Table des matières:
Vidéo: Centrify Identity Service - User Experience (Aug 2015) (Décembre 2024)
Malgré la courbe d'apprentissage liée à l'architecture de Centrify, les objets utilisateur et groupe sont mis à la disposition de Centrify à partir d'AD. Une fois qu'ils ont été ajoutés, les utilisateurs peuvent être gérés dans Centrify, bien que les groupes ne soient utilisés que pour attribuer dynamiquement des utilisateurs à des rôles. Ce n'est pas nécessairement un coup pour Centrifier, mais bien une distinction par rapport à la majorité des autres options IDM que nous avons comparées. À mon avis, le seul véritable motif d'inquiétude est que certaines tâches de gestion dans Centrify ne sont pas possibles tant que les utilisateurs ou les groupes ne sont pas synchronisés, ce qui rend difficile la configuration proactive de certains aspects. Les utilisateurs et groupes Active Directory peuvent être exploités dans les rôles Centrify, mais uniquement une fois que l'utilisateur (ou un utilisateur du groupe) a créé un compte Centrify.
Centrify prend en charge l'authentification via divers réseaux sociaux à l'aide d'une fonctionnalité appelée Social Login. Cela permet à vos utilisateurs d'exploiter leurs informations d'identification avec les comptes Google, Facebook, LinkedIn et Microsoft Live pour s'authentifier auprès de Centrify à l'aide de l'autorisation ouverte (OAuth). Si nécessaire, le processus d'authentification OAuth peut être personnalisé pour chaque service afin d'incorporer votre ID d'application, votre secret d'application et / ou vos URI de redirection fiables. Une fois que les utilisateurs ont été configurés à l'aide de leurs informations d'identification sociales, ils peuvent être gérés de la même manière que tout autre utilisateur, notamment en attribuant des rôles, des applications et des stratégies d'authentification.
Great User Provisioning
Les capacités de provisioning des utilisateurs de Centrify sont parmi les meilleures que nous ayons vues parmi les lecteurs IDM que nous avons examinés jusqu'à présent. C'est pour plusieurs raisons, bien que la réalisation de certaines des fonctionnalités les plus avancées puisse s'avérer trop complexe pour les organisations ne disposant pas de développeurs internes. Toutefois, à un niveau élevé, la tarification est un point fort susceptible d’apprécier les clients de toutes tailles, car le provisionnement automatisé est disponible au tarif de 4 $ par utilisateur et par mois, tandis que des concurrents tels que Okta et OneLogin commencent à proposer cette fonctionnalité uniquement au prix le plus bas. Gamme de 7 $ à 8 $. Les flux de travail peuvent être inclus dans le processus de provisioning, bien que cela nécessite une avancée vers le niveau App + à 8 $.
Les flux de travail constituent une facette puissante de l’ensemble d’outils de provisionnement de Centrify. Centrify vous permet de définir des niveaux d'approbation dans chaque application. Ceux-ci peuvent inclure le responsable du demandeur, des utilisateurs Centrify spécifiques ou des rôles Centrify. Ce qui me rend étrange dans les workflows, c’est la façon dont les affectations se déroulent une fois le processus d’approbation terminé. Etant donné que les utilisateurs et les groupes sont affectés aux applications via les rôles Centrify, les utilisateurs en cours d'approbation via un flux de travail d'application peuvent ainsi accéder à d'autres applications du processus, en fonction de la configuration du rôle. Centrify recommande de conserver les rôles utilisateur et les rôles spécifiques à une application (par exemple, salesforce_users et sales_users) comme meilleure pratique. L'utilisation de cette approche vous permet d'imbriquer efficacement des rôles (attribuer un membre à un autre) afin de gérer efficacement les affectations.
Une autre possibilité puissante offerte par Centrify est la possibilité d’utiliser des scripts pour personnaliser le comportement et ajuster Centrify à vos besoins particuliers. Un exemple en est la possibilité de modifier l'assertion SAML pour une application, en modifiant le script par défaut afin de définir des options telles que la version de SAML, la gestion des attributs et les différentes URL utilisées dans le processus. Il est clair que toute fonctionnalité basée sur un script va nécessiter un ensemble de compétences avancées, mais il s'agit d'une offre assez unique, particulièrement à ce prix.
La capacité de Centrify à provisionner automatiquement les comptes utilisateur dans les applications SaaS est assez courante dans l'espace IDM, mais Centrify dispose de quelques outils permettant aux administrateurs de régler plus facilement le processus de provisioning par rapport à la plupart des produits concurrents. La première vous permet de définir quels rôles doivent être appliqués à un utilisateur dans l'application SaaS une fois qu'ils sont configurés. L'autre donne la possibilité de gérer le processus de provisioning via un script personnalisé, ce qui est assez haut de gamme car il nécessite des compétences de niveau développeur, mais peut s'avérer extrêmement utile, en particulier dans les grandes entreprises dotées de vastes portefeuilles de logiciels.
Authentification unique forte
Les fonctionnalités d'authentification unique (SSO) de Centrify constituent un autre atout pour le service, même si cela est en grande partie lié à l'accent mis par Centrify sur des domaines qui ne sont pas nécessairement en concurrence directe avec les autres acteurs de la gestion des IDM. L'une d'elles concerne les périphériques, que Centrify utilise comme méthode de facto d'authentification multifactorielle (MFA). Les utilisateurs peuvent associer des appareils à leur compte afin d’utiliser l’application Centrify pour effectuer la connexion unique avec leur appareil mobile en tant que deuxième facteur d’authentification. Cela joue dans les conceptions de Centrify sur le domaine de la gestion des appareils mobiles (MDM), dans la mesure où les organisations peuvent forcer les stratégies de sécurité vers les appareils associés.
Centrify a notamment le défaut de ne pas prendre en charge les fournisseurs tiers d’AMF sans passer à travers certaines étapes. La prise en charge multifactorielle est limitée à une application d'authentification mobile, à un client OATH OTP ou à une réponse à un e-mail de confirmation, un message texte, un appel téléphonique ou une question de sécurité. Si vous avez besoin d'options MFA supplémentaires, vous devez utiliser la capacité de Centrify à s'authentifier à l'aide de RADIUS.
En contrepartie, Centrify a commencé à proposer une solution faisant appel à l’analyse et à l’apprentissage automatique pour identifier les activités d’authentification anormales et potentiellement dangereuses. En plus de fournir des avantages en termes d'analyse et de création de rapports, ces données peuvent être utilisées pour introduire des stratégies d'authentification basées sur les risques allant jusqu'aux exigences MFA. Ces fonctionnalités sont à la pointe de la technologie et seul Microsoft propose un ensemble de fonctionnalités similaires avec une protection d’identité dans Azure AD.
Centrify propose également un autre ensemble de fonctionnalités SSO relatives aux ressources de votre réseau d'entreprise. Centrify a toujours été à l'avant-garde, reconnaissant que de nombreuses sociétés disposent d'applications ou de serveurs sur site qui sont également essentiels pour leurs besoins. À cette fin, Centrify offre la possibilité d’atteindre ces ressources en utilisant Centrify, via le Connecteur Cloud, en tant que proxy d’application. Cette fonctionnalité vous permet d'utiliser l'authentification unique pour accéder aux ressources internes, tout en évitant de recourir à une configuration de pare-feu supplémentaire ou d'exposer les serveurs directement au réseau Internet public. D'autres fournisseurs commencent à proposer des fonctionnalités similaires, notamment Microsoft avec Azure AD Application Proxy, mais Centrify propose cette fonctionnalité dans le cadre de son offre principale, et non en tant que service complémentaire, et en utilisant un seul agent logiciel.
Rapport et tarification
L'étendue des fonctionnalités de reporting de Centrify est un autre atout. Vous avez non seulement la possibilité d'afficher, d'exporter ou d'envoyer par courrier électronique un certain nombre de rapports prédéfinis couvrant diverses catégories, mais vous pouvez également copier des rapports existants pour les personnaliser ou créer vos propres rapports à partir de rien. La plupart des rapports disponibles, et dans certains cas des rapports personnalisés, offrent des vues basées sur des cartes indiquant où les événements sont mis en cluster. Les rapports utilisent le langage SQL (Structured Query Language), qui peut être modifié dans les rapports personnalisés. Des informations sur les vues et les colonnes de base de données disponibles sont disponibles dans les documents de support Centrify. L'une des fonctionnalités que nous aimerions voir dans l'outil de génération de rapports est la possibilité de générer automatiquement des rapports selon un calendrier, mais cela ne constitue en aucun cas un facteur décisif.
Centrify propose également un certain nombre de tableaux de bord qui vous donnent un aperçu des divers aspects de votre environnement, notamment de la sécurité, des appareils mobiles et des connexions d’utilisateur. Dans chaque cas, le tableau de bord présente une combinaison de calendriers, de camemberts, de cartes et de listes d'événements du journal. Vous avez également la possibilité de sélectionner un tableau de bord comme vue par défaut lorsque vous vous connectez.
Nous avons déjà couvert brièvement les prix de Centrify, en particulier la disponibilité des fonctionnalités de provisioning au niveau de tarification le plus bas, à savoir 4 dollars par utilisateur. La couche d'applications mensuelles à 4 USD prend également en charge MFA, une autre fonctionnalité généralement réservée aux niveaux de service premium. Le niveau de tarification App + vous permet d'utiliser les flux de travail dans votre provisioning, ainsi que la possibilité d'accéder aux applications locales via la passerelle Centrify pour 8 $ par mois et par utilisateur. La fonctionnalité d'analyse, ainsi que les stratégies d'authentification basées sur les risques, vous rapporteront 3 dollars de plus par mois.
Social Login peut ajouter de la complexité à votre structure de licence. Les employés et les sous-traitants disposent d’une licence d’un utilisateur standard de 4 dollars par mois. Les cas d'utilisation entre entreprises (B2B), tels que les partenaires et les fournisseurs, sont concédés sous licence au tarif mensuel de 2 USD par utilisateur. Pour les scénarios d'entreprise à client (B2C) tels que la prise en charge de l'authentification auprès d'une application centrée sur le client, les coûts de licence s'élèvent à un dollar très raisonnable par utilisateur sur une base annuelle.
Centrify n'offre pas vraiment de version gratuite d'Identity Service, mais Centrify Express, qui contient un sous-ensemble de la fonctionnalité d'Identity Service, est disponible gratuitement. Les limitations notables incluent la connexion unique à seulement trois applications SaaS, pas de provisioning automatisé et pas de MFA. Néanmoins, c’est un bon moyen de démarrer avec Centrify et une bonne solution pour les très petites entreprises aux besoins limités.
Centrify couvre les bases en termes de fonctionnalités IDaaS typiques, y compris le SSO et le provisioning utilisateur, et leurs fonctionnalités avancées élèvent réellement la barre sur ce que votre plate-forme IDM peut gérer. Les fonctionnalités qui distinguent vraiment Centrify sont des fonctionnalités telles que la création de rapports et l'accès aux ressources (applications et serveurs) situées dans le réseau d'entreprise. Nous souhaitons que Centrify prenne en charge la création automatique de compte utilisateur à partir d'AD, tout au moins comme option disponible, ainsi que le découplage des aspects de flux de travaux des applications, en les plaçant au niveau du rôle. Cela dit, Centrify figure facilement parmi les meilleurs concurrents de la catégorie et mérite la distinction du choix de la rédaction.
