Управление идентификацией и доступом (IAM) когда-то помогало ИТ-отделам крупных предприятий управлять сотрудниками в Active Directory. В современной ИТ-среде IAM играет гораздо более важную роль в авторизации географически рассредоточенных сотрудников, поскольку они подключаются к внутренним ресурсам, облачным ресурсам и особенно к приложениям «программное обеспечение как услуга» (SaaS).
ИТ-команды больше не могут легко управлять правами и разрешениями отдельных пользователей из-за быстрого роста приложений SaaS и удаленной работы. IAM снимает бремя индивидуального управления доступом, а также автоматизирует процессы подключения и отключения.
Выбор лучшего программного обеспечения для нужд IAM становится сложным, поскольку корпоративные потребности превосходят традиционные потребности в рабочей силе, охватывая разработчиков, клиентов и даже доступ из других приложений. Существует гораздо больше IAM-провайдеров, чем может быть описано в этой статье, но мы выделим основных провайдеров, их функции, плюсы, минусы и цены (если они доступны):
Лучшее выделенное программное обеспечение IAM — лучшее для выделенных потребностей IAM
CyberArk — IAM, ориентированный на безопасность
JumpCloud — IAM, удобный для малого бизнеса
Okta & Auth0 — лидер категории IAM
OneLogin — IAM, удобный для образования
Ping Identity — Претендент категории IAM
Лучшие инструменты IAM в портфолио
CyberRes NetIQ — для внутренних установок IAM
IBM — неуловимая безопасность IAM
ManageEngine — внутренний IAM + PAM
Microsoft — самое широкое покрытие IAM
Oracle — для корпоративного многооблачного IAM
После рассмотрения отдельных инструментов в этой статье будут рассмотрены поставщики услуг IAM, как были выбраны лучшие решения IAM, а также обзор тенденций IAM.
Лучшее программное обеспечение для выделенной идентификации и доступа (IAM)
Организации могут развертывать различные варианты, чтобы охватить возможности управления идентификацией и доступом, но иногда лучшим вариантом является приобретение специального решения, такого как пять ориентированных на IAM инструментов в этом разделе. Эти специализированные инструменты управления идентификацией и доступом интегрируются с программным обеспечением для управления персоналом и подключаются к критически важным активам и приложениям организации локально, в облаке и инструментам SaaS.
CyberArk — IAM, Ориентированный На Безопасность
CyberArk рассматривает идентификацию как основу стратегии безопасности и предлагает портфель инструментов для управления идентификацией, привилегированным доступом, управлением секретами, защитой привилегий конечных точек, защитой привилегий в облаке, а также доступом как для сотрудников, так и для клиентов. Поведенческая аналитика устанавливает базовый уровень для пользователей и может активировать оповещения и доступ к изменениям при обнаружении аномального поведения.
IAM-интерфейс CyberArk
Функции
Позволяет пользователям использовать искусственный интеллект (ИИ) для защиты от угроз.
Постоянно отслеживает поведенческие сигналы, чтобы убедиться, что пользователи являются теми, за кого себя выдают.
Единый вход и многофакторная аутентификация
Объедините ключевые технологии безопасности и упростите применение политик
Ориентированный на привилегии подход к защите личных данных
Возможность управления паролями
Плюсы
Отличный инструмент для тех, кто хочет легко добавить управление привилегиями и секретами
Варианты самостоятельного размещения инструментов
Минусы
Непрозрачные цены и лицензирование делают неясным, какие лицензии могут потребоваться для соответствия возможностям других продуктов IAM или других деталей ценообразования (на пользователя или на приложение? Ежемесячная или годовая оплата? и т. д.).
Организации, которым нужны только функции IAM, могут не воспользоваться дополнительными функциями и параметрами безопасности.
Цена
Cyberark не указывает цены на своем веб-сайте. Вместо этого сайт предлагает заинтересованным сторонам начать бесплатную пробную версию, связаться с компанией для получения предложения или обратиться к партнерам по перепродаже для получения дополнительной информации.
JumpCloud — IAM, Удобный Для Малого Бизнеса
Облачное решение JumpCloud предоставляет IAM и опции для управления устройствами и исправлениями. В инструменте есть варианты для реализации политик нулевого доверия, использования Cloud LDAP для управления пользователями и развертывания Cloud RADIUS для выдачи сертификатов на устройства в качестве одной из форм многофакторной аутентификации.
IAM-интерфейс JumpCloud
Функции
Централизованный контроль удостоверений и управление жизненным циклом с помощью инструмента Cloud Directory
Облачные сервисы LDAP и RADIUS
MFA, SSO, условный доступ и управление паролями
Интеграция системы управления персоналом
API-сервисы для разработки пользовательских рабочих процессов
Включает управление мобильными устройствами (MDM) и управление конечными точками Windows, macOS и Linux.
Обеспечивает управление исправлениями и интеллектуальные функции устройств
Плюсы
Упрощенное устранение неполадок и мониторинг соответствия действий пользователей
Готовый каталог приложений
Минусы
Изменения можно легко внести неправильно или опрометчиво без обучения.
Неправильные соединения могут перезаписать пароли пользователей
Строго облачный инструмент
Требуется модуль powershell для внесения массовых изменений
Цена
JumpCloud предлагает бесплатную версию для 10 пользователей и 10 устройств. Платные версии требуют наличия инструмента Cloud Directory и оплачиваются из расчета на одного пользователя в месяц. Доступно ежемесячное выставление счетов, но при годовом выставлении счетов применяется скидка.
Услуга Годовая цена Ежемесячная цена
База облачного каталога $3 $2
Варианты выбора Cloud Directory
MFA, SSO, управление жизненным циклом пользователей и т. д. $3 $4
Управление устройствами $5 $6
Круглосуточная поддержка $2 $3
Пакет SSO, объединяющий MFA, SSO и управление жизненным циклом пользователей. $7 $8.50
Пакет SSO по выбору
Управление устройствами $3 $5
Менеджер паролей или облачная аналитика (для пользователей AWS) $4 $4
Круглосуточная поддержка $2 $3
Пакет Core Directory, который добавляет информацию об Cloud LDAP, RADIUS и Directory. $11 $13
Пакет основных каталогов по выбору
Менеджер паролей или облачная аналитика (для пользователей AWS) $4 $4
Круглосуточная поддержка $2 $3
Пакет платформы JumpCloud, который добавляет управление устройствами $15 $17
Варианты выбора платформы JumpCloud
Управление исправлениями, менеджер паролей или облачная аналитика (для пользователей AWS) $4 $4
Круглосуточная поддержка $2 $3
PlatformPlus, который добавляет поддержку и опции нулевого доверия (политики условного доступа, доверие к устройствам и доверие к сети) $18 $20
ПлатформаПлюс опции a la carte
Круглосуточная поддержка $2 $3
Управление исправлениями, менеджер паролей или облачная аналитика (для пользователей AWS) $4 $4
JumpCloud предлагает профессиональные услуги по внедрению, миграции или техническому управлению учетными записями. JumpCloud также предлагает специальные цены и скидки для партнеров MSP, образовательных учреждений и некоммерческих организаций.
Okta & Auth0 — Лидер Категории IAM
Okta уже давно является лидером в области управления доступом, аутентификации и единого входа. Благодаря простому и легкому в управлении подходу, основанному на SaaS, Okta предлагает решения IAM, которые реализуют принципы нулевого доверия с меньшей сложностью.
Okta недавно приобрела Auth0, чтобы укрепить свои позиции лидера в своей категории и предложить разработчикам закодированные решения IAM для клиентских IAM и приложений. Окта также является специалистом по IAM, независимым от других крупных технологических компаний и публично торгуемым на NASDAQ.
Интерфейс Okta IAM
Функции
Безопасное управление идентификацией для приложений и многооблачных сред
Автоматизированное управление жизненным циклом для инициализации и деинициализации пользователей.
Безопасные варианты аутентификации без пароля
Варианты многофакторной аутентификации (MFA) и единого входа (SSO)
Функции управления привилегированным доступом
Адаптируйте Okta, используя параметры без кода, с низким кодом или с про-кодом
Подключайтесь к сторонним приложениям и системам для повышения безопасности и удобства пользователей.
Каталоги безопасно хранят пользователей и атрибуты в масштабе
Okta Insights собирает, анализирует и распространяет данные из инструмента IAM.
Identity Engine предлагает настройку авторизации, аутентификации и регистрации.
Плюсы
Более 7000 установленных интеграций
Варианты управления удостоверениями сотрудников или клиентов
Разработчики могут использовать установленное решение Auth0 IAM.
Признан лидером рынка Gartner, Forrester и G2
доступность 99,99%; построен с самовосстанавливающимися узлами для большей стабильности
Централизованное администрирование и единый каталог для управления пользователями, группами, приложениями, устройствами и политиками.
Единое решение IAM и управления
Расширенные адаптивные возможности SSO и MFA для повышения безопасности
Auth0 предлагает 14 готовых наборов для проектирования программного обеспечения (SDK) с библиотеками для конкретных языков.
Минусы
Приложение SaaS не очень настраиваемое
Облачное приложение, без локального варианта (кроме агентов для интеграции и подключения)
Требуется лицензирование нескольких инструментов для использования всех возможностей управления идентификацией и доступом.
Минимальные контракты не подходят для самых маленьких организаций
Цена
Цены на Okta могут быть сложными из-за множества опций, которые предлагает Okta.
Варианты Workforce IAM требуют годового контракта минимум на 1500 долларов и предлагают оптовые скидки для корпоративных клиентов с более чем 5000 пользователей. Okta предлагает различные уровни в зависимости от желаемых функций и оплачивается за пользователя в месяц.
Цена (долл. США) Вариант
$2 Единый вход (SSO)
$5 Адаптивный единый вход
$3 МИД
$6 Адаптивный многофакторный поиск
$2 Универсальный каталог
$4 Управление жизненным циклом
$2 Управление доступом к API
15 долларов за сервер в месяц Расширенный доступ к серверу
$3 Шлюз доступа
Рабочие процессы
бесплатно До 5 потоков
$4 Легкий — до 50 потоков
$5 Средний до 150 потоков
$6 Неограниченные потоки
Идентичность
$9 Легкий — до 50 потоков
$10 Средний — до 150 потоков
$11 Неограниченные потоки
Поддержка параметров IAM для клиентов и безопасное взаимодействие с клиентами приобретаются через приложение Auth0 для разработчиков. Auth0 бесплатен для 7000 пользователей с неограниченным количеством входов в систему. Платные категории зависят от варианта использования и количества активных пользователей. Также доступны индивидуальные расценки для сложных вариантов использования и скидки для некоммерческих организаций.
IAM-план клиента Цена Примечание
Основы B2B $130/месяц До 50 организаций
B2B-профессионал $800 / месяц До 100 организаций
Основы B2C $23/месяц
Профессиональный B2C $240/месяц Добавляет MFA, поддержку внешней базы данных, роли администратора и консолидированные хранилища пользователей.
Также доступны индивидуальные корпоративные планы с настраиваемыми подключениями и пользовательскими уровнями, расширенными параметрами развертывания, корпоративными надстройками и без ограничений администратора или действий.
OneLogin — IAM, Удобный Для Образования
OneLogin, подразделение One Identity, принадлежащее Quest Software, предоставляет специальное решение для управления идентификацией и доступом как для сотрудников, так и для клиентов. OneLogin также оказывает поддержку разработчикам, которые хотят интегрировать возможности IAM в свои собственные приложения.
OneLogin предлагает необычный вариант размещения приложения на рабочем столе конечного компьютера. Это настольное приложение запускается с паролем для входа и обеспечивает полностью контролируемую среду для всех подключенных приложений и пользователей, и, возможно, не требует использования каких-либо других паролей.
IAM-интерфейс OneIdentity OneLogin
Функции
Стабильная работа с доступом одним щелчком мыши к SaaS и локальным приложениям с любого устройства
Управляйте доступом ко всем своим приложениям с централизованной платформы с помощью единого пользовательского интерфейса.
Предлагает федерацию, единый вход и интегрируется с аутентификацией OneLogin SmartFactor.
Сочетает удобство использования и безопасность с адаптивной аутентификацией для динамической многофакторной аутентификации (MFA).
Расширенный каталог синхронизирует пользователей в нескольких каталогах, таких как Workday, Active Directory, G Suite, LDAP и т. д.
Может контролировать данные HR и оптимизировать ввод и увольнение сотрудников за счет автоматизации.
Варианты унификации и защиты удаленного доступа через локальные серверы и рабочие столы Windows.
Вариант для среды рабочего стола OneLogin, в которой логин устройства выступает в качестве учетных данных для всех приложений.
OneLogin предлагает функцию песочницы для тестирования конфигураций.
Плюсы
Более 6000 интеграций
Клиентский IAM может интегрироваться с логинами в социальных сетях
Эффективные оповещения и отчеты о несанкционированных попытках входа в систему
Интегрируется с платформами Student Information System (SIS), популярными среди организаций на образовательном рынке.
Минусы
Добавление пользователей к нескольким ролям может привести к многократному входу в одно и то же приложение через каждую роль.
Цены могут складываться с несколькими вариантами а-ля-карт
Цена
OneLogin предлагает гибкий набор предложений для своих продуктов IAM, но не публикует свои цены на IAM для клиентов или лицензирование для разработчиков. OneLogin предлагает портал самообслуживания для технически подкованных малых предприятий с числом пользователей менее 50 или предоставляет ссылки на сертифицированных партнеров MSP, которые могут помочь с развертыванием, обеспечить повседневное управление и предложить оптовые скидки.
Стоимость пакета Workforce IAM Bundle / пользователь / месяц
Расширенный пакет стоимостью 4 долл. США обеспечивает систему единого входа, расширенный каталог, многофакторную аутентификацию и безопасность на основе политик.
Пакет Professional за 8 долларов добавляет управление жизненным циклом удостоверений и удостоверение, ориентированное на персонал.
Расценки Workforce IAM a la carte на пользователя в месяц
Единый вход за 2 долл. США
Расширенный каталог $2
$2 МИД
Аутентификация SmartFactor за 5 долларов
Рабочий стол за 4 доллара
$4 Управление жизненным циклом идентификации
2 доллара за персональную айдентику
$4 РАДИУС
$2 рабочих процесса
Ping Identity — Претендент Категории IAM
Ping Identity, еще одна публично торгуемая чистая игра IAM на NASDAQ, предлагает ряд решений для управления идентификацией и доступом, которые можно приобрести отдельно. Ping предлагает IAM для охвата как рабочей силы, так и клиентов, а также поддержку разработчиков для добавления функций IAM к веб-сайтам и приложениям. Ping Identity отстает от Okta по выручке, но по состоянию на 2018 год все 12 крупнейших банков США использовали платформу Ping Intelligent Identity.
Пинг IAM-интерфейса идентификации
Функции
Администрируйте IAM в любом облаке или у любого пользователя, чтобы управлять IAM в масштабе.
Интеграция в гибридную ИТ-среду
Подтвердите личность пользователей и выявите потенциальное мошенничество
Обеспечьте согласованный единый вход (SSO) и многофакторную аутентификацию (MFA) с вариантами динамической авторизации.
Защитите доступ к ресурсам, данным и конфиденциальным действиям
Постоянно отслеживайте сигналы риска и трафик API
Рабочие процессы перетаскивания без кода, готовые шаблоны и простые A/B-тесты для проверки оркестровки удостоверений для различных рабочих процессов.
Плюсы
99,99% времени безотказной работы
Более 100 готовых интеграций
Обнаруживает угрозы и аномальное или рискованное поведение
Также доступен как
Выделенный вариант арендатора, управляемый и размещаемый с помощью Ping для клиентов, которым требуется изоляция данных.
Готовые к облаку контейнеры для локального или частного облачного развертывания некоторых возможностей.
Минусы
Некоторые клиенты жалуются на сложное управление ролями и создание прав.
Требуется лицензирование нескольких инструментов для использования всех возможностей управления идентификацией и доступом.
Минимум контракта будет неподходящим для небольших организаций
Цена
Ping предлагает бесплатную 30-дневную пробную версию своего продукта и оценивает свое решение PingOne Workforce в зависимости от количества пользователей в месяц на основе годового контракта с минимум 5000 пользователей.
Стоимость 3 Essential включает механизм оркестрации удостоверений, систему единого входа, каталог, док-станцию для сотрудников.
$6 Plus добавляет адаптивную MFA, интеграцию с Microsoft, аутентификацию без пароля, входящую подготовку и LDAP.
Премиум требует индивидуального предложения, но добавляет расширенную аутентификацию, безопасность доступа, делегированное администрирование, интеграцию VPN и удаленного доступа, контроль доступа через API и многое другое.
PingOne for Customers оценивается ежегодно по трем уровням:
Essential стоимостью 20 000 долларов США включает в себя механизм оркестровки удостоверений, систему единого входа, политики аутентификации, настраиваемую регистрацию/вход, единый профиль клиента, самостоятельную настройку параметров, безопасное управление пользователями, подключение к приложениям с открытыми стандартами, RESTful API и единый административный портал.
40 000 долл. США Плюс добавляет адаптивную многофакторную проверку подлинности, встроенную многофакторную проверку подлинности для мобильных приложений, управление устройствами клиентов, утверждение транзакций, управление доступом к API, LDAP и аутентификацию без пароля.
Для Premium требуется индивидуальное предложение, но добавлена поддержка экстремальных скачков спроса, подключения к нескольким хранилищам данных и другие настройки.
Лучшие инструменты IAM в портфолио
Иногда управление идентификацией и доступом является лишь одной из проблем, которые необходимо решить ИТ-команде. В этих случаях может быть выгодно работать с поставщиком, предлагающим более широкий спектр инструментов, поскольку инструмент IAM должен автоматически интегрироваться с другими инструментами, необходимыми организации. Пять поставщиков в этой категории предлагают гораздо более широкий набор инструментов, которые организация будет использовать при оценке пригодности решения IAM.
CyberRes NetIQ — Для Внутренних Установок IAM
CyberRes от Micro Focus предоставляет набор инструментов NetIQ для управления идентификацией и доступом. Его адаптивный подход, ориентированный на идентификацию, предлагает интегрированную платформу для управления идентификацией, доступом и привилегиями, которая интегрируется с другими инструментами безопасности и конфиденциальности в коллекции.
IAM-интерфейс MicroFocus CyberRes NetIQ
Функции
Служба управления рисками NetIQ использует метрики контекстных и поведенческих рисков для адаптации процесса аутентификации пользователей.
Настраивает уровни авторизации сеанса по мере необходимости для защиты конфиденциальных ресурсов.
Обеспечивает видимость и контроль действий привилегированных пользователей для предоставления действенной аналитики безопасности для устранения возникающих угроз.
Позволяет управлять политиками конфигурации и применять их в критически важных локальных системах и в облаке для Unix, Linux, Windows, Azure, O365 и служб, не присоединенных к домену.
Редактируйте, тестируйте, просматривайте и сравнивайте изменения перед внесением изменений в среду, чтобы предотвратить бреши в безопасности.
Автоматизируйте и оптимизируйте запросы на доступ, сертификацию доступа, управление жизненным циклом удостоверений, подготовку и отчеты о соответствии
Исправление на основе политик для автоматической защиты местоположений или их блокировки
Устанавливается в архитектуре организации (локальные центры обработки данных или частное облако).
Плюсы
Простое централизованное управление запросами и утверждениями для самообслуживания
Непрерывное управление для обнаружения изменений с высоким риском
Локальные установки обеспечивают полный контроль над организацией
Минусы
Производительность и время безотказной работы зависят от инфраструктуры и ресурсов организации.
Требует больше затрат на управление, поддержку и инфраструктуру, чем размещенные решения.
Цена
MicroFocus предлагает бесплатные пробные версии своего программного обеспечения, но не публикует цены на своем веб-сайте и не указывает характер лицензий (бессрочные, годовые и т. д.).
IBM — Неуловимая Безопасность IAM
IBM Security Verify предоставляет решения для управления идентификацией и доступом как часть более широкого портфеля продуктов для обеспечения безопасности. Портфолио IBM IAM также распространяется на связанные категории технологий управления и управления привилегированным доступом (PAM).
IBM разрабатывает Security Verify так, чтобы она оставалась невидимой для пользователей и работала в фоновом режиме. Этот подход обеспечивает IAM и безопасность с меньшим вмешательством пользователя.
Интерфейс IBM Security Verify IAM
Функции
Незаметно проверяет личность пользователя при входе в систему и на протяжении всего сеанса.
Использует ИИ для выявления выбросов и опасных комбинаций прав
Обеспечивает доступ к ресурсам и приложениям в облаке, локально или в гибридном облаке.
Централизованно управляет и автоматизирует сертификацию доступа, вход и выход из системы, а также обнаружение нарушений разделения обязанностей.
Обеспечивает единый вход и многофакторную аутентификацию на основе рисков.
Администраторы могут безопасно предоставлять права доступа и разрешения
Предоставление, аудит и отчет о доступе и активности пользователей
Разрешает варианты самообслуживания для запроса доступа и сброса пароля
Плюсы
Доступны как облачные, так и локальные решения
Особое внимание уделяется отчетам о безопасности и управлении
Тесно интегрируется в экосистему IBM
IAM на основе ролей
Может подключаться к локальным приложениям и службам, таким как виртуальная частная сеть (VPN)
Обнаруживает и отслеживает пароли для учетных записей с высоким доступом
Минусы
Лучше всего подходит для крупных корпоративных клиентов
Малым предприятиям не потребуется много функций и инструментов
Не известен большим количеством интеграций приложений
Для локального управления требуется гораздо больше ИТ-труда, чем для решений SaaS.
Клиенты жалуются, что интерфейс не работает на мобильных устройствах.
Цена
IBM предлагает Security Verify как для IAM для сотрудников, так и для IAM для клиентов (CIAM), причем оба решения также доступны в виде готовых консультационных и управляемых услуг. IBM продает через деловых партнеров, а также устанавливает цены через своих внутренних представителей.
IBM предоставляет калькулятор стоимости на своем веб-сайте и продает лицензии сроком на один, два и три года. Стоимость будет варьироваться в зависимости от лицензированных модулей. Опубликованные примеры цен включают:
Веб-сайт IBM: Пример стоимости для 5000 пользователей (рабочая лицензия)
1,71 долл. США за пользователя в месяц
1,71 долл. США за пользователя в месяц МИД
1,71 долл. США за пользователя в месяц адаптивного доступа
2,01 долл. США за пользователя в месяц, жизненный цикл и подготовка
2,13 долл. США за пользователя в месяц.
AWS Marketplace: пример контракта на 12 месяцев
15 000 долларов США в год / 100 пользователей для Verify Workforce
12 000 долларов США в год / 10 000 пользователей Verify Consumer
Цены на консалтинговые и управляемые услуги «под ключ» не публикуются.
ManageEngine AD360 — Внутренний IAM + PAM
Портфель инструментов ManageEngine включает несколько инструментов, связанных с управлением идентификацией и доступом, но ключевым инструментом является ManageEngine AD360. Другие инструменты могут добавлять возможности для привилегированного управления, аудита, управления активными каталогами и управления ключами.
IAM-интерфейс ManageEngine AD360
Функции
Автоматизированное управление жизненным циклом идентификации
Адаптивная многофакторная аутентификация и безопасный единый вход
Рабочие процессы на основе утверждения
Защита от угроз личности
Поведенческая аналитика на основе ИИ
Плюсы
Локальные установки обеспечивают полный контроль над организацией
Быстрая и простая установка и внедрение
Пакетная цена включает в себя множество различных возможностей, помимо IAM.
Минусы
Производительность и время безотказной работы зависят от инфраструктуры и ресурсов организации.
Требует больше затрат на управление, поддержку и инфраструктуру, чем размещенные решения.
Требуется установка нескольких инструментов, чтобы соответствовать возможностям инструментов, предназначенных для IAM.
Компаниям могут не понадобиться возможности, отличные от IAM, которые входят в комплект AD360.
Цена
ManageEngine предоставляет 60-дневную бесплатную пробную версию AD360 и калькулятор цен для оценки стоимости лицензирования. Клиенты могут выбирать между стандартной и профессиональной версиями, а цены включают годовую плату за обслуживание и поддержку.
Минимальные цены составляют 2870 долларов США за стандартную версию и 5020 долларов США за профессиональную версию и включают лицензии на:
ADManager Plus — 1 домен, 2 техника службы поддержки
ADAudit Plus — 2 контроллера домена, 2 файловых сервера, 5 рядовых серверов, до 100 рабочих станций
ADSelfService Plus — до 500 пользователей
Также доступны другие дополнения, адаптация, внедрение и обучение.
Microsoft — Самое Широкое Покрытие IAM
Microsoft Active Directory обеспечивает основу для управления идентификацией для многих организаций по всему миру, но не выходит за пределы локальных сетей. Чтобы удовлетворить расширенные потребности в современном IAM, Microsoft предлагает набор инструментов под названием Microsoft Entra, которые можно использовать для реализации управления идентификацией и доступом для мультиоблачных и мультисетевых нужд.
Запущенный в мае 2022 года набор инструментов Entra теперь также включает Azure Active Directory, поэтому при совместном использовании он охватывает самый широкий спектр потребностей IAM. Однако некоторые инструменты в настоящее время существуют только в режиме предварительного просмотра и не были выпущены в коммерческих целях.
IAM-интерфейс Microsoft Azure Active Directory
Функции
Azure Active Directory
Централизованное, облачное, унифицированное управление идентификацией
Упрощенное управление идентификацией для пользователей и администраторов
Быстрый и простой вход в мультиоблачную среду
Безопасный доступ с помощью надежных политик аутентификации и политик адаптивного доступа с учетом рисков.
Варианты для единого входа, многофакторной идентификации, беспарольного и условного доступа
Включает в себя внешние идентичности
Автоматизирует и упрощает жизненный цикл доступа (включение и выключение)
Встроенное управление привилегированным доступом
Управление идентификацией внутри:
Управление доступом между ресурсами, пользователями и приложениями
Настройка требований для повторяющихся обзоров пользователей, членства в группах и доступа
Автоматизируйте доступ сотрудников, поставщиков или партнеров к приложениям и службам как в облаке, так и локально.
Может делегировать повседневные запросы на доступ к ресурсам бизнес-группам.
Войдите в Управление разрешениями:
Единые политики доступа к облаку и управление правами на инфраструктуру
Обнаруживает удостоверения, получающие доступ к облачным платформам
Автоматизирует принцип наименьших привилегий
Непрерывный мониторинг разрешений
Подтвержденный идентификатор Entra:
Проверяет и подтверждает идентификационную информацию и учетные данные
Самостоятельное восстановление аккаунта
Обеспечивает цифровую интеграцию проверок биографических данных
Идентификаторы рабочей нагрузки Entra:
Защищает удостоверения для приложений и рабочих нагрузок с нулевым доверием
Обнаруживает скомпрометированные идентификаторы рабочей нагрузки
Упрощенное управление жизненным циклом рабочей нагрузки
Плюсы
От одного из самых надежных брендов в области ИТ и безопасности — Microsoft
Самый широкий взгляд на то, что должен охватывать IAM, включая проверку личности (Entra Verified ID) и обработку приложений и рабочих нагрузок как пользователей, подлежащих проверке (Entra Workload Identities).
Базовое управление идентификацией включено в другие подписки Майкрософт.
AAD уже управляет более чем 1 миллиардом удостоверений
Минусы
Требуется несколько инструментов для достижения базового IAM
Полный набор инструментов будет ненужным для многих пользователей
Слишком новичок, чтобы знать, насколько хорошо это работает по сравнению с конкурентами
Может быть ошеломляющим для неопытных специалистов IAM
Интеграция может потребовать значительного устранения неполадок
Цена
Цены пока недоступны для всех инструментов пакета, но некоторые из них также включены в другие подписки Microsoft Office 365. Цены указаны из расчета на месяц.
Azure Active Directory (AAD) — бесплатная версия поставляется вместе с коммерческими онлайн-сервисами, такими как Azure, Dynamics 365 и т. д.
Включает облачную аутентификацию, федеративные службы AD, SSO, MFA, управление доступом на основе ролей, управление пользователями и группами, синхронизацию каталогов, доступ без пароля, автоматическую подготовку пользователей к приложениям и ограниченное самообслуживание конечных пользователей.
AAD Free с настраиваемой страницей входа пользователя предоставляется бесплатно с некоторыми уровнями подписки на Office 365.
6 долл. США на пользователя AAD Premium P1 входит в состав Microsoft 365 E3 или приобретается отдельно.
Добавляет групповые назначения для приложений, обнаружение облачных приложений, прокси-серверы приложений, условный доступ, ограниченный доступ к SharePoint, управление временем жизни сеанса, настраиваемые атрибуты безопасности, расширенное управление группами, глобальную защиту паролем и управление, клиентскую лицензию Microsoft Identity Manager, автоматическую подготовку групп к приложениям., и больше.
9 долларов США на пользователя AAD Premium P2 входит в состав Microsoft 365 E5 или приобретается отдельно.
Добавляет защиту удостоверений, сертификаты доступа, управление правами, управление привилегированными удостоверениями и многое другое.
10,40 долл. США за ресурс для управления разрешениями Entra
3 доллара США за рабочую нагрузку для Entra Workload Identities Premium
Oracle — Для Корпоративного Многооблачного IAM
Инструменты Oracle Cloud Infrastructure Identity and Access Management и Access Governance управляют идентификацией и доступом в различных облачных и локальных приложениях и устройствах. Продукты контекстно-зависимого доступа интегрируются с широким спектром приложений, серверов и систем, включая настраиваемые приложения.
IAM-интерфейс Oracle
Функции
Службы IAM могут управляться самостоятельно, совместно управляться в облаке или полностью управляться через SaaS.
Облачное управление корпоративным доступом, которое поддерживает гетерогенные и мультиоблачные потребности
Функции управления обеспечивают модель предоставления/самоуправления программного обеспечения для управления локальными и облачными резидентными удостоверениями, а также работу в качестве микросервисов.
33 глобальных центра обработки данных обеспечивают возможности, масштабируемость и гибкость для управления доступом и управления
Oracle внедряет возможности OCI IAM в свои сервисы Fusion Application Cloud, чтобы упростить выделение ресурсов и управление ролями.
Сочетается с существующими облачными платформами от Azure, AWS, Google и других.
Автоматизирует управление жизненным циклом пользователя для всех ресурсов
Плюсы
Администраторы назначают приложения группам, а пользователей — группам, чтобы пользователи могли легко самостоятельно предоставлять доступные приложения без нагрузки на ИТ-специалистов.
Включает периметр на основе идентификации для Zero Trust
Может предоставлять ориентированный на клиента IAM
Интегрируется с платформами социальных сетей
Настраиваемые пользовательские интерфейсы
Лучшее решение для крупных корпоративных клиентов
Минусы
Сложная архитектура может быть очень сложной для изучения
Не поддерживает многие сторонние инструменты интеграции
Ценообразование может быть сложным и запутанным, поскольку неясно, какие лицензии предоставляют какие возможности или может потребоваться несколько лицензий.
Цена
Oracle размещает базовые цены на своем веб-сайте, но клиенты также могут обратиться к партнерам-реселлерам за возможными скидками. Цены указаны на пользователя в месяц с возможной платой за токены и тексты SMS при использовании в больших объемах.
Управление идентификацией и доступом
0,016 доллара США за каждого внешнего пользователя (клиентов, поставщиков и т. д.)
0,25 долл. США Премиум приложений Oracle
3,20 долл. США Управление идентификацией и доступом Premium
Управление доступом
$0,69 для первых 10 000 пользователей
0,63 доллара США для > 10 000 до < 50 000 пользователей
0,54 доллара США для 50 000 пользователей и более
Поставщики услуг управления идентификацией и доступом (IAM)
Скрытое предположение при выборе программного решения, даже SaaS, заключается в том, что у организации есть время и опыт, необходимые для установки, настройки и использования инструмента. Для организаций с ограниченными ресурсами, которым требуется IAM, иногда лучшим вариантом будет передача IAM на аутсорсинг поставщику услуг.
Хорошо это или плохо, но количество поставщиков услуг значительно превышает количество потенциальных поставщиков инструментов IAM, поэтому невозможно составить разумный список из пяти «лучших» поставщиков без учета потребностей организации. Вместо этого мы сосредоточимся на типах поставщиков и на том, что они могут предложить.
ИТ-Консультанты
Многие консалтинговые компании предлагают технологические услуги как часть своего портфеля услуг. Крупнейшие глобальные предприятия могут искать глобальные имена для предоставления своих услуг IAM, таких как KPMG или EY. Тем не менее, есть консультанты всех размеров, и организация с высоким уровнем комфорта со своей местной командой консультантов может быть вполне удовлетворена расширением своих услуг, чтобы охватить IAM.
Специалисты По Информационным Технологиям И Безопасности
Некоторые организации предпочитают предоставлять свои ИТ-услуги и услуги по обеспечению безопасности поставщикам управляемых ИТ-услуг (MSP) и специалистам по управляемым поставщикам ИТ-безопасности (MSSP). Широкий спектр крупных и мелких поставщиков предоставляет услуги IAM столь же широкому кругу клиентов. У каждого поставщика будут свои любимые инструменты и методы IAM, поэтому организациям необходимо будет убедиться, что поставщик может удовлетворить их конкретные потребности и интегрироваться с их критически важными приложениями.
Организации, которым требуются услуги IAM, могут начать с обсуждения вариантов со своими текущими поставщиками ИТ и систем безопасности. Для конкурирующих котировок быстрый поиск в Интернете позволит выявить поставщиков услуг IAM, таких как:
GlobalSign от ГМО
Инфосис
Интервизия
Оптив
Ты прав
Веризон
Еще одним хорошим ресурсом является изучение веб-сайтов инструментов, которые организация может использовать для своих нужд IAM. Например, IBM предлагает управляемые услуги IAM, и большинство поставщиков, таких как OneLogin, перечисляют партнеров по продажам и технологиям, которые могут помочь передать часть или все потребности IAM на аутсорсинг.
Как были выбраны лучшие решения IAM
Чтобы создать пул кандидатов для лучших решений IAM этого года, мы проконсультировались с различными интернет-источниками, такими как Gartner Magic Quadrant для управления доступом, Forrester Wave для Identity as a Service (IDaas), Identity Management Institute и отзывами клиентов о веб-сайты, такие как G2. Мы также проверили веб-сайты поставщиков и изучили их возможности и функции.
Чтобы оставаться на рассмотрении, инструмент должен предоставлять надежные возможности как для управления идентификацией, так и для управления доступом. Некоторые инструменты, обладающие другими возможностями, не попали в список, потому что они могли обеспечить только некоторые из этих возможностей.
Управление идентификацией требует создания, администрирования и развертывания идентификаторов, учетных данных и атрибутов. Управление доступом требует сосредоточения внимания на контроле разрешений, назначенных пользователям, и оценке этих разрешений по отношению к удостоверениям всякий раз, когда запрашивается информация или доступ к активам.
Некоторые инструменты могут предоставлять те же преимущества, что и IAM, но с использованием других технологий, таких как управление удаленным доступом. Мы предполагаем, что организации, которые ищут IAM, ищут именно решения IAM, поэтому эти инструменты не были включены.
Примеры инструментов, которые были исключены из этой статьи, включают:
Cisco / Duo — Cisco развертывает впечатляющий набор инструментов управления доступом, начиная с MFA Duo и заканчивая надежным контролем доступа к сети. Однако отсутствие функций для управления идентификацией на их веб-сайте и небольшая документация об этих возможностях означали, что они не попали в список.
Prove — Prove использует телефонные номера, чтобы подтвердить личность и обеспечить надежное подтверждение личности. Однако этот инструмент не обеспечивает управление доступом или настоящие функции управления идентификацией, такие как группы.
Sempris — Sempris предлагает очень важные инструменты безопасности для защиты Active Directory, но, хотя это связано с управлением идентификацией, оно не квалифицируется как IAM.
Twingate — Twingate предоставляет эквивалент IAM для облачных приложений, предлагая веб-альтернативу VPN, однако явно не предлагает возможности IAM.
Остальные инструменты сравнивались по возможностям, и для этой статьи мы выбрали 5 наиболее примечательных специализированных решений IAM и 5 наиболее интересных решений IAM, которые являются частью более крупных наборов инструментов. Учитывая количество качественных поставщиков и быстрый темп изменений в этой области, мы можем ожидать, что этот список со временем изменится.
Почему ИАМ?
Инструменты управления идентификацией и доступом становятся важными, когда организация имеет несколько офисов, удаленных сотрудников и необходимость контролировать доступ к облачным ресурсам или приложениям SaaS. Небольшие организации часто вручную контролируют доступ к каждому ресурсу, но как только облачные ресурсы достигают определенного значения или организация достигает определенного размера, задержки в управлении жизненным циклом становятся более дорогостоящими.
Организации, которые задерживают доступ к приложениям для новых сотрудников, теряют время и деньги. Организации, которые задерживают удаление доступа к сотрудникам, покидающим организацию, рискуют украсть данные или саботировать. IAM также может стать основой для реализации других инициатив в области безопасности, таких как нулевое доверие или граница службы безопасного доступа (SASE).
Как выбрать решение IAM
Как только организация осознает потребность, она должна найти подходящее решение. Ключевые факторы в решении, вероятно, будут вращаться вокруг:
Возможности интеграции. Если у вас есть критическое приложение, превосходное приложение, которое не интегрируется с ним или не поддерживает его, будет бесполезным. Фактическое удобство использования важнее потенциальных возможностей.
Пользовательский опыт: сколько хлопот возникает или уменьшается при внедрении IAM? Во многих инструментах представлены запросы приложений самообслуживания, автоматические утверждения и возможности единого входа (SSO), которые уменьшают трудности для пользователей при получении и использовании интернет-ресурсов. Организации с большим количеством мобильных пользователей также должны убедиться, что их решение обеспечивает бесперебойную работу мобильных устройств для их пользователей.
Потребности в безопасности: организациям с повышенными требованиями к безопасности необходимо будет развернуть опции MFA, выполнить детальный контроль над доступом, а также отслеживать и сообщать о доступе по активам или пользователям.
Необходимые ресурсы: некоторые инструменты будут представлять собой решения SaaS с ограниченными ресурсами, а другие потребуют развертывания локальной системы. Стоимость необходимых ресурсов для запуска инструмента также необходимо добавить к потенциальным затратам на персонал для установки, настройки, обслуживания и использования.
Доставляемая ценность: в идеале инструменты не просто предоставляют функции, они должны приносить пользу. Ценность дополнительной безопасности и контроля может быть трудно поддается количественной оценке, но экономия времени по сравнению с ручным выполнением задач IAM привела к оценкам возврата инвестиций (ROI) между 482% и 548%.
Каждой организации необходимо будет убедиться, что возможности инструментов соответствуют их потребностям, и оценить сопутствующие ресурсы и рентабельность инвестиций. Многие инструменты предоставляют пробные периоды для тестирования, но имейте в виду, что интеграция может занять много времени и должна быть зарезервирована для финалистов.
Обзор тенденций управления идентификационным доступом
Управление идентификацией и доступом и ID-как-услуга не обеспечивают чудодейственного средства от угроз безопасности, как это обнаружили клиенты Okta в прошлом году. Однако хорошо выполненная IAM может снизить риск человеческой ошибки и ограничить влияние ошибок.
По мере того, как все больше организаций развиваются, их потребность в контроле доступа сотрудников и потребителей к своим приложениям, управлению идентификацией и доступом, естественно, возрастает по важности и степени внедрения. По мере распространения IAM возможности и использование IAM также продолжают расширяться. Основные тенденции в области IAM заключаются в расширении масштабов, внедрении искусственного интеллекта и внедрении новых стандартов безопасного доступа.
Расширение Сферы Применения IAM
Раньше организации беспокоились только о проверке личности сотрудников и предоставлении им доступа к внутренним ресурсам, таким как общие серверы и сетевые устройства (принтеры, рабочие станции и т. д.). Однако по мере того, как масштабы ИТ расширяются, определение IAM также меняется.
Мы по-прежнему защищаем персонал, но теперь IAM может расширить круг пользователей, включив клиентов и даже приложения, которым необходим доступ к корпоративным ресурсам. Мы по-прежнему защищаем серверы и сетевые устройства, но также расширяем IAM для управления доступом к контейнерным облачным ресурсам и интернет-приложениям SaaS.
IAM На Основе ИИ
По мере совершенствования искусственного интеллекта все больше поставщиков используют ИИ и машинное обучение для разработки модулей поведенческой аналитики, которые обнаруживают аномальное поведение пользователей и предупреждают об этом. Эти инструменты улучшают общую безопасность организации, не добавляя существенных требований к персоналу службы безопасности или другим инструментам безопасности.
IAM: Внедрение Новых Стандартов Безопасного Доступа Для Нулевого Доверия И SASE
Поскольку все больше пользователей получают удаленный доступ к приложениям, ограничение доступа для удаленных сотрудников, партнеров и клиентов стало столь же сложным, сколь и критическим. Статический продукт с единым входом (SSO) или многофакторной аутентификацией (MFA) не подойдет на уровне предприятия, где цена взлома высока.
Затраты на взлом могут включать потерю данных, кражу интеллектуальной собственности, ущерб доверию и репутации клиентов, затраты на реагирование на инциденты и время простоя. Крутые штрафы могут быть даже наложены за нарушение правил соответствия, таких как HIPAA, GDPR и CCPA, если речь идет о медицинской или личной информации (PII).
Чтобы снизить риск и защитить активы за пределами локальной сети, многие организации обращаются к принципам защищенного доступа (SASE) и нулевого доверия. IAM помогает выполнять требования этих принципов путем проверки удостоверений пользователей, управления принципом наименьших привилегий, определения политик доступа к активам и соблюдения требований к доступу (MFA и т. д.), определенных политиками.
Будущее IAM: Децентрализованная Идентификация
Gartner считает, что рынок IAM в конечном итоге обеспечит децентрализованную идентификацию. Вместо системы идентификации и проверки, ориентированной на пользователя, «ткань доверия к идентификации» обеспечит уровень безопасности между пользователями и приложениями.
Однако текущая концепция децентрализованной идентификации опирается на технологию блокчейна, а также связана с все еще формирующейся концепцией сетки кибербезопасности, которая объединит обширные распределенные корпоративные сети и ресурсы в централизованный уровень управления политиками и оркестровки.
Итог: разработка экосистемы IAM
Выбор решения для управления идентификацией и доступом может значительно повысить безопасность и контроль над SaaS и облачными ресурсами. Для организаций, стремящихся к дальнейшему повышению безопасности, существует множество смежных технологий, дополняющих и усиливающих решение IAM.
Например, управление привилегированным доступом (PAM) предоставляет специализированные инструменты для управления правами администратора и другими повышенными и опасными уровнями доступа. Безопасность Active Directory, защита идентификации машин, менеджеры паролей и управление ключами шифрования также затрагивают ключевые факторы безопасности идентификации и разрешений, которые могут представлять огромный риск для организации, подвергшейся взлому.
Хотя может показаться, что всегда будет другой инструмент, необходимый для полной защиты организации, внедрение широких фундаментальных уровней безопасности всегда будет первым важным шагом. В современной рассредоточенной ИТ-среде внедрение эффективного инструмента IAM должно стать одним из эффективных первых шагов.
