9-供应商认证汇总：好的、坏的和丑陋的

上一个 1个2个三4个5个 第2页 下一个

最后，如果FIDO真的流行起来，一个通用的MFA工具将变得更加有用，可以通过一个令牌完成更多的身份验证。但我们还没有做到这一点，就像许多IT创新一样，这是一个鸡和蛋的问题。然而，FIDO联盟有数百个成员，包括一些非常大的公司，所以希望我们能看到更多的进展。

诺克诺克实验室不提供直接下载：你要的产品，SDK和其它工具的请求评估副本。要开始，你将需要花费至少$ 50,000。鉴于这个价位上，企业开发者将不得不考虑大的，如果他们想开始使用FIDO。

PistolStar PortalGuard：最好的单点登录和多因素认证

正如我们提到的，SSO的融合与MFA方法与更多的频率发生的门户。一个很好的例子是PistolStar的PortalGuard。他们有600个客户及数百万用户，其最大的55000个用户的安装。他们与平安，1563，SecureAuth和其他人在联合身份空间，以及一些专注于做SSO更可用，像Auth0较新的认证供应商开始了竞争。

PortalGuard提供了几个需要多种Microsoft服务的Windows服务器应用程序，包括IIS、SQL Server和.Net Framework。有很多参数需要配置，在花了几个小时后，设法不捕获一个错误放置的参数，这使我们的服务器无法正常运行。

PistolStar还为我们的测试设置了一个基于云的实例，但是他们的大多数客户都希望运行自己的本地服务器。这是因为它们的大多数配置参数都要求您访问Windows配置表，在那里您可以找到非常密集的选项集合。虽然它们都收集在一个地方很好，但是如果您可以全面访问Web，而不是根据需要在一系列基于Web和基于Windows的对话框之间进行切换，那就更好了。

属性表是您可以设置特定OTP方法的地方，它支持一组有趣的令牌，包括Google Authenticator、自己的Android和iphone移动OTP应用程序、RSA SecurID和Yubico Yubikeys。您还可以在浏览器会话中设置cookie，该cookie可以在特定时间段后过期，以记住特定的用户和设备组合。静态密码策略也可以通过另一系列菜单进行设置。而且支持push-OTP，PistolStar称之为被动密钥，工作站软件包含令牌加密代码。最后，还支持一系列预先设置的挑战/回答问题。

像瓦斯科和赛门铁克，该产品配备了自有品牌的基于风险的认证，被称为信誉为本认证。它有其自身的一系列Windows菜单的一个单独的可执行程序建立风险评分和阈值。对于如何配置相应的政策和身份验证方法的文档。

If users forget their passwords or don’t have their OTP token, they can also make use of a self-service portal to recover their account by one of the methods that an administrator has setup, such as to answer a series of challenge questions or use a temporary OTP. The user self-service portal is a different location from the SSO portal, which can be a bit confusing. PortalGuard can be configured to prevent users from having more than one concurrent login session.

一个PortalGuard的繁琐环节是具体行动有自己独立的身份验证方法。因此，举例来说，你可以建立正常登录一个办法 - 用说令牌Yubico - 并使用另一个身份验证方法来解锁冻结账户，如回答查问问题。这得到有点混乱。没有为通过自己的SSO门户通过RADIUS服务器和SAML认证的VPN支持。该门户网站都有自己的配置编辑器。

PortalGuard支持基于SAML、CAS、WS-Fed和Shibboleth的协议，这些协议在identity provider配置编辑器下的单独一系列对话框中设置。有一些应用程序（Office 365、SharePoint和Outlook Web Access）的预设模板，但如果要添加其他应用程序，则必须创建自己的SAML XML代码。其他SSO产品直接附带更多的模板或支持的SAML应用程序。

该产品配备了9个预先设定的报告，但大部分看起来像日志文件，不会是非常有益的管理者，除非它们被进一步解析。为了访问这些网站，要么需要剪切和粘贴到电子表格，或者访问被手动存储在其数据库中的XML报告。

各种API都可用，包括java和javascript、C++和C语言库，这样你就可以构建自己的应用程序。这些都没有很好的文档记录，只有在一个发布的集成指南中才可以使用，而不是在线的。

有几个定价计划。标准的本地服务器第一年的起价为15000美元，随后几年的起价为5000美元，包括支持、多达10000个并发用户和令牌，包括软用户和硬用户。一百个Yubico代币是额外的2000美元。如果需要更多并发用户，则需要一个企业许可证。您还可以在基于云的版本中访问该产品的免费试用版，这使您的访问受到限制，只支持一些功能。

RSA Authentication Manager v8.1 SP1：功能强大、复杂

当我们在2013年审查RSA的身份验证管理器，它刚刚推出了一个基于Web的版本。从那时起，它一直通过一些小的修改，增加了对QR码软件令牌支持，并清理其接口。

它仍然是一个难以安装和配置的产品：部分原因是仍然有许多独立的部分。但由于该产品是市场上功能最强大的MFA工具之一，因此它广泛支持各种硬令牌和软令牌类型、应用程序集成和工作流。与许多竞争对手一样，用户可以注册多个令牌类型来验证其帐户。还有多种令牌设置方法使用不同的安全方法。

这个版本的新特性是一个基于风险的身份验证引擎，它可以跟踪每个用户的设备和行为。有一个初始的数据收集期，软件会在这个期间安静地运行，而不会挑战任何登录尝试。一旦它的引擎收集到足够的数据，它就为认证尝试分配一个风险分数，如果风险高于指定值，则在允许用户访问特定资源之前，会要求用户提供额外的认证因素（例如通过短信发送的OTP）。

您还可以设置分配给每个用户或每个令牌对用户登记的时间量记号类型的数量是有限的。虽然这是非常灵活的，像RSA产品的其他部件，所以需要一定的努力得到正确的配置。

基于Web的自助服务仪表板可以注册用户、设置基于知识的问题、排除令牌故障、重置静态pin并在令牌丢失或被盗的情况下重置基于风险的设备历史记录。

这个新版本是什么RSA调用它的Web层。这就建立了一个自定义的Web界面，用于处理用户自助服务请求和管理基于风险的认证。此层还拦截所有网络流量，使您的身份验证服务器，它可以留在后面的网络DMZ，更安全。该层可以在Windows或Linux服务器上运行的任何。

RSA拥有庞大的安装，这与它在MFA领域的任期和顽强不屈不相上下。一个安装有100多万用户，这也是其基于硬件的SecurID令牌如此普遍的原因之一。

它仍然作为VM或物理硬件设备安装，都运行自己的强化Linux服务器。有针对VMware ESXi和Microsoft Hyper-V的VM版本。

一旦你安装了虚拟机（其采取了三个小时的紧张工作，并从他们的支持人员一些帮助），您可以访问多个不同的基于Web的控制台：一个普通的安全功能，一个用于自助服务用户，一个用于日常运营。究其原因，多个控制台是一个很好的一个，来隔离管理角色。与早期版本的产品，这些都是非常精细，并具有提供13种不同的预先设定的，在默认情况下安装了两个不同的管理角色。

有些配置菜单中可以使用一些清理，使工作流程更加明显，而且大多数是非常文字为主的几十个配置选择。此产品跨度近十余手册有近1000页的非常详细的说明整体文档集。

RSA服务器提供了一系列不同的身份验证策略，包括令牌策略、密码复杂性策略、锁定和自助服务故障排除策略、工作流配置策略和基于风险的身份验证策略。