Revue et évaluation de Empowerid

EmpowerID (qui commence à 1, 70 USD par utilisateur et par mois) est une solution de gestion des identités (IDM) qui non seulement comble le fossé entre votre environnement d'entreprise Active Directory (AD) et les applications cloud, mais elle complète AD également dans la gestion de vos identités existantes.. Cela vous permet de gagner en efficacité tout en améliorant la sécurité et la conformité. Cependant, la richesse de ses fonctionnalités ajoute à la complexité et son déploiement sur site plutôt que sur le cloud implique un travail informatique supplémentaire. Il reste donc second sur notre gagnant actuel Editors 'Choice dans cette catégorie, Okta Identity Management.

Configuration sur site

La plupart des outils IDM que nous avons examinés (notamment Windows Azure Active Directory, Okta Identity Management et OneLogin, entre autres) sont des offres SaaS (Software-as-a-Service). Cela signifie qu'ils sont déployés dans le nuage et fonctionnent comme un logiciel d'abonnement qui se connecte à votre environnement AD existant. EmpowerID, quant à lui, est destiné à être déployé sur site, c'est-à-dire dans les locaux de votre bureau, simplement comme un autre serveur suspendu à votre réseau d'entreprise local. Ce type de configuration présente des avantages et des inconvénients, principalement ceux de la commodité par rapport au contrôle et à la sécurité granulaires. La plupart des grandes entreprises ont l'habitude de faire fonctionner des serveurs d'applications et des bases de données localement et de gérer avec du personnel informatique interne expert, car les coûts de personnel supplémentaires sont compensés par le fait qu'ils maîtrisent totalement l'environnement informatique, mais de nombreuses entreprises, en particulier de petites à moyennes entreprises. les entreprises (PME) adoptent de plus en plus les solutions SaaS pour économiser de l’argent et gagner en efficacité, car elles sont en mesure de tirer parti de l’expertise du personnel d’un fournisseur sans avoir à investir dans la leur.

Le processus de configuration sur site pour EmpowerID relie plusieurs disciplines et doit être soigneusement planifié. Idéalement, votre entreprise coordonnera votre configuration initiale avec l'équipe EmpowerID, mais cette opération peut être réalisée entièrement en interne si vous avez les compétences nécessaires. Un déploiement EmpowerID entièrement fonctionnel nécessitera une configuration de pare-feu, une gestion de base de données (Microsoft SQL Server), une connexion à AD, des certificats SSL (Secure Sockets Layer) et une configuration de serveur Web.

Les conditions préalables à l'installation d'EmpowerID incluent des serveurs distincts pour contenir la base de données et héberger l'application, bien que ceux-ci puissent être virtuels plutôt que physiques. Les petites organisations peuvent s’en sortir avec un seul serveur pour les deux rôles, même si EmpowerID ne prend pas en charge cette configuration dans un environnement de production. Microsoft Windows Server est requis pour les deux serveurs, le serveur de base de données nécessitant SQL Server et le serveur d'applications utilisant la plate-forme de services Web et d'applications Microsoft Internet Information Server (IIS) pour héberger l'application Web. L'un des prérequis qui m'a surpris était la nécessité de désactiver le contrôle de compte d'utilisateur (UAC), l'outil de Microsoft Windows qui vous oblige à confirmer l'élévation des privilèges de l'utilisateur. Il s'agit d'une fonctionnalité clé de sécurité Windows qui existe depuis plusieurs versions maintenant. Il est donc surprenant de voir une entreprise se concentrer apparemment sur la sécurité sans trouver le moyen de gérer la configuration sans la forcer à la désactiver.

L'installation complète est fondamentalement un processus en deux étapes. La première étape consiste à effectuer une restauration de la base de données à partir d'un fichier de sauvegarde fourni par EmpowerID, en créant les objets de base de données requis par la solution. Deuxièmement, vous exécutez l’installation de l’application EmpowerID, qui copie les fichiers nécessaires et effectue une partie de la configuration de base afin que l’application Web puisse être lancée et que les services puissent commencer à communiquer avec la base de données.

Une fois la routine d'installation terminée, vous aurez encore un peu de configuration à faire. Ces étapes concernent, par exemple, la configuration de certificats et d’un serveur SMTP pour les notifications sortantes. Certains de ces paramètres système peuvent être configurés à l'aide de l'outil de configuration EmpowerID, tandis que d'autres devront être gérés via votre console de gestion AD et la console de gestion EmpowerID, qui est une application Windows installée sur le serveur.

Intégration forte dans l'annuaire

EmpowerID est à son meilleur lorsqu'il est associé à AD, mais peut s'intégrer à d'autres types d'annuaire, notamment ceux utilisant le protocole LDAP (Lightweight Directory Access Protocol) et un certain nombre de services en ligne, tels que Google Apps et Office 365. Nous l'avons mentionné précédemment, Mais EmpowerID est bien plus qu’un outil SSO (Single Sign-On). EmpowerID apporte au répertoire local les fonctionnalités SaaS que nous avons vues dans d'autres outils de gestion des identités, telles que les groupes dynamiques ou basées sur des attributs, vous permettant de gagner en efficacité dans des domaines autres que les applications cloud.

EmpowerID gère également plusieurs comptes dans des systèmes disparates. Les individus se voient simplement attribuer un "enregistrement personnel", qui peut ensuite être associé à des comptes dans un nombre illimité d'annuaires ou d'applications.

Provisionnement utilisateur et authentification unique

Un concept fondamental d’EmpowerID est que de nombreuses étapes de gestion des identités gérées par une équipe de professionnels de l’informatique peuvent être déléguées à la chaîne de gestion de l’utilisateur, à condition qu’ils utilisent le bon ensemble d’outils. EmpowerID inclut un système de flux de travail personnalisable qui permet à un utilisateur ou à un superviseur de soumettre des demandes de gestion de compte, qu'il s'agisse d'un accès à un serveur de fichiers ou à un site d'équipe Microsoft SharePoint ou à un compte dans une application SaaS. Ce type de système permet à une grande partie de la charge de gestion de compte d'être gérée par la structure de gestion de l'entreprise sans intervention des administrateurs système. Le compromis est que si des personnalisations du flux de travail sont nécessaires, une personne au sein de l'organisation devra probablement être familiarisée avec les outils de flux de travail d'EmpowerID.

Comme ses homologues dans le nuage, EmpowerID offre des applications SSO vers SaaS via l'utilisation du langage SAML (Security Assertion Markup Language) ou la combinaison d'un coffre-fort de mots de passe et d'un plug-in de navigateur. Cependant, la configuration de l'authentification unique basée sur SAML dans EmpowerID est beaucoup plus complexe que dans les autres plates-formes IDaaS que nous avons examinées. D'une part, il faut passer par un processus de configuration initiale pour ouvrir un point de terminaison SAML au public sur Internet impliquant des éléments tels que les enregistrements de ressources DNS, la configuration du pare-feu et la configuration du certificat SSL. En outre, le processus de configuration des applications SaaS individuelles nécessite davantage de travail fastidieux, bien que vous obteniez un contrôle supplémentaire sur des éléments tels que les domaines DNS et la force du certificat.

EmpowerID propose un portail utilisateur similaire à la concurrence basée sur le cloud, même si, d’un point de vue SSO, il n’offre pas certaines des fonctionnalités qui en distinguent d’autres comme la possibilité de se connecter automatiquement à des applications ou une vue à onglets pour l’organisation. Le portail utilisateur EmpowerID sert également d’interface pour la création ou l’approbation de demandes d’accès et la gestion d’autres tâches liées au flux de travail. EmpowerID ne propose pas d'applications mobiles, mais le portail utilisateur étant optimisé pour les appareils mobiles, des fonctionnalités similaires sont disponibles sans trop d'effort.

EmpowerID prend en charge l'authentification multi-facteurs (MFA) sous la forme de jetons matériels ou logiciels compatibles OAuth tels que Google Authenticator, de mots de passe à usage unique via SMS, de questions de sécurité ou de cartes à puce. Bien que le support MFA ne soit certainement pas le plus complet que nous ayons vu, EmpowerID offre une variété d’options raisonnables du point de vue des coûts.

Rapport et tarification

EmpowerID offre une variété de solutions pour les rapports. Les tableaux de bord sont disponibles pour les utilisateurs et les administrateurs, les journaux d'audit peuvent être consultés, analysés et exportés à des fins de conformité ou simplement de surveillance, et des bibliothèques de rapports sont disponibles à la fois dans l'application Web EmpowerID et dans la console de gestion. L'application EmpowerID génère même des sorties dans les journaux des événements Windows pour surveiller l'application. Enfin, les organisations disposant des ressources appropriées peuvent également séparer des données au niveau de SQL Server.

La combinaison d'EmpowerID sur site et d'une approche plus globale de la gestion de l'identité d'entreprise a un impact sur la tarification. SSO Manager est disponible en versions standard (8, 25 USD par utilisateur, par an ou 0, 69 USD par utilisateur et par mois) et en entreprise (19, 25 USD par utilisateur et par an, soit 1, 60 USD par utilisateur et par mois). Le niveau de tarification standard offre tous les avantages dont la plupart des entreprises auront besoin, comme SAML et l'authentification multifacteur, tandis que le niveau entreprise propose des options supplémentaires, telles que l'authentification RADIUS et un proxy inverse, qui permet la connexion unique aux applications du réseau d'entreprise. Des licences perpétuelles sont également disponibles pour les deux niveaux de tarification au prix de 15 et 35 dollars par utilisateur, bien que les coûts de support vous coûteront 20% supplémentaires par an.

Bien entendu, la véritable force d’EmpowerID est bien plus que la simple authentification unique. Les gestionnaires de groupe et d’utilisateurs sont des fonctionnalités clés et entraînent leurs propres coûts. Le responsable de groupe a un coût annuel de 5, 50 USD par utilisateur, 0, 46 USD par mois ou 10, 00 USD par licence perpétuelle pour chaque utilisateur. Le gestionnaire d’utilisateurs utilisera 6, 60 USD par an, 0, 55 USD par mois ou 12 USD pour une licence perpétuelle. Encore une fois, tous les prix sont calculés par utilisateur. Ces modules sont essentiels à la gestion des identités à partir de plusieurs référentiels, à leur agrégation dans des groupes dynamiques et à l'attribution d'un accès aux ressources. De même, les fonctionnalités de demande et d'approbation basées sur le flux de travail dépendent fortement de ces modules supplémentaires.

La solution complète de standard SSO, de responsable de groupe et d’administrateur génère un coût de 20, 35 USD par an, 1, 70 USD par mois ou 37, 00 USD pour une licence perpétuelle, une fois encore "par utilisateur". Comparé directement à la compétition IDaaS, vous en avez pour votre argent. La mise en garde est bien sûr le coût de gestion supplémentaire associé à l'hébergement d'une application de cette envergure.

Globalement, les deux conclusions principales de cet examen devraient être qu'EmpowerID est un outil complet de gestion des identités d'entreprise et que, en tant qu'outil local, il devra être géré et maintenu comme tout autre serveur d'entreprise. Cette complexité supplémentaire et les coûts qui en découlent devront être pris en compte lors de la planification de votre stratégie de gestion des identités. Cela dit, EmpowerID remporte de bonnes notes à peu près partout, même si nous aurions aimé voir un meilleur support pour les applications mobiles.