Amazon WorkLink は、従業員や契約業者が自分のスマートフォンを使用して社内のウェブサイトやウェブアプリケーションにクリック 1 回でアクセスできるようにする、セキュアなフルマネージド型サービスです。

容易な設定と管理

Amazon WorkLink は、AWS マネジメントコンソールから簡単にセットアップできます。開始するには、既存の ID プロバイダーを Amazon WorkLink にリンクし、それを使用して従業員のアクセス権限を設定します。次に、WorkLink を使用したアクセス先になるウェブドメインを追加します。追加されたウェブドメインにアクセスできるようにするには、既存のオンプレミス VPN ハードウェアを使用して、AWS Virtual Private Cloud (VPC) とのポイントツーポイント接続を作成するか、セットアップ済みであれば Direct Connect を使用してシンプルに接続します。これらのステップが完了すれば、用意されている E メールテンプレートを使用し、従業員に対して自分のデバイスのアプリケーションストアから Amazon WorkLink アプリケーションをダウンロードし、社内認証情報でログインして、Safari で社内ウェブサイトへのアクセスを開始するよう招待します。

set up

セキュアなコンテンツ分離

Amazon WorkLink では、デバイス上での DNS 解決により社内ウェブサイトとウェブアプリケーションのリクエストが特定され、それからそのコンテンツが AWS で実行されるセキュアなコンテナにロードされます。AWS 内の HTML、JavaScript、CSS はすべて Amazon WorkLink で処理され、ベクターグラフィックスに変換されます。その後、ネイティブな操作性を維持したままで、コンテンツが従業員のスマートフォンにベクターグラフィックスとして配信されます。その結果、これらのデバイスで社内ウェブページが直接レンダリングされることや、コンテンツがローカルブラウザのキャッシュに保存またはダウンロードされることはなくなります。また、Amazon WorkLink では、それぞれのお客様には専用の EC2 インスタンスプールが、それぞれのアクティブユーザーには専用コンテナが提供され、ブラウズセッションが分離されます。

分割レンダリング

Amazon WorkLink では、リクエストされたページの中で、テキストボックスやドロップダウンリストなど、ユーザー入力を必要とする構成要素が特定されます。ウェブページ内のそれらのインタラクティブな要素はスマートフォンにミラーリングされるため、ユーザーのアクションはローカルで処理されます。その他の要素は、Amazon WorkLink によってベクターグラフィックスのレイヤーでレンダリングされ、各ウェブページがスマートフォンに表示されます。Amazon WorkLink では、ウェブページのレンダリングを分割することで、スクロール、ズーム、ユーザー入力の際にも円滑で自然なユーザーエクスペリエンスが実現します。

Amazon WorkLink は、ブラウザの Cookie を使ってアプリケーションの状態を保持するウェブサイトやウェブアプリケーションでもシームレスに動作します。Amazon WorkLink は AWS Key Management Service (KMS) と統合されており、Cookie は従業員のスマートフォンに送信する前に AWS コンテナ内で暗号化されます。Cookie を従業員のスマートフォンで復号することはできず、必要な場合は AWS クラウドに返送されて復号されます。こうして、従業員はブラウズセッションを再開でき、セキュアで中断のないブラウズが実現します。

SAML ベースのユーザー管理

Amazon WorkLink では、SAML 2.0 準拠の ID プロバイダーを利用したユーザー認証およびフェデレーションサインインがサポートされています。自社の SAML プロバイダーを使用して、社内ディレクトリのうち Amazon WorkLink にアクセスできるユーザーグループを認証することや、社内ウェブサイトに対するユーザーのアクセス権限を設定することができます。

Microsoft Active Directory との統合

Amazon WorkLink では、自社の Microsoft Active Directory を使用してユーザー認証を管理できます。既存のグループポリシーを適用して、Amazon WorkLink へのアクセスを有効にすることや、社内ウェブサイトに対するユーザーのアクセス権限を設定することができます。Microsoft Active Directory と統合する方法は 2 つあります。自社の Microsoft Active Directory と AWS Directory Service for Microsoft Active Directory (Enterprise Edition) のドメインコントローラーとの間にセキュアな接続を確立する方法と、AWS Directory Service の Active Directory Connector を使用する方法です。AWS Directory Service と Amazon WorkLink は、AWS Single Sign-On によって追加料金なしでリンクできます。

きめ細かいアクセスコントロール

Amazon WorkLink によって、従業員、契約業者、パートナーが利用できる社内のウェブサイトとウェブアプリケーションを指定できます。Amazon WorkLink コンソールで外部アクセスを許可するサイトのホワイトリストを作成し、SAML 2.0 や Active Directory といった既存の自社 ID プロバイダーでユーザーのアクセス権限を設定できます。これにより、ユーザーのアクセスレベルをコントロールでき、情報の保護がさらに容易になります。

モニタリングと分析

Amazon WorkLink ではアクティビティログが作成されるため、WorkLink 経由でコンテンツにアクセスしたユーザーの数、アクセスされたコンテンツ、そのコンテンツがアクセスされた日時を追跡できます。これらのログは Amazon Kinesis ストリームによって配信され、お客様は任意のツールやデータストアを使ってこれらのログの保存、処理、分析を実行できます。例えば、これらのログを Amazon S3 にストリーミングし、Splunk などのツールを使用して情報を分析できます。また、Kinesis Data Firehose を使ってこのデータを Amazon Redshift に転送し、Amazon QuickSight を使用してレポートとダッシュボードを生成することもできます。

Amazon WorkLink モバイルアプリケーションは、デバイス上で DNS 解決を実行し、WorkLink サービスへのユーザーアクセスを検証します。ある従業員がスマートフォンのブラウザを使用して社内サイトを開くと、Amazon WorkLink アプリケーションによって関連する DNS リクエストが従業員のスマートフォンでローカルに解決され、社内ウェブページへのリクエストが AWS 経由でルーティングされます。Amazon WorkLink で、個人的なウェブページリクエストが AWS 経由でルーティングされることはありません。それらのリクエストの DNS 解決は、従業員のスマートフォンのデフォルト DNS リゾルバーで処理されます。Amazon WorkLink アプリケーションでは、既存の SAML ポリシーに準拠して、従業員による WorkLink へのアクセスが検証されます。このアプリケーションでは、SSO セッションの期限切れの場合にのみ従業員に対して再ログインが要求されるため、従業員は社内ウェブサイトにアクセスするたびにログインする必要がありません。

マネージドサービス

Amazon WorkLink では、必要なリソースのデプロイ、プロビジョニング、スケーリングが自動的に管理され、最新の状態に維持されます。Amazon WorkLink によって管理されるリソースは、指定した社内ウェブサイトにアクセスできるようお客様の Amazon Virtual Private Cloud (VPC) と動的に接続されます。インストールされた AWS Direct Connect を AWS から自社ウェブサイトへのトラフィックに活用し、オンプレミスの VPN ゲートウェイのハードウェアとソフトウェアを廃止することもできます。別の方法として、既存の VPN 設備を再利用して、AWS とオンプレミスネットワークの間にサイトツーサイトの VPN トンネルをセットアップすることもできます。これにより、従業員のスマートフォンから直接アクセスするため、クライアントからサイトへの複雑な VPN ゲートウェイのセキュリティを維持しておく必要がなくなるため、オンプレミスの管理オーバーヘッドを削減できます。

Product-Page_Standard-Icons_01_Product-Features_SqInk
機能の詳細

Amazon WorkLink の機能の詳細をご覧ください。

詳細 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
無料のアカウントにサインアップ

AWS 無料利用枠にすぐにアクセスできます。 

サインアップ 
Product-Page_Standard-Icons_03_Start-Building_SqInk
コンソールで構築を開始する

AWS コンソールで Amazon WorkLink を使って構築を始めましょう。

サインイン