Как выбрать лучшую аутентификацию в качестве поставщика услуг для вашей компании

1656677059 kak vybrat luchshuyu autentifikacziyu v kachestve postavshhika uslug dlya vashej

Джефф Окава

5MTUe0SEJU2vkSNwaju6ClpAJZ24r5MK8Jpt

Вы когда-нибудь задумывались, как выбрать поставщика услуг аутентификации?

Мы находимся на фоне растущей тенденции использования федеративных идентификаторов для проверки подлинности веб-сайтов, которыми мы пользуемся ежедневно.

Мы можем входить в бесчисленное количество программ с помощью наших аккаунтов в социальных сетях, все наши рабочие аккаунты имеют возможности единого входа, и мы даже можем входить на государственные веб-сайты с помощью учетных данных онлайн-банкинга.

Концептуально аутентификация (и SSO) проста, но ее сложно и дорого реализовать правильно. Хотя компании традиционно сосредотачивались на разработке функций, теперь на самом деле они также должны сосредоточиться на снижении споров относительно регистрации пользователей, не подвергая программу уязвимым местам. Подобно тому, как платформы облачной инфраструктуры (например, AWS) теперь позволяют компаниям сосредоточиться на создании приложений, мы видим то же с аутентификацией.

Аутентификация как услуга (или поставщики услуг аутентификации) предоставляют услуги аутентификации и управления пользователями для приложений.

Они не просто поставщики идентификационных данных, но и предоставляют настраиваемые страницы входа пользователя (или виджеты), функцию выхода из системы, объединенные идентификаторы с учетными записями социальных сетей, базы данных пользователей и определенную степень управления пользователями. У них есть готовые возможности для поддержки распространенных протоколов аутентификации, таких как SAML и OpenID Connect.

Корпоративные клиенты, которым нужна система единого входа, часто могут воспользоваться преимуществами легкой настройки одним щелчком мыши с помощью программ сторонних разработчиков, таких как JIRA, Office 365 и Salesforce через использование SAML2.

Какие ваши цели?

Иногда внедрение систем аутентификации для программы может показаться похожим на то, что вы заново изобретаете велосипед. Концепция проверки подлинности как услуги (AaaS) пытается решить эту проблему, но перед выбором поставщика (или решением о развертывании специального решения) следует учитывать некоторые вещи.

690m1zOxXGxOynRY0yzJ23OehrWIdOoAWWok

Критерии

BCWmPrRoCmu6GKPSRAXX-n0UBeG9muMmGHLM

Когда вы составили список важных соображений для вашей организации, пора начать оценивать аутентификацию как поставщиков услуг (AaaSp) на рынке. За последние несколько лет мы видели, как много AssSp входило и исчезало. Это делает выбор правильного AaaSp гораздо более важным. Они бывают всех форм и размеров – от небольших фирм с маленькими клиентами до крупных известных продавцов.

Доверие и репутация

Доверить что-то важное, как аутентификация, требует значительной уверенности, поэтому важно, чтобы избранный продавец был авторитетный и а доверяют авторитет в аутентификации. Проверьте, проверяли ли их архитектуру другие эксперты по безопасности, и просмотрите любые онлайн-комментарии о поставщике.

Как мы видели на примере Stormpath (приобретенного компанией Okta в 2017 году, а затем отказались от Stormpath API), ретрансляция стороннего поставщика создает риск продавец заброс. В худшем случае, как это произошло с упомянутым выше приобретением, многие остались без пути миграции из Strompath в Okta, и им нужно было развернуть собственные системы аутентификации.

Размер продавца, список клиентов и профиль компании представляют собой общие рекомендации, которые можно принять во внимание, но вы все равно рискуете. Меньшие начинающие провайдеры могут предложить значительные стимулы, но их способность быстро исчезать без надлежащего сообщения может сделать их рискованным выбором. С другой стороны, крупные поставщики все еще могут закрыть свои услуги, если это направление станет нерентабельным.

Предполагаемые пользователи

Некоторые поставщики AaaS, такие как One Login, сосредоточены исключительно на B2E – обеспечении SSO для внутренних сотрудников компании с помощью их веб-сервисов. Подумайте о страницах портала компании со ссылками на ресурсы HR, Wiki компании, Sharepoint и Salesforce. Auth0 и AWS Cognito являются поставщиками, обслуживающими как B2E, так и B2C, и явно поддерживают клиентов, имеющих сотни тысяч клиентов.

Вендер Лок

Интеграция с AaaSp создает более значительный уровень взаимозависимости, чем просто интеграция стека приложений в облачное решение, поскольку код, зависящий от поставщика должен быть написан для завершения интеграции.

Это необходимо не только отменить, но и написать дополнительный код интеграции для нового поставщика. Переход от AaaS к развертыванию специального решения еще более дорогой, поскольку все нужно будет писать с нуля.

В отличие от изменений инфраструктуры, где существуют звездные ворота для уменьшения прерывания работы пользователей, замена поставщиков AaaS почти всегда повлияет на пользователей. Помните, мы изменяем компоненты, непосредственно взаимодействующие с конечными пользователями.

Импорт данных
Большинство поставщиков услуг AaaS определяют механизм импорта пользователей в свою систему путем массового импорта (где пользователи должны пройти процесс сброса пароля) или процесса постепенной миграции. При постепенном переходе учетные пользовательские данные сначала проверяются на старую базу данных, а затем шифруются и сохраняются в новой базе данных. В этом случае миграция не влияет на пользователей.

Экспорт данных
Эта функция особенно важна, если приложения используют хранилище данных AaaS. По соображениям безопасности, поставщики AaaS не публикуют свой алгоритм хеширования паролей. Таким образом, когда требуется экспорт, все пользователи должны инициировать процесс сброса пароля.

Если это звучит недостаточно плохо, многие провайдеры в AaaS НЕТ обеспечивают функцию массового экспорта данных, добавляя дополнительную сложность и ручные шаги для миграции данных пользователя из AaaS.

Субподрядчики
Некоторые услуги, предоставляемые провайдерами AaaS, предоставляются сторонними службами. 2fa/mfa и электронная почта иногда являются функциями, требующими отдельной регистрации (и дополнительной оплаты) у сторонних разработчиков.

Взяв, например, 2FA, некоторые службы AaaS не позволяют выбрать базового поставщика 2FA и заставляют вас использовать их желаемого поставщика. Вас не только заставляют заключить партнерские отношения с этим продавцом, но и платить по их ставкам (где иногда доступны более дешевые альтернативы).

Технологическая поддержка

Протоколы
Большинство провайдеров AaaS поддерживают основные федеративные протоколы (OpenID Connect и SAML). Остальные имеют дополнительные разъемы, позволяющие использовать настроенные источники данных (Microsoft AD или LDAP) и легко настраивать программы сторонних разработчиков, такие как JIRA, Office 365 и Salesforce с помощью SMAL.

Интеграция
Интеграция службы AaaS в вашу программу все еще может быть серьезной задачей (особенно если вы используете устаревшую программу). Таким образом, одна из соображений состоит в том, чтобы увидеть, предлагает ли AaaS библиотеки для вашего стека технологий.

Например: большинство основных провайдеров AaaS вместе с веб-сайтами социальных сетей предоставляют клиентские библиотеки для запросов, потребления и проверки различных токенов аутентификации и документов. Если вы используете стек Java, многие службы предлагают библиотеки Java, которые можно включить в ваш проект для любой внутренней обработки. Если ваш стек поддерживается, процесс интеграции может быть таким же простым, как сброс JS файла, включая JAR, и заполнение некоторых значений в значении свойства.

Документация
Большая, хорошо написанная документация и поддержка общества значительно облегчат интеграцию. Некоторые поставщики предлагают исходные и образцовые проекты, чтобы вы могли начать.

Другие особенности
Многие службы предлагают дополнительные функции, такие как профилирование пользователей, электронная почта и 2fa/mfa.

Настраиваемые пользовательские интерфейсы и потоки

Поставщики AaaS позволяют разные уровни настройки для страниц пользовательского интерфейса, виджетов и атрибутов пользователя. Кроме того, некоторые системы имеют крючки, с помощью которых можно настраивать потоки (проверьте Auth0 и AWS Cognito, чтобы узнать больше).

В зависимости от конкретной организации может быть трудно найти баланс между удовлетворением потребностей UX и настраивающим (в разумных пределах) поставщиком. В некоторых случаях потоки, требующие бизнес, могут не поддерживаться выбранным вами AaaS.

Примечание по настройке:

Готовые возможности аутентификации из коробки являются одним из больших преимуществ использования AaaSp. Когда используются готовые компоненты, интеграция невероятно проста.

С другой стороны, интенсивная настройка пользовательского интерфейса и потоков увеличивает время и усложняет процесс. Вы можете обнаружить, что настолько сильно и широко настраиваете пользовательский интерфейс и процессы аутентификации, что вы должен вопрос будет ли дешевле развернуть индивидуальное собственное решение (также учитывая годовую стоимость). Ответ может быть ДА.

Моя рекомендация состоит в том, чтобы удержаться от настроек как можно больше в рамках AaaS. Это особенно актуально, когда речь идет о процессах аутентификации и сброса пароля, поскольку добавление настроек к этим компонентам затрудняет интеграцию и создает блокировку поставщика.

Поддержка разработки и тестирования

Разработка, контроль качества и производственная среда

Некоторые компании имеют изолированные среды разработки и контроля качества. Для поддержки этих требований, некоторые Провайдеры AaaS позволяют одной аккаунте иметь несколько баз данных идентификационных данных. К сожалению, это не универсальная функция, поэтому для поддержки каждой среды тестирования может потребоваться несколько аккаунтов с AaaS.

Тестирование погрузки

Все системы AaaS запрещают несанкционированное погрузочное тестирование. Это может быть проблемой, если ваша программа нуждается в сквозном погрузочном тесте для одобрения для производства. В этом случае некоторые поставщики AaaS разрешают тестирование нагрузки, если оно предварительно авторизовано до проведения теста. Часто существуют строгие ограничения и временные рамки, по которым следует проводить тест.

Более реалистично, вам, вероятно, придется реализовать механизм обхода входа в программу для поддержки погрузочных тестов.

Ценообразование

Модели ценообразования существенно различаются меж поставщиками AaaS. Некоторые поставщики имеют стимулы для небольших начинающих организаций и имеют бесплатный или очень доступный самый низкий уровень. В общем ожидайте, что вы увидите такой график цена/пользователь:

IYF8Igkb7oZ3CSnlFjfhfYDl4i3T8varqj4L

Цена за пользователя сначала очень низкая (или 0 долларов США), что отлично подходит для небольших организаций или стартапов с небольшими объемами. Однако с ростом вашей базы пользователей цена/пользователь остается неизменной. Впоследствии он начнет уменьшаться после определенного момента, поскольку вы либо достигли наивысшего уровня использования, либо можете договориться о ценах.

В начале цена может показаться разумной, но как только вы заблокируетесь, приложение из 100 000 активных пользователей в месяц может получить годовой счет от 150 до 200 тыс.!

Если ваше приложение уже имеет базу пользователей из нескольких сотен тысяч пользователей, возможно, будет дешевле развернуть собственное решение! Кроме платы за каждого пользователя, часто взимается плата за дополнительные услуги (опять же, 2fa и электронная почта).

B2C
Обсудите цену, если ваше приложение часто используется. Некоторые службы имеют переменную цену за месяц на основе количества фактических активных пользователей, тогда как другие фиксируют цену за месяц на основе оценки активного месяца в течение года (независимо от того, сколько пользователей фактически пользуются системой). Разница между этими планами может быть значительной.

B2E
Цены постоянно инсталлируются на сумму за счет работника. Остерегайтесь минимальных комиссий в мелком шрифте!

Управление пользователями и информационная панель

Большинство AaaS имеют определенную форму базового управления пользователями встроенную в панели администратора. В некоторых случаях вы можете создать не администраторские учетные записи для своих представителей поддержки клиентов или других партнеров, чтобы вносить изменения в учетные записи пользователей.

Следует предоставлять работникам учетные записи полного администратора просто для того, чтобы они имели доступ к информационной панели управления пользователями. избежать. Учетная запись администратора должна быть только в руках должным образом обученных работников, иначе вы рискуете, что кто-то случайно удалит всю вашу базу данных пользователей или раскроет личные данные пользователей.

Поддерживает ли встроенная информационная панель AaaS ваши потребности, зависит от повседневных изменений атрибутов пользователя, которые ваша организация должна вносить. Убедитесь, что AaaS предоставляет надлежащее отслеживание/журнал аудита в соответствии с политикой организации.

SLA и обслуживание клиентов

Не все поставщики AaaS предлагают контакт с менеджером учетной записи поставщика. Бесплатные или малоиспользуемые уровни часто получают доступ только к форумам сообщества. Некоторые поставщики предоставляют платную поддержку, выделенные серверы, доступ к журналам и соответствие HIPAA/PCI за дополнительную плату.

Большинство AaaSp предлагают стандартное время бесперебойной работы по соглашению SLA от 99,9% до 99,995%, но это все равно позволяет простое в течение года. Это может быть важно, если ваша заявка должен бодрствовать в критические периоды. Некоторые AaaSp предлагают корпоративные решения (пользовательские развертывания), чтобы обеспечить определенную форму резервирования в случае сбоя системы.

Вывод

H3CZpMrLwvZuPRuzkW1jyGYnok2JCK7luv8c

Для новичков AaaSp’s предлагают доступное решение для проверки подлинности, чтобы вы могли сосредоточиться на своем продукте. Для крупных организаций с устаревшими программами и установившейся базой пользователей вы должны учесть гораздо более широкий список критериев, чтобы убедиться, что вы выбрали AaaS, который отвечает вашим потребностям в миграции, аудите/регистрации и бюджете.

Как продолжение я написал поступление к федеративным идентификаторам и аутентификации.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *