Зміст:
Відео: Introduction to VMware Workspace ONE (Жовтень 2024)
VMware - це знайоме ім'я для ІТ-фахівців, оскільки компанія, яка не лише стала першопрофільною віртуалізацією на підприємстві, але також є лідером у просторі управління мобільними пристроями (MDM) зі своїм продуктом Airwatch. Оскільки цілі корпоративні мережі зараз віртуалізуються і часто охоплюють межі брандмауера і входять до різноманітного програмного забезпечення як службових (SaaS) інструментів, має сенс, що VMware також має власне рішення для управління ідентифікацією (IDM) під назвою VMware Workspace One, яке починається від 3, 50 долара за пристрій або 6 доларів за користувача на місяць. Ця платформа пропонує кілька потужних можливостей, особливо навколо інтеграції з іншими продуктами VMware. Це вбивчі функції для компаній, які вже стандартизовані на VMware, особливо для тих, хто використовує Airwatch, що робить Workspace One для них непродуманим. Для інших організацій, однак, Workpace One не зовсім наздоганяє інших наших переможців у виборі редакторів у цій категорії, Microsoft Azure Active Directory (AD), Okta Identity Management та Centrify.
Як і більшість хмарних наборів IDM, які ми розглянули, Workspace One підтримує домени Microsoft Active Directory (AD) та каталоги на основі стандарту LDAP (Легкий протокол доступу до каталогу). В будь-якому випадку VMware використовує програмний агент як з'єднувач для підключення до вашого корпоративного каталогу. Це дає ряд переваг компаніям, що використовують VMware Airwatch для управління своїми мобільними пристроями, першим з яких є можливість використовувати той самий роз'єм, який використовується AirWatch для синхронізації ідентичності до Workspace One. Через основний процес настройки, що включає звичайний код активації, обліковий запис служби AD та вибір різних контейнерів каталогів, ваш каталог буде швидко пов'язаний з вашим екземпляром Workspace One.
Хоча завантаження та налаштування з'єднувача каталогів є досить інтуїтивно зрозумілим, перед тим, як ваші користувачі зможуть пройти автентифікацію на Workspace One, потрібно зробити ще багато роботи. Хоча такі рішення, як Okta, OneLogin та Azure AD, фактично готові до запуску після встановлення їх роз'ємів, VMware вирішив використовувати кілька шарів абстракції між каталогом та автентифікацією користувача, включаючи не лише з'єднувач, але й каталог, постачальник ідентичності ( IDP) та метод аутентифікації. Кожен шар містить аспект підключення до вашого каталогу, а в деяких випадках застосовує його до інших сховищ ідентичності, таких як внутрішній каталог Workspace One.
Інтеграція каталогів
Програмні агенти є звичним явищем серед інструментів IDM, тому не дивно, що перший інтеграційний шар каталогів - це роз'єм. VMware називає другий рівень каталогом, але в термінології VMware, що посилається на копію об'єктів і підмножину атрибутів, що синхронізуються з вашого корпоративного каталогу AD або LDAP. Каталоги налаштовані на використання одного з ваших з'єднувачів синхронізації, а також виділеного імені базового шляху до каталогу для користувачів, а також шляху до користувача облікового запису послуги та пароля. Конфігурація каталогу також дозволяє контролювати, які атрибути синхронізуються. Нарешті, у вас є можливість додати гарантії до синхронізації каталогу. Вони дозволяють керувати порогами, що обмежують зміни до відсотка існуючих об'єктів каталогу, що може допомогти обмежити вплив масових змін або помилок конфігурації на рівні Active Directory.
Робітники - наступний фрагмент головоломки інтеграції каталогів у VMware Workspace One. Робітники асоціюються з роз'ємами та каталогами та обробляють різні методи аутентифікації, такі як пароль, RADIUS, RSA, сертифікат, AirWatch або VMware Verify, що є двофакторним механізмом аутентифікації VMware.
Нарешті, політики застосовуються для прив'язки програм до діапазонів мережі та типів пристроїв (веб-браузер, Android, iOS тощо), а потім призначають методи аутентифікації. Політика може бути застосована до груп користувачів з метою націлювання на конкретних людей, а методи аутентифікації можуть бути налаштовані в декількох розмірах, щоб примусити багатофакторну автентифікацію або забезпечити резервну методику автентифікації, якщо кращий метод не вдається. Цей спосіб обробки політик аутентифікації дозволяє легко налаштувати, як користувачі можуть автентифікувати, але недоліком є те, що якщо ви закінчите занадто багато політик, вони можуть заплутатися в управлінні. Наприклад, кілька політик можуть застосовуватися до однієї групи та додатків. Більшу частину цієї плутанини можна запобігти досить легко, налаштовуючи окремі політики на додаток чи ресурс, але, як і для багатьох корпоративних інструментів, вона передбачає рівень володіння ІТ-адміністратором, і некваліфіковані адміністратори можуть намалювати себе в кут, якщо вони не обережні.
Однією з особливостей, яку ми хотіли б побачити у майбутньому Workspace One, є функція аутентифікації на основі ризику, яка використовує машинне навчання (ML) та великі дані для призначення балів ризику конкретним користувачам, пристроям чи програмам. Аутентифікація на основі ризику не є однією з тих функцій, які пропонуються по всьому світу на арені IDM, але це ключова особливість для провідних конкурентів, включаючи Microsoft Azure AD та Centrify. Робоча область One пропонує функцію під назвою умовного доступу на основі ризику, і вона дає можливість налаштувати політику для обробки автентифікації на основі таких речей, як мобільні пристрої, які є достатньо виправленими, нещодавно змінені паролі чи географічні обмеження. Різниця між умовним доступом на основі ризику VMware та новою аутентифікацією на основі ризику на основі ML, запропонованою конкурентами, полягає в тому, що версія VMware базується на наборі функцій управління пристроєм, а не на будь-яких можливостях машинного навчання. Можливості, на які покладається VMware, є зрілими і, безумовно, корисні для будь-якого бізнесу, що використовує мобільні пристрої, але вони не додають такого ж інтелекту, як ті, що базуються на алгоритмах ML.
Єдиний вхід (SSO)
Після того, як ваш каталог налаштовано і користувачі та групи переходять у Workspace One, додатки можуть бути призначені для будь-якого типу об’єкта шляхом визначення прав. Це можна керувати в налаштуваннях користувача або групи або на екрані конфігурації додатків. Надання SSO в додатки SaaS, такі як Google G Suite, Office 365, Dropbox та багато іншого, налаштовано на стороні програми, якщо програма підтримує забезпечення за допомогою stadnards або API та робочої області One підтримує надання додатків у програмі. Зазвичай це включає управління підключенням від Workspace One до програми та налаштування атрибутів, що передаються поперек, але це частково залежить від націлювання програми. Робоча область One також пропонує деякі інструменти для відстеження використання ліцензій, включаючи можливість визначення порогових значень та типів ліцензій (наприклад, іменовані користувацькі або одночасні ліцензії).
Одним із ключових моментів розрізнення VMware є можливість аутентифікації на настільних додатках, розміщених у середовищах віртуальної інфраструктури робочого столу (VDI), зокрема власному Cloud Horizon Cloud, його продукт VDI Horizon View VDI, а також VDI-середовища, стандартизовані за технологією Citrix. Однак жодна з цих цілей не є миттєвим з'єднанням, оскільки всі вони передбачають конфігурацію на обох кінцях процесу. Однак вони є дуже потужним варіантом для компаній, які вже інвестували в одну або кілька цих систем. Ці параметри дають користувачам можливість безпечно отримувати доступ до настільних додатків та інших корпоративних ресурсів так, як ніби вони були фізично розташовані в корпоративній мережі. Це не тільки допомагає забезпечити оптимальну позицію безпеки, але й підтримує корпоративні додатки, які використовують настільний клієнт.
Ще одна перевага для компаній, які вже використовують VMware AirWatch, полягає в тому, що завдяки інтеграції з Workspace One вони забезпечують додаткову безпеку для мобільних користувачів. Дозволяючи користувачам отримувати доступ до корпоративних ресурсів через мобільні пристрої, автоматично вводяться кілька можливих уразливих ситуацій до вашої корпоративної інфраструктури, включаючи можливість компрометації пристрою користувача та надання несанкціонованого доступу, а також сценарії, пов’язані з завантаженням на пристрій корпоративних даних, а потім втратою цього пристрою або викрадено. Наявність можливості переконатися, що пристрій відповідає корпоративній політиці, наприклад, запобігання укоріненим пристроям, забезпеченню шифрування пристрою та надійному паролю, а також можливість віддаленого блокування або стерти його, може бути рятувальником безпеки в багатьох ситуаціях, а також допоможе компанії проходять аудит безпеки або регуляторних норм.
Інший побічний продукт можливостей VMware в MDM передбачає можливість захищати мобільні додатки за допомогою ряду різних методик, що дає адміністраторам більшу гнучкість у наданні користувачам потрібних рішень. Ці параметри включають тунелювання VPN на основі програми та можливість обгортання додатків у захищеному середовищі пісочниці, що ефективно створює зашифровану версію програми, захищену від зовнішніх факторів.
Звітність та ціноутворення
Якщо у Workspace One є реальна слабкість, це звітність. Інформаційна панель взаємодії з користувачем надає деякі ключові показники ефективності щодо активності користувачів та використання додатків, але це набагато не відповідає інформаційним панелям, запропонованих Centrify або Okta. Навіть запущені звіти залишають можливість вдосконалитись у Workspace One, який надає декілька звільних матеріалів, але лише мінімальні варіанти фільтрації даних (ви навіть не можете сортувати таблиці без завантаження у файл CSV). Це показує, що звітність не була зоною уваги для команди Workspace One. Хоча це не обов'язково є вбивчим ударом по платформі, дані звітів є ключовою вимогою для компаній, які потребують перевірки відповідності аудиторам, і їх слід ретельно розглянути, перш ніж приймати рішення про платформу IDM.
Ціни VMware на Workspace One знаходяться в тій же загальній складності, що і для інших пакетів IDM, які пропонують аналогічні функції, хоча Workspace One пропонує ціноутворення як на пристрій, так і на основі користувача. Ціноутворення на пристрій має перевагу в тому, щоб отримати багато функцій, пропонованих через AirWatch, але вони мають деякі обмеження функцій, такі як портал SSO обмежений лише керованими пристроями. Також у вас є можливість придбати ліцензії на запуск Workspace One у власних приміщеннях, що заощадить на витратах на ліцензування з часом, але вимагатиме додаткових витрат на управління, персонал та інфраструктуру.
Ціни на ліцензування починаються зі стандартного рівня, який працюватиме 3, 50 долара за пристрій або 6 доларів на кожного користувача щомісяця. У приміщенні стандартні ліцензії становитимуть 50 доларів за пристрій або 90 доларів за користувача як разова (вічна) вартість. Удосконалений рівень приносить ціни до 5, 50 $ / 10 дол. США щомісячно за пристрій або користувача, але він додає такі можливості, як контейнерні мобільні додатки та VPN-тунелі за програму. Безстрокові ліцензії для локального використання на просунутому рівні 90 доларів або 180 доларів. Рівень ціноутворення на підприємстві ліцензується лише на кожного користувача та складає 23, 25 доларів США щомісяця за хмарну пропозицію або 400 доларів за постійну ліцензію на приміщення. Рівень Enterprise дає можливість інтегруватися з Horizon для віртуальних додатків та настільних ПК.
Без сумніву, VMware пропонує сильну пропозицію в Workspace One. Однак деякі функції, які відстають від конкуренції, включають все, що стосується звітності та відсутність аутентифікації на основі ризику, яка використовує машинне навчання. Процес налаштування для отримання всіх рівнів аутентифікації між вашим каталогом та Workspace One також менш інтуїтивно зрозумілий. З іншого боку, VMware пропонує більше базової вартості для своєї основної клієнтської бази, ніж будь-який її конкурент. Ключова інтеграція між Workpace One, AirWatch та Horizon об'єднує деякі серйозні можливості безпеки та аутентифікації для мобільних працівників.
