Revue et évaluation de Portalguard

Solution de gestion d’identité en tant que service (IDaaS) répondant aux besoins des grandes entreprises, PortalGuard propose un portail SSO (personnalisable) unique, des rapports basés sur un langage SQL (Structured Query Language) et plusieurs fonctionnalités de sécurité pour atténuer les principales faiblesses de l'authentification d'applications logicielles en tant que service (SaaS). L'autre aspect positif de l'offre de PortalGuard est la tarification, qui est basée sur les instances de serveur plutôt que sur le nombre d'utilisateurs. Cela se traduit par des économies de coûts potentiellement importantes pour leurs clients cibles. Cependant, le manque de fonctionnalités de provisionnement SaaS et l'absence de prise en charge des identités de consommateur le maintient derrière le vainqueur du choix des éditeurs, Microsoft Azure Active Directory (Azure AD) et Okta Identity Management dans cette synthèse d’IDaaS.

Configuration et intégration

PortalGuard est conçu pour un déploiement sur site ou privé, en nuage, utilisant Microsoft Internet Information Services (IIS) comme plate-forme de serveur Web. Le tableau de bord de PortalGuard Administrator nécessite également Microsoft SQL Server 2005 ou une version ultérieure, ce qui permet la journalisation des activités et les fonctionnalités de création de rapports. Comme pour de nombreuses solutions IDaaS que nous avons examinées, et en particulier pour celles à tendance locale, PortalGuard prend en charge les gants blancs tout au long du processus de configuration. Cela devrait atténuer certaines des préoccupations liées à la complexité de votre installation. SQL Server peut également être utilisé pour conserver les données de profil utilisateur, par opposition au stockage basé sur des fichiers, ce qui peut améliorer les performances lors de déploiements de grande envergure.

L'éditeur de configuration PortalGuard permet de gérer plusieurs aspects de PortalGuard, notamment la connexion aux référentiels d'utilisateurs et aux stratégies de sécurité. L'éditeur de configuration est exécuté en tant qu'application de bureau à partir du serveur PortalGuard.

La norme LDAP (Lightweight Directory Access Protocol) est universellement prise en charge dans les solutions IDM que nous avons testées, et PortalGuard ne fait pas exception. Bien que Microsoft Active Directory (AD) soit la solution de répertoire la plus courante, PortalGuard prend spécifiquement en charge plusieurs autres annuaires LDAP appartenant à des piliers de l'industrie, tels que Novell, Oracle / Sun et IBM (Lotus Domino et Tivoli Directory Server). Quel que soit le fournisseur de l'annuaire LDAP, le processus de configuration implique la configuration des informations de connectivité pour l'annuaire, telles que le nom d'hôte du serveur, le numéro de port, ainsi que le nom d'utilisateur et le mot de passe. Vous pouvez également personnaliser les attributs utilisés pour les champs communs requis, tels que le nom d'utilisateur, l'identifiant de messagerie et le nom commun, ainsi que la configuration de filtres de recherche pour les utilisateurs et les groupes de l'annuaire.

PortalGuard prend également en charge les identités d'utilisateurs contenues dans les tables de base de données, permettant aux applications d'entreprise gérant leurs propres identités (stockées dans des tables de base de données) d'être incorporées dans une solution IDaaS globale. Cette fonctionnalité utilise l'ODBC (Open Database Connectivity) de Microsoft, qui ajoute une autre couche de configuration, mais rend cette fonctionnalité compatible avec un large éventail de fournisseurs de bases de données. La configuration d'un référentiel d'utilisateurs basé sur SQL implique la configuration de la connexion ODBC, la fourniture des informations d'identification pour la connexion à la base de données et la configuration des tables et des colonnes de la base de données contenant des informations critiques sur l'utilisateur. En outre, les instructions et les paramètres SQL peuvent être configurés pour écrire correctement les modifications dans la base de données.

Authentification unique

PortalGuard offre des fonctionnalités d'authentification unique aux applications prenant en charge les normes SAML (Security Assertion Markup Language) ou CAS (service d'authentification central), ainsi qu'à celles proposant uniquement des connexions à l'aide de noms d'utilisateur et de mots de passe basés sur des formulaires. La configuration des applications SSO est gérée par l'éditeur de configuration d'Identity Provider, une application de bureau installée sur le serveur PortalGuard avec l'éditeur de configuration de PortalGuard. Le processus de configuration pour chaque type de connexion unique implique la configuration des informations de connexion clés, telles que les URL utilisées pour la communication, ainsi que l'identification et le formatage d'attributs. Les utilisateurs, les groupes ou les unités d'organisation peuvent également être autorisés pour les applications, ce qui placera l'icône de l'application dans le portail SSO de l'utilisateur approprié.

L'une des fonctionnalités de sécurité les plus avancées offertes par PortalGuard est l'authentification basée sur le risque, également appelée stratégie de crédibilité. Cette fonctionnalité est similaire à celle proposée par Microsoft Azure AD et d’autres, bien qu’elle ne soit pas aussi raffinée que la fonctionnalité d’apprentissage automatique proposée par Microsoft. L'idée de base est que vous pouvez configurer des conditions en fonction de l'heure, du type de réseau ou de la géolocalisation qui ont une incidence sur la crédibilité d'une tentative d'authentification. Ce score de crédibilité peut ensuite être utilisé pour modifier les exigences de la demande d'authentification, passant d'une authentification standard à un nom d'utilisateur et à un mot de passe à la nécessité de MFA pour bloquer totalement la demande.

Le portail SSO des utilisateurs finaux est assez simple, mais les sociétés doivent personnaliser le portail avec leur propre marque. La simplicité est donc préférable. Néanmoins, les leaders de catégories tels que Microsoft Azure AD, Okta Identity Management et OneLogin offrent aux utilisateurs la possibilité de personnaliser leur affichage en utilisant des catégories basées sur des dossiers, en ajoutant leurs propres applications ou même en masquant des applications qu'ils n'utilisent pas. PortalGuard opte pour un portail SSO réactif qui devrait fonctionner aussi bien sur les applications de bureau, de tablette ou de smartphone.

En termes de comparaison avec les solutions IDaaS concurrentes, PortalGuard a quelques omissions flagrantes dans sa liste de fonctionnalités, une pardonnable et une nettement moins. Premièrement, PortalGuard ne prend pas en charge les identités de consommateur sous la forme de comptes Google, Facebook, Microsoft ou LinkedIn. L’identification des consommateurs IDaaS est un problème relativement nouveau pour de nombreuses entreprises et son absence ne sera pas un coup fatal pour de nombreuses personnes qui choisissent une option IDaaS. La deuxième absence, la plus grave, est l’absence de provisioning dans les applications SaaS. D'un point de vue technique, le provisioning SaaS nécessite que l'application SaaS prenne en charge le provisioning via une interface de programmation d'application (API) et que la solution IDaaS s'intègre à l'API à des fins de provisioning. La raison pour laquelle nous estimons qu'il s'agit d'une fonctionnalité essentielle est l'hypothèse qu'une solution IDaaS est implémentée en partie pour alléger la charge de travail de gestion liée aux identités et à la sécurité entourant ces identités. Ne pas être en mesure d'automatiser la création de comptes utilisateur dans les applications SaaS stratégiques de votre entreprise, c'est comme si vous étiez assis sur un tabouret à trois pieds auquel il manque une jambe: un travail supplémentaire est nécessaire pour rester debout. PortalGuard nous indique que la prise en charge du système SCIM 2.0 entrera en vigueur au troisième trimestre de 2017, ce qui fournira vraisemblablement des outils pour le provisionnement SaaS.

Rapport et tarification

PortalGuard propose pratiquement une douzaine de rapports prêts à l'emploi, qui sont des listes tabulaires simples d'événements système. La bonne nouvelle est que ces événements sont stockés dans des tables de base de données, rendant les données accessibles à l'aide de toutes sortes de méthodes. PortalGuard a pris la décision consciente de placer les données d'événements clés dans une colonne unique au format XML (Extensible Markup Language), ce qui ajoute de la complexité à la logique du rapport. Les rapports de PortalGuard sont basés sur XML, ce qui signifie que vous pouvez facilement dupliquer et modifier ces rapports si nécessaire pour répondre aux besoins de l'organisation.

Le prix pour PortalGuard dépend de l'architecture que vous choisissez d'utiliser. Les déploiements sur site génèrent 5 000 USD par an pour la maintenance logicielle, avec des frais d'intégration initiaux de 20 000 USD pour les organisations comptant plus de 1 000 utilisateurs simultanés (les déploiements plus petits verront cette dépense initiale initiée). Si vous optez pour un déploiement en nuage privé, les entreprises comptant jusqu'à 1 000 utilisateurs simultanés atteindront 455 USD par mois, ou 663 USD, avec un maximum de 10 000 utilisateurs. Bien que ces prix puissent générer un choc considérable par rapport à des options telles qu'Azure AD ou Okta Identity Management, qui offrent une tarification par utilisateur, il convient de noter que le prix devient concurrentiel par rapport à ces solutions, à seulement 50-100 utilisateurs.

PortalGuard est fourni avec le support Silver, qui permet d'accéder au support par courrier électronique ou par chat en ligne de 9h à 17h, heure de l'Est. Le support Gold est disponible pour 1 000 USD de plus par mois et vous donne quelques heures supplémentaires dans votre fenêtre de support quotidien, de 7h à 19h HE. Si vous avez besoin d’une assistance 24 heures sur 24, 7 jours sur 7, le niveau d’assistance Platinum est disponible pour 2 000 dollars par an.

PortalGuard offre certaines fonctionnalités qui ajoutent des fonctionnalités cruciales aux grandes entreprises nécessitant une sécurité ou une visibilité accrue de l'authentification des applications SaaS. L’absence de prise en charge des applications SaaS en matière de provisionnement est toutefois un problème difficile, en particulier pour le client cible des grandes entreprises comptant un grand nombre d’utilisateurs. Le modèle de tarification permet à ces entreprises d’utiliser une autre solution IDaaS pour un sous-ensemble de clients afin de gérer le provisionnement ou d’utiliser un autre moyen de provisionner les utilisateurs sur les plates-formes SaaS nécessaires, telles que les outils de synchronisation. Si la rationalisation du provisionnement utilisateur est un facteur clé dans votre décision IDaaS, vous devriez probablement éviter PortalGuard et rechercher une solution plus appropriée.