Esto es algo tedioso, aunque se ve bien en la pantalla. La misma serie de íconos de acción se muestra en la pantalla de la lista de usuario.

SmartSignin PerfectCloud

Los proveedores de identidad hacen uso de SAML u otros medios federados, y vienen con extensas instrucciones de instalación para empezar. Esto es un poco más complejo que en algunos de sus competidores. Tienen un asistente de instalación de nueve pasos que hace muy sencillo el abordaje. Como parte de este asistente, también hay una serie de tutoriales en vídeo que explican los distintos pasos de configuración, y una amplia ayuda sensible al contexto que puede ser mostrada opcionalmente en la barra lateral derecha de cada pantalla. Si bien todo esto es útil, solo tiene tres informes disponibles: un resumen de los usuarios, un informe de auditoría, y un resumen global. Los informes se pueden exportar a Excel.

Cuando se trata del soporte MFA, SmartSignin es el más débil del conjunto de productos que revisamos, lo cual es irónico porque la empresa fue pionera en tener una segunda frase de contraseña en el 2012 y todavía hace uso de ella para acceder a su portal de SSO. También hay una serie de preguntas basadas en el conocimiento que puede habilitar como un factor adicional. Están trabajando en otros métodos MFA, incluyendo SMS y voz, pero no los tenían listos en el momento que probamos su producto. Además, MFA es solo para proteger su cuenta de usuario por completo, no existe un mecanismo para la protección de aplicaciones individuales.

Al igual que los demás productos, tiene un conector AD y extensiones del navegador para descargar. El conector AD que requiere que abra el puerto 9753 para que se comunique con su servidor de la nube. Si no ha instalado la extensión del navegador, se le pedirá automáticamente en su primera entrada. Ese es un buen detalle. El producto también tiene una serie de lo que llama "WebHooks" que son las APIs en reposo que puede llamar desde cualquier aplicación interna o externa para que aprovisione identidades y aplicaciones.

Tienen tres planes de precios de los que puede obtener detalles en línea: 'libre' para las personas, un 'plan de negocios' que cuesta seis dólares por usuario al mes, y un plan 'empresa' de unos ocho dólares por usuario al mes. Usted puede inscribirse en cualquiera de ellos de forma gratuita por 15 días.

Unas palabras acerca de la sincronización de AD

Las siete herramientas de SSO interactúan con su instalación local de Active Directory, pero tienen varias diferencias sutiles. Desde que las vimos en el año 2012, han recorrido un largo camino. Si bien todos los productos (excepto SecureAuth) tienen agentes ejecutables independientes que necesitan ser descargados e instalados en un servidor Windows, hay diferencias importantes que un administrador de TI de la empresa debe entender.

Debido a que SecureAuth es una aplicación real de Windows, se comunica a través de LDAP con la tienda de Active Directory. Tendrá que abrir el puerto 389 para que puedan comunicarse entre sí. Algunos de los productos (como Okta. Microsoft y Centrify) tienen la capacidad de restablecer las contraseñas de Active Directory desde dentro de sus propios portales de usuarios, lo que significa una llamada menos al soporte de TI cuando el usuario las olvida. Otros (como OneLogin) tienen instrucciones largas que requieren un cuidadoso estudio para hacer que sus agentes entren en servicio, o hacen que la descarga sea más difícil. Centrify y OneLogin ofrecen sincronización de dos vías con Active Directory, mientras Okta tiene importaciones de un solo sentido de Active Directory.

Proveedor/URL Proveedores de identidad Soporte de autenticación de múltiples factores Soporte a la gestión de dispositivos móviles Precio: (por usuario al mes con contrato anual)
Centrify Identity Service AD, LDAP, SAML Centrify OTP, SMS, correo electrónico, Preguntas y respuestas 10 dólares
Microsoft Azure AD Premium AD, LDAP, SAML, OpenID, WSFed Azure MFA No 6 dólares
Okta Identity and Mobility Management AD, LDAP, SAML, RADIUS Okta Verifica OTP y otra OTP Sí (por 4 dólares mensuales extra) 8 dólares
OneLogin AD, Radius SAML, Google, Workday OneLogin y varios OTP, SMS, Preguntas y respuestas. No 8 dólares
Ping Identity Ping One Numerosos incluyendo OAuth, AD y SAML Ping, SafeNet y otras OTPs 2 dólares
SecureAuth IdP Varios incluyendo SAML, LDAP, OAuth Varios OTP, preguntas y respuestas, SMS, correo electrónico No 3.700 dólares + 2 dólares
SmartSignIn PerfectCloud Varios incluyendo Google y AD Frase de contraseña, preguntas y respuestas. No 8 dólares

¿Cómo probamos los servicios de inicio de sesión único?

Utilizamos un plan de prueba similar a la revisión del 2012, pero también se centró en la experiencia del usuario, tanto del usuario final como desde la perspectiva de administrador de TI. Montamos cada producto con algunas cuentas de usuario de muestra y tratamos de automatizar los inicios de sesión para una serie de servicios alojados y en las instalaciones de los servidores, incluyendo Google Mail y Apps, Box.net, SharePoint, Office 365, Salesforce.com, LinkedIn, Twitter, inicios de sesión de Windows y un sitio de banca en línea.

Probamos cada producto en un local de Windows Server 2012 que se ejecuta como un controlador de dominio con su propio bosque de Active Directory, y nos fijamos en cómo cada producto conectaba a los usuarios basados en AD que ya habíamos establecido.

Nos conectamos a través de diferentes escritorios Windows y Mac, navegadores y clientes móviles (si eran compatibles) para ver cómo cada uno de ellos manejaba los diferentes inicios de sesión del sitio y las extensiones del navegador para guardar los nombres de usuario y contraseñas. También nos fijamos en lo que se necesitaría para aprovisionar automáticamente los nuevos usuarios, y expirar a los más viejos como con empleados que han sido despedidos.

David Strom, Network World (EE.UU.)

Vea también