Як вибрати найкращу автентифікацію як постачальника послуг для вашої компанії

Ви коли-небудь замислювались, як вибрати постачальника послуг аутентифікації?

Ми перебуваємо на тлі зростаючої тенденції використання об’єднаних ідентифікаторів для забезпечення автентифікації веб-сайтів, якими ми користуємося щодня.

Ми можемо увійти в незліченну кількість програм, використовуючи наші акаунти в соціальних мережах, усі наші робочі акаунти мають можливості єдиного входу, і ми навіть можемо входити на державні веб-сайти, використовуючи наші облікові дані в Інтернеті.

Концептуально автентифікація (і SSO) проста, але її важко та дорого застосувати правильно. Хоча підприємства традиційно зосереджуються на створенні функцій, тепер насправді вони також повинні зосередитись на зниженні суперечок щодо реєстрації користувачів, не піддаючи програмі вразливості. Подібно до того, як хмарні інфраструктурні платформи (як AWS) тепер дозволяють компаніям зосередитись на створенні додатків, ми бачимо те саме, що відбувається з автентифікацією.

Аутентифікація як послуга (або постачальники послуг автентифікації) надає послуги автентифікації та управління користувачами для програм.

Вони не просто постачальник ідентифікаційних даних, але забезпечують настроювані сторінки входу користувачів (або віджети), функціональність виходу, об’єднані ідентифікатори з обліковими записами в соціальних мережах, бази даних користувачів та певний рівень управління користувачами. Вони мають готові можливості для підтримки загальних протоколів автентифікації, таких як SAML та OpenID Connect.

Корпоративні клієнти, які бажають єдиного входу, часто можуть скористатися простими налаштуваннями в один клік із сторонніми програмами, такими як JIRA, Office 365 та Salesforce, хоча використовують SAML2.

Які ваші цілі?

Іноді впровадження систем автентифікації для програми може відчувати себе як винахід колеса. Концепція автентифікації як послуги (AaaS) намагається вирішити цю проблему, але є щось, що слід врахувати, перш ніж вибрати постачальника (або прийняти рішення про впровадження спеціального рішення).

Критерії

Після того, як ви склали список важливих міркувань для вашої організації, настав час розпочати оцінку автентифікації як постачальника послуг (AaaSp) на ринку. За останні кілька років ми спостерігали, як кілька AssSp входять і зникають. Це робить вибір правильного AaaSp набагато критичнішим. Вони бувають будь-яких форм і розмірів - від невеликих фірм з маленькими клієнтами до великих торгових підприємств, що працюють на ринку.

Довіра та репутація

Довіряти щось настільки важливе, як автентифікація, вимагає значної впевненості, тому важливо, щоб обраний торговець мав бути авторитетним і надійним авторитетом в аутентифікації. Подумайте, чи їх архітектуру переглядали інші експерти з питань безпеки, і перегляньте будь-які коментарі в Інтернеті про постачальника.

Як ми бачили з Stormpath (придбаний Okta в 2017 році, а потім відмовився від API Stormpath), передача інформації стороннім постачальникам відкриває ризик відмови від вендера . У найгіршому випадку, як це було з придбанням, згаданим вище, багато хто не мав шляху міграції зі Стромпата до Окти, і їм потрібно було впровадити власні системи автентифікації.

Розмір продавця, список клієнтів та профіль компанії - загальні рекомендації, які можна взяти до уваги, але ви все одно ризикуєте. Менші компанії-початківці можуть запропонувати значні стимули, але їх здатність швидко зникати без належного повідомлення може зробити їх ризикованим вибором. Крім того, більші провайдери все ще можуть закрити свої послуги, якщо такий напрямок бізнесу стає вже неприбутковим.

Призначені користувачі

Деякі провайдери AaaS, такі як One Login, орієнтовані виключно на B2E - надання послуг єдиного входу для внутрішніх співробітників компанії з їх веб-послугами. Подумайте про сторінки порталу компанії з посиланнями на кадрові ресурси, компанії Wiki, Sharepoint та Salesforce. Auth0 та AWS Cognito - це провайдери, що обслуговують як B2E, так і B2C, і явно підтримують клієнтів, які мають сотні тисяч клієнтів.

Vender Lock

Інтеграція з AaaSp вводить більш значну кількість взаємозалежності, ніж просто інтегрування стеку програм у хмарне рішення, оскільки для завершення інтеграції повинен бути написаний код провайдера .

Це не тільки потрібно скасувати, але потрібно буде написати більше коду інтеграції для нового провайдера. Перехід від AaaS до розробки спеціального рішення є ще більш дорогим, оскільки все потрібно було б писати з нуля.

На відміну від змін в інфраструктурі, де існують зони зменшення наслідків, щоб зменшити переривання роботи користувачів, обмін провайдерами AaaS майже завжди впливатиме на користувачів. Пам’ятайте, ми змінюємо компоненти, які безпосередньо взаємодіють із кінцевими користувачами.

Імпорт даних

Більшість постачальників послуг AaaS визначають механізм імпорту користувачів у свою систему шляхом масового імпорту (де користувачі повинні пройти потік скидання пароля) або поступового процесу міграції. При поступовій міграції облікові дані користувачів спочатку перевіряються щодо старої бази даних, а потім шифруються та зберігаються в новій базі даних. У цьому випадку користувач не впливає на міграцію.

Експорт даних

Ця функція особливо важлива у випадку, коли програми використовують сховище даних AaaS. З міркувань безпеки провайдери AaaS не публікують свій алгоритм хешування паролів. Отже, коли необхідний експорт, всі користувачі повинні ініціювати процес скидання пароля.

Якщо це здається недостатньо поганим, багато постачальників AaaS НЕ надають функцію масового експорту даних, додаючи тим самим додаткову складність та ручні кроки для перенесення даних користувача з AaaS.

Субпідрядники

Деякі послуги, пропоновані провайдерами AaaS, виконуються ще однією сторонньою службою. 2fa / mfa та електронна пошта іноді є функціями, які вимагають окремої реєстрації (та додаткової оплати) у сторонніх розробників.

Взявши за приклад 2FA, деякі послуги AaaS не дозволяють вам вибрати основного постачальника 2FA і змушують вас використовувати бажаний вендер. Ви не тільки змушені співпрацювати з цим продавцем, але й змушені платити їхні тарифи (де іноді доступні дешеві альтернативи).

Технологічна підтримка

Протоколи

Більшість постачальників послуг AaaS підтримують основні федеративні протоколи (OpenID Connect та SAML). Інші мають додаткові роз'єми, що дозволяють налаштовувати джерела даних (Microsoft AD або LDAP) та прості налаштування для сторонніх програм, таких як JIRA, Office 365 та Salesforce, за допомогою використання SMAL.

Інтеграція

Інтеграція служби AaaS у вашу програму все ще може бути важливим завданням (особливо якщо ви використовуєте застарілу програму). Отже, одним з міркувань є перевірити, чи пропонує AaaS бібліотеки для вашого стеку технологій.

Наприклад: Більшість основних постачальників послуг AaaS, поряд із веб-сайтами соціальних мереж, надають клієнтським бібліотекам запит, споживання та перевірку різних маркерів і документів автентифікації. Якщо у вас запущений стек Java, багато служб пропонують бібліотеки Java включити до вашого проекту для будь-якої обробки бекендів. Якщо ваш стек підтримується, процес інтеграції може бути таким простим, як видалення файлу JS, включаючи JAR, та заповнення деяких значень у значенні властивості.

Документація

Широка, добре написана документація та підтримка громад допоможуть значно полегшити інтеграцію. Деякі постачальники пропонують початкові та зразкові проекти для початку роботи.

Інші особливості

Багато служб пропонують такі функції, як профілювання користувачів, електронна пошта та 2fa / mfa.

Настроювані користувальницькі інтерфейси та потоки

Постачальники AaaS дозволяють змінювати рівні налаштування сторінок інтерфейсу, віджетів та атрибутів користувачів. Крім того, деякі системи мають "гачки", де може здійснюватися налаштування потоків (детальніше перевірити Auth0 та AWS Cognito).

Залежно від вашої конкретної організації, може бути важко знайти баланс між задоволенням потреб UX і тим, що можна налаштувати (в межах розумного) провайдером. У деяких випадках вибрані AaaS можуть не підтримувати потоки, запитувані бізнесом.

Примітка про налаштування:

Готові готові можливості аутентифікації - одна з великих переваг використання AaaSp. Коли використовуються заздалегідь побудовані компоненти, інтеграція неймовірно проста.

З іншого боку, важка настройка інтерфейсу та потоків збільшує час і складність. Ви можете опинитися настільки серйозно і широко налаштовуючи інтерфейс користувача та потоки автентифікації, що вам доведеться поставити під сумнів питання, чи дешевше буде впровадити власне власне рішення (враховуючи також річну вартість). Відповідь може бути ТАК .

Я рекомендую утримати якомога більше налаштувань в рамках AaaS. Особливо це стосується процесів автентифікації та скидання пароля, оскільки додавання налаштувань до цих компонентів має тенденцію до збільшення складності інтеграції та створення блокування постачальника.

Підтримка розробки та тестування

Середовища розробки, контролю якості та виробництва

Деякі компанії мають ізольоване середовище розробки та забезпечення якості. Для підтримки цих вимог деякі провайдери AaaS дозволяють одному обліковому запису мати кілька баз даних ідентифікаційних даних. На жаль, це не є універсальною функцією, тому для підтримки кожного середовища тестування може знадобитися декілька облікових записів з AaaS.

Тестування навантаження

Усі системи AaaS забороняють несанкціоноване випробування на навантаження. Це може бути проблемою, якщо ваша програма вимагає наскрізного випробування на навантаження, яке має бути затверджено для виробництва. У цьому випадку деякі провайдери AaaS дозволяють перевіряти навантаження, якщо це попередньо дозволено до проведення тесту. Часто існують жорсткі обмеження та часові рамки, під які повинен проходити тест.

Більш реально, можливо, вам доведеться впровадити механізм обходу входу для програми для підтримки тестів навантаження.

Ціноутворення

Моделі ціноутворення значно різняться у різних постачальників послуг AaaS. Деякі постачальники стимулюють малі початкові організації та мають безкоштовний або дуже доступний нижчий рівень. Взагалі кажучи, очікуйте побачити графік ціни / користувача, такий як:

Ціна за користувача спочатку дуже низька (або 0 доларів США), що чудово підходить для невеликих організацій або стартапів з невеликим обсягом. Однак, коли ваша база користувачів зростає, ціна / користувач залишаються незмінними. Врешті-решт він почне зменшуватися через певний момент, оскільки ви або досягли найвищого рівня використання, або можете домовитись про ціни.

Вартість може здатися розумною на початку, але як тільки ви заблокуєтесь, програма зі 100 000 активних користувачів за місяць може побачити річний рахунок від 150 до 200 тисяч!

Якщо у вашому додатку вже є користувацька база з декількох сотень тисяч користувачів, може бути дешевше розгорнути власне рішення! На додаток до плати за користувача, часто є плата за додаткові послуги, які можуть виникнути (знову ж, 2fa та електронна пошта).

В2С

Переговоріть про ціну, якщо ваша програма має тривалі періоди використання. Деякі послуги мають змінну ціну за місяць, залежно від кількості фактично активних користувачів, тоді як інші встановлюють ціну за місяць на основі оцінки найважчого місяця протягом року (незалежно від того, скільки користувачів насправді користується системою). Різниця між цими ціновими планами може бути значною.

B2E

Ціни завжди встановлюються у розмірі на рахунок працівника. Остерігайтеся мінімальних зборів у дрібному шрифті!

Керування користувачами та інформаційна панель

Більшість AaaS мають певну форму базового управління користувачами, вбудовану в панелі керування адміністратора. У деяких випадках ви можете створювати облікові записи, які не є адміністраторами, для представників служби обслуговування клієнтів або інших співробітників, щоб вносити зміни в ідентифікатори користувачів.

Слід уникати надання повних адміністративних облікових записів працівникам просто для того, щоб вони мали доступ до інформаційної панелі керування користувачами . Обліковий запис адміністратора повинен знаходитись лише в руках відповідним чином підготовлених працівників, інакше ви ризикуєте випадково видалити всю вашу базу даних користувачів або викрити особисті дані користувачів.

Незалежно від того, чи підтримує вбудована інформаційна панель AaaS ваші потреби, це залежить від повсякденних змін атрибутів користувачів, які повинна внести ваша організація. Переконайтеся, що AaaS надає відповідний шлях відстеження / реєстрації аудиту відповідно до політики вашої організації.

SLA та обслуговування клієнтів

Прямий контакт з менеджером рахунків провайдера пропонується не всім провайдерам AaaS. Безкоштовні або низькорівневі рівні часто отримують доступ лише до форумів спільноти. Деякі постачальники пропонують платну підтримку, виділені сервери, доступ до журналів та відповідність стандартам HIPAA / PCI за додаткову плату.

Більшість AaaSp пропонують стандартний час безвідмовної роботи від 99,9% до 99,995%, але це все одно дозволяє простої протягом року. Це може мати важливе значення, якщо ваша заявка повинна працювати в критичні періоди. Деякі пропозиції AaaSp пропонують корпоративні рішення (спеціальні розгортання), щоб забезпечити певну форму резервування у випадку збою системи.

Висновок

Для початківців AaaSp пропонують доступне рішення для автентифікації, щоб ви могли зосередитись на своєму продукті. Для більших організацій із застарілими програмами та встановленою базою користувачів ви повинні взяти до уваги набагато ширший перелік критеріїв, щоб переконатися, що ви вибрали AaaS, який відповідає вашим перенесенням, аудиту / реєстрації та бюджетам.

Як наступне, я написав вступ до об’єднаних ідентифікаційних даних та автентифікації.