供应商认证综述:好的、坏的和难看的

以前的 123.45 第二页 下一个

最终，如果FIDO真的流行起来，一个通用的MFA工具将变得更加有用，因为可以从单个令牌完成更多的身份验证。但我们还没有到那一步，就像许多IT创新一样，这是一个先有鸡还是先有蛋的问题。然而，FIDO联盟有数百个成员，包括一些非常大的公司，所以我们希望看到更多的进展。

Nok Nok Labs不提供直接下载:你必须申请其产品、sdk和其他工具的评估副本。开始时，你至少需要花费5万美元。考虑到这个价格点，如果企业开发者想要开始使用FIDO，他们就必须考虑得更大。

PistolStar PortalGuard:单点登录和多因素认证的最佳选择

正如我们提到的，SSO门户与MFA方法的融合正在以更高的频率发生。《PistolStar》的《PortalGuard》便是一个很好的例子。他们有600个客户和数百万用户，最大的安装用户数为5.5万。它们的竞争对手包括Ping、Okta、SecureAuth和其他从联邦身份空间起步的公司，以及一些专注于使SSO更可用的新身份验证供应商，如Auth0。

PortalGuard是几个Windows服务器应用程序，需要各种微软服务，包括IIS、SQL Server和。net Framework。有很多参数需要配置，在花了几个小时之后，设法没有捕捉到一个错误的参数，使我们的服务器不能正确运行。

PistolStar也为我们的测试设置了一个基于云的实例，但他们的大多数客户都希望运行自己的本地服务器。这是因为它们的大多数配置参数将要求您访问Windows配置表，在那里您将发现非常密集的选项集合。虽然把它们都集中在一个地方很好，但是如果您能够全面访问Web，而不是根据您需要完成的任务在一系列基于Web和基于windows的对话框之间切换，那就更好了。

属性表是您可以设置特定的OTP方法的地方，它支持一个有趣的令牌数组，包括谷歌Authenticator、它自己的Android和iphone移动OTP应用程序、RSA SecurID和Yubico Yubikeys。您还可以在您的浏览器会话上设置一个cookie，该cookie可以在特定时间后过期，以记住特定的用户和设备组合。静态密码策略也可以通过其他一系列菜单设置。还有push-OTP支持，PistolStar称之为被动密钥，工作站软件包含令牌加密代码。最后，它还支持一系列预先设置的挑战/回答问题。

与Vasco和赛门铁克一样，该产品也有自己品牌的基于风险的认证，称为基于信誉的认证。它有一个独立的可执行程序，有自己的一系列Windows菜单，用于设置风险评分和阈值。关于如何配置适当的策略和身份验证方法，有大量的文档。

如果用户忘记了密码或没有OTP令牌，他们也可以利用自助门户，通过管理员设置的一种方法来恢复帐户，例如回答一系列挑战问题或使用临时OTP。用户自助服务门户与SSO门户位于不同的位置，这可能有点令人困惑。PortalGuard可以配置为防止用户拥有多个并发登录会话。

PortalGuard的一个乏味之处在于，特定的操作有它们自己的独立的身份验证方法。例如，你可以通过一种方式设置正常登录(比如使用Yubico代币)，然后使用另一种身份验证方法来解锁被冻结的账户，比如回答一个挑战问题。这有点让人困惑。它通过Radius服务器支持vpn，通过自己的SSO门户支持SAML认证。该门户具有自己的配置编辑器。

PortalGuard支持SAML、CAS、WS-Fed和基于shibboleth的协议，这些协议是在身份提供程序配置编辑器下的单独对话框中设置的。一些应用程序(Office 365、SharePoint和Outlook Web Access)有预先设置的模板，但如果你想添加其他应用程序，就必须创建自己的SAML XML代码。其他SSO产品附带了更多模板或直接支持SAML应用程序。

该产品带有9个预先设置的报告，但大多数报告看起来像日志文件，除非进一步解析，否则对管理人员没有很大帮助。为了访问它们，您需要将它们剪切并粘贴到电子表格中，或者手动访问存储在其数据库中的XML报告。

有各种各样的api可用，包括Java和Javascript、c++和c#库，所以你可以构建自己的应用程序。这些并没有很好的文档记录，只有在发布的非在线集成指南中才有。

有几种定价方案。标准的本地服务器第一年为15,000美元，随后几年为5,000美元，包括支持，多达10,000并发用户和令牌，包括软的和一些硬的。一百个Yubico代币需额外支付2000美元。如果您需要更多的并发用户，就需要一种企业许可证。您还可以免费试用基于云计算的版本，该版本提供有限的访问权限，只支持少数功能。

RSA身份验证管理器v8.1 SP1:功能强大，复杂

当我们在2013年回顾RSA的认证管理器时，它刚刚推出了基于web的版本。从那时起，它经过了一些小的修改，增加了对qr码软令牌的支持，并清理了它的接口。

它仍然是一个难以安装和配置的产品:部分原因是它仍然有许多独立的部件。但是由于该产品是市场上功能最强大的MFA工具之一，它广泛支持各种硬和软令牌类型、应用程序集成和工作流。和它的许多竞争对手一样，用户可以注册多种token类型来验证他们的账户。还有多种令牌提供方法，它们使用不同的安全方法。

这个版本的新功能是一个基于风险的身份验证引擎，可以跟踪每个用户的设备和行为。在最初的数据收集阶段，软件会安静地运行，不会挑战任何登录尝试。一旦它的引擎收集了足够的数据，它就会给认证尝试分配一个风险评分，如果风险大于指定的，用户就会被要求额外的认证因素(如通过短信发送的otp)，然后才被允许访问特定的资源。

您还可以设置分配给每个用户的令牌类型的数量限制，或每个令牌注册给用户的时间限制。虽然这非常灵活，就像RSA产品的其他部分一样，但要正确配置它需要一些努力。

基于web的自助仪表板可以注册用户、设置基于知识的问题、故障排除令牌、重置静态pin码，并在令牌丢失或被盗的情况下重置基于风险的设备历史记录。

这个版本的新功能是RSA所称的Web Tier。这将设置一个自定义Web界面，用于处理用户自助服务请求和管理基于风险的身份验证。这一层还拦截所有网络流量，以使您的身份验证服务器更安全，该服务器可以保持在网络DMZ之后。该层可以运行在Windows或Linux服务器上。

RSA拥有巨大的装置，符合其在MFA领域的任期和韧性。其中一个安装有超过100万用户，这也是其基于硬件的SecurID令牌如此普遍的原因之一。

它仍然以VM或物理硬件设备的形式安装，两者都运行自己的经过加固的Linux服务器。VMware ESXi和Microsoft Hyper-V对应的虚拟机版本。

安装VM之后(这花了3个小时的紧张工作，并得到了支持人员的一些帮助)，您将访问几个不同的基于web的控制台:一个用于一般安全特性，一个用于自助服务用户，另一个用于日常操作。使用多个控制台的原因很好，可以隔离管理角色。与早期的产品版本一样，这些版本非常细化，有13个不同的预置角色可用，默认情况下安装了两个不同的管理角色。

一些配置菜单可以进行一些清理，以使工作流程更加明显，大多数配置菜单的文本非常多，有几十个配置选项。该产品的全部文档集涵盖了近12本手册，其中包含近1,000页非常详细的说明。

RSA服务器自带一系列不同的认证策略，包括令牌策略、密码复杂度策略、锁定和自助故障排除策略、工作流配置策略和基于风险的认证策略。