在企业的数字化建设中,安全性和易用性往往是一对矛盾。要保证安全性,势必加强各种安全措施:多因素身份认证、强制安全密码、各种安全网关和防火墙等,这意味着用户需要更多的操作步骤才能访问企业应用和数据。Workspace ONE 很好地解决了这一矛盾,在保证企业安全性的同时也提供了优秀的用户体验。
1. 统一身份认证
在互联网上登录不同的网站是一种痛苦的体验,经常记错了在某个网站注册的用户名或密码而导致访问失败,所以大部分人干脆所有的网站都使用同一个用户名和密码,这是有着很大的安全风险的。
在企业内部也是同样的情况,不同的应用往往有着不同的身份认证系统。有些企业实现了一部分系统的统一身份认证,但是这可能造成安全的隐患,用户往往选择在所有的应用系统中统一使用企业域用户名和密码。有些应用系统是第三方提供的 SaaS 服务,这意味着身份认证信息泄露到了企业外部。
Workspace ONE 提供了统一身份认证的方案,它为所有的企业应用提供了一个桥接来统一使用企业身份目录。 只要是采用 SAML 标准的应用都可以通过 Workspace ONE 来获得用户身份,用户只需要通过一套身份标识就可以访问所有的企业应用。这样也更容易实现安全策略循规,很多企业规定用户必须定期更改用户密码,用户只需要更改主帐号的密码就可以了。
小知识:SAML (Security Assertion Markup Language) 是一个基于 XML 的标准,用于在不同的安全域 (security domain) 之间交换认证和授权数据。在 SAML 标准定义了身份提供者 (identity provider) 和服务提供者 (service provider),这两者构成了前面所说的不同的安全域。在我们的文章里,身份提供者就是企业身份目录,服务提供者就是各种企业应用。
2. 单点登录
有了统一身份认证之后就可以进一步实现单点登录,Workspace ONE 在业界率先提出了安全应用令牌机制 SATS (Secure App Token System),该技术能够在用户、设备和应用之间建立起信任关系,从而实现在任何平台上对任何类型应用的单点登录支持。
单点登录功能是由 Workspace ONE 中的 AirWatch 组件提供的,由于 AirWatch 在企业移动化管理领域的领导者地位,主流开发商在应用开发的时候就已经通过 AirWatch SDK 或遵从 ACE(App Configuration for Enterprise)标准来构建移动 App,所以目前已经有超过 1000 个移动 App 原生支持 Workspace ONE 的单点登录机制,如 Salesforce、SAP、印象笔记等。
企业自己开发的移动 App 可以通过以下三种方式来支持 Workspace ONE 平台上的单点登录功能:
- AirWatch SDK:需要在开发 App 的时候就调用 AirWatch 提供的 API,跟 AirWatch 集成的力度最大,支持 AirWatch 的管理功能最多。
- 遵从 ACE 标准:App 开发遵从 AppConfig Community 的规范标准。
- App Wrapping:不需要改动移动 App 的代码,利用 AirWatch 提供的 Wrapping 工具对现有的移动 App 进行打包就可以了,最方便,但效果是三种方法里最差的,有可能不成功。
3. 企业应用商店
企业里面每个员工在电脑上安装软件时都产生过困惑,到哪里才能下载适用我的电脑的软件呢?Workspace ONE 的自服务应用商店彻底免除了用户和 IT 支持人员的麻烦,每个员工都只需要访问 Workspace ONE 门户(在电脑上)或启动 Workspace ONE App(在移动设备上),就能访问自服务应用商店,在里面能够找到所有类型的应用:
- 内部 Web 应用
- 外部 SaaS 应用
- 本机原生应用(Windows 应用、移动 App 等)
- 虚拟化桌面
- 远程托管应用
Workspace ONE 的企业应用商店在不同的平台上展现出完全一致的用户体验,让员工无论使用何种设备登录,都能进入到熟悉的个人数字工作空间。
4. 设备灵活性
Workspace ONE 的易用性还体现在对于各种设备的支持,它支持 Windows、Mac OS、Chrome OS、iOS、Android 等各种主流的操作系统。企业可以灵活地选择设备来配发给员工,或是让员工自带设备 (BYOD)。同时,Workspace ONE 还能提供跨平台的统一用户体验,无论用户使用何种设备,都能获得一致的使用体验。
