Amazon WorkLink 是一种完全托管服务,可让您的员工和承包商使用手机安全地一键式访问内部网站和 Web 应用程序。

轻松设置和管理

可以从 AWS 管理控制台轻松设置 Amazon WorkLink。要开始使用,请将现有身份提供商链接到 Amazon WorkLink,并使用该软件为员工配置访问权限。接下来,添加要使用 WorkLink 访问的 Web 域。要允许访问添加的这些 Web 域,请使用现有的本地 VPN 硬件创建与 AWS Virtual Private Cloud (VPC) 的点对点连接,或者如果已设置 Direct Connect,则只需使用 Direct Connect。完成以上步骤后,您可以使用提供的电子邮件模板邀请员工从设备应用商店下载 Amazon WorkLink 应用程序,使用其公司凭证登录,并使用 Safari 开始访问内部网站。

set up

安全内容隔离

Amazon WorkLink 解析设备 DNS 以识别内部网站和 Web 应用程序请求,随后在 AWS 中运行的安全容器中加载此内容。Amazon WorkLink 将在 AWS 中处理所有 HTML、JavaScript 和 CSS,并将其转换为矢量图形。随后将内容以矢量图形的形式发送到员工手机,同时保留本机交互。因此,内部网页从不会在这些设备上直接渲染,且内容不会存储或下载到本地浏览器缓存。Amazon WorkLink 还通过为每个客户提供 EC2 实例专用池,以及为每个活动用户提供专用容器,来隔离浏览会话。

拆分渲染

Amazon WorkLink 识别所请求页面的哪些元素需要用户输入,例如文本框和下拉列表。它将网页上的这些交互元素镜像到手机,以便在本地处理用户操作。Amazon WorkLink 通过渲染矢量图形层来显示其余部分,以便在手机上表示每个网页。通过拆分网页渲染,Amazon WorkLink 可在滚动、缩放或提供用户输入时提供流畅自然的用户体验。

Amazon WorkLink 与使用浏览器 Cookie 保留应用程序状态的网站和 Web 应用程序无缝协作。Amazon WorkLink 与 AWS Key Management Service (KMS) 集成,将 AWS 容器中的 Cookie 加密,然后再将其发送到员工手机。这些 Cookie 无法在员工手机上解密,需要时可以发送回 AWS 云进行解密。这样员工可以继续执行浏览会话,从而提供不间断且安全的浏览体验。

基于 SAML 的用户管理

Amazon WorkLink 支持使用任何符合 SAML 2.0 规范的身份提供商进行用户身份验证和联合身份登录。您可以使用 SAML 提供商授权目录中的哪些用户组应有权访问 Amazon WorkLink,以及为内部网站设置用户权限。

Microsoft Active Directory 集成

Amazon WorkLink 允许您使用 Microsoft Active Directory 管理用户身份验证。您可以应用现有组策略以允许访问 Amazon WorkLink 以及为内部网站设置用户权限。您可以通过两种方法与 Microsoft Active Directory 集成:在您的 Microsoft Active Directory 和适用于 Microsoft Active Directory(企业版)的 AWS Directory Service 域控制器之间创建安全连接,或者使用 AWS Directory Service Active Directory Connector。您可以通过 AWS Single Sign-On 将 AWS Directory Service 与 Amazon WorkLink 链接,无需额外付费。

精细访问控制

Amazon WorkLink 允许您指定员工、承包商和合作伙伴可以使用的内部网站和 Web 应用程序。您可以在 Amazon WorkLink 控制台中将要设为可外部访问的站点加入白名单,并通过现有身份提供商(包括 SAML 2.0 和 Active Directory)设置用户权限。这样您可以控制用户获取的访问级别,同时更方便地保护您的信息。

监控和分析

Amazon WorkLink 创建的活动日志允许您跟踪通过它访问内容的总人数、所访问的内容以及访问此内容的时间。这些日志通过 Amazon Kinesis 流传送给您,您可以使用您选择的常用工具或数据存储来存储、处理和分析这些日志。例如,您可以将这些日志流式传输到 Amazon S3,并使用 Splunk 等工具分析这些信息。同样,您可以通过 Kinesis Data Firehose 将此数据定向到 Amazon Redshift,并使用 Amazon QuickSight 生成报告和控制面板。

Amazon WorkLink 移动应用程序解析设备 DNS,并验证用户对 WorkLink 服务的访问权限。员工使用手机浏览器导航到内部网站时,Amazon WorkLink 应用程序将在员工手机上本地解析关联的 DNS 请求,并通过 AWS 路由公司网页请求。Amazon WorkLink 不会通过 AWS 路由任何个人网页请求。这些请求的 DNS 解析由员工手机上的默认 DNS 解析程序处理。Amazon WorkLink 应用程序将验证员工对 WorkLink 的访问权限,并遵循现有 SAML 策略。仅当 SSO 会话过期时,应用程序才会提示员工重新登录,因此员工无需在每次要访问内部网站时都登录。

托管服务

Amazon WorkLink 拥有和管理所需资源的部署、预置和扩展,并自动使这些资源保持最新。Amazon WorkLink 托管的资源将动态连接到 Amazon Virtual Private Cloud (VPC) 以访问您指定的内部网站。您可以利用 AWS Direct Connect 安装将流量从 AWS 路由到公司网站,并弃用本地 VPN 网关硬件和软件。或者重用现有 VPN 安装以设置 AWS 与本地网络之间的站点到站点 VPN 通道。这样可以减少本地管理开销,因为您无需再维护复杂的客户端到站点 VPN 网关(此网关需要予以保护以允许从员工手机直接访问)。

Product-Page_Standard-Icons_01_Product-Features_SqInk
了解功能

了解有关 Amazon WorkLink 功能的更多信息。

了解更多 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
注册免费账户

立即享受 AWS 免费套餐。 

注册 
Product-Page_Standard-Icons_03_Start-Building_SqInk
开始在控制台中构建

在 AWS 控制台中开始使用 Amazon WorkLink 进行构建。

登录