Amazon WorkLink – это полностью управляемый сервис, который обеспечивает сотрудникам и подрядчикам безопасный доступ к внутренним веб‑сайтам и интернет‑приложениям компании с мобильных телефонов за одно касание.

Простая настройка и администрирование

Сервис Amazon WorkLink можно просто настроить с помощью Консоли управления AWS. Чтобы начать работу, достаточно связать существующий поставщик удостоверений с сервисом Amazon WorkLink и использовать его для настройки прав доступа сотрудников. Затем нужно добавить веб‑домены, к которым пользователи будут обращаться посредством WorkLink. Чтобы разрешить доступ к добавленным веб‑доменам, можно использовать существующее VPN‑оборудование для создания подключения типа «точка‑точка» с облаком AWS Virtual Private Cloud (VPC). Как вариант, можно использовать ранее настроенное подключение Direct Connect. По завершении этих действий можно воспользоваться шаблоном электронного письма и отправить сотрудникам приглашение для загрузки приложения Amazon WorkLink из магазина приложений для соответствующих устройств. После этого пользователи смогут войти в систему с помощью корпоративных данных для доступа и приступить к работе с внутренними веб‑сайтами компании через браузер Safari.

set up

Надежная изоляция контента

Сервис Amazon WorkLink выполняет на устройствах преобразование DNS‑адресов для определения запросов к внутренним веб‑сайтам и интернет‑приложениям, а затем загружает полученный контент в защищенный контейнер, работающий на AWS. Amazon WorkLink обрабатывает в среде AWS любой контент в формате HTML, JavaScript и CSS и преобразует его в векторную графику. Затем сервис доставляет этот контент на телефоны сотрудников в виде векторной графики, при этом сохраняя исходные взаимосвязи преобразованных объектов. Таким образом, внутренние веб‑страницы никогда не передаются напрямую на пользовательские устройства, а контент не загружается в локальный кэш браузера и не хранится в нем. Кроме того, в Amazon WorkLink обеспечивается изоляция сеансов работы в браузере путем предоставления для каждого аккаунта выделенного пула инстансов EC2, а для каждого активного пользователя – выделенного контейнера.

Раздельное преобразование

Amazon WorkLink выявляет в запрашиваемых страницах элементы, где требуется ввод данных пользователем, например текстовые блоки и раскрывающиеся списки. Сервис создает на мобильных телефонах зеркальную копию этих интерактивных элементов веб‑страницы, чтобы действия пользователя обрабатывались локально. Для отображения на мобильных телефонах остального содержимого веб‑страниц сервис Amazon WorkLink использует несколько слоев полученной после обработки векторной графики. Благодаря такому раздельному преобразованию веб‑страниц Amazon WorkLink обеспечивает пользователям естественный и удобный интерфейс для прокрутки, масштабирования и ввода данных.

Amazon WorkLink обеспечивает надежную работу с веб‑сайтами и интернет‑приложениями, сохраняющими состояния приложений в данных cookie браузера. Amazon WorkLink интегрирован с AWS Key Management Service (KMS), поэтому перед отправкой на телефоны конечных пользователей cookie шифруются в контейнерах AWS. Данные cookie невозможно расшифровать на телефонах сотрудников. При необходимости расшифровки их требуется отправить обратно в облако AWS. Это позволяет сотрудникам возобновлять сеансы работы и обеспечивает непрерывную безопасную работу браузера.

Управление пользователями на основе технологии SAML

Сервис Amazon WorkLink поддерживает аутентификацию пользователей и федеративный вход с использованием любого поставщика удостоверений, поддерживающего технологии SAML 2.0. Используя поставщика удостоверений SAML, можно разрешить определенным группам пользователей из каталога доступ к Amazon WorkLink, а также установить разрешения для пользователей внутренних веб‑сайтов.

Интеграция с Microsoft Active Directory

Amazon WorkLink позволяет использовать Microsoft Active Directory для управления аутентификацией пользователей. Можно применять для разрешения доступа к Amazon WorkLink существующие групповые политики или установить разрешения для пользователей внутренних веб‑сайтов. Интеграция с Microsoft Active Directory осуществляется двумя способами: с помощью установки безопасного соединения между Microsoft Active Directory и контроллером домена AWS Directory Service for Microsoft Active Directory (Enterprise Edition) или с помощью AWS Directory Service Active Directory Connector. Можно связать сервисы AWS Directory Service и Amazon WorkLink с помощью сервиса AWS Single Sign‑On. Дополнительная плата при этом не начисляется.

Точное управление доступом

В Amazon WorkLink можно указать, какие внутренние веб‑сайты и интернет‑приложения будут доступны сотрудникам компании, ее подрядчикам и партнерам. В консоли Amazon WorkLink можно внести в белый список веб‑сайты, открытые для доступа извне, а также установить разрешения для пользователей, используя существующий поставщик удостоверений (включая SAML 2.0 и Active Directory). Все это позволяет контролировать уровень доступа, предоставляемый тем или иным пользователям, и упрощает защиту информации.

Мониторинг и аналитика

Amazon WorkLink создает журналы действий, которые позволяют отслеживать общее количество пользователей, которые обращаются к контенту через сервис, сам контент, к которому они обращаются, и время, когда пользователи получают доступ к этому контенту. Эти журналы доставляются через поток Amazon Kinesis. Их можно хранить, обрабатывать или анализировать, используя привычные инструменты или хранилища данных. К примеру, можно направить эти журналы в Amazon S3 и использовать для анализа информации различные инструменты, такие как Splunk. Аналогичным образом можно направить эти данные в Amazon Redshift с помощью Kinesis Data Firehose и использовать Amazon QuickSight для создания отчетов и информационных панелей.

Мобильное приложение Amazon WorkLink выполняет на устройствах преобразование DNS‑адресов и проверяет доступ пользователей к сервису WorkLink. Когда сотрудники пользуются на телефонах браузером для перехода на внутренний веб‑сайт, приложение Amazon WorkLink преобразует связанный запрос DNS локально на телефоне и направляет запрос к корпоративной веб‑странице через AWS. Amazon WorkLink не маршрутизирует через AWS запросы к веб‑страницам для личного использования. Преобразование DNS‑адресов для таких запросов выполняется стандартным преобразователем DNS‑имен на телефонах сотрудников. Приложение Amazon WorkLink проверяет доступ сотрудников к сервису WorkLink и может применять существующие политики SAML. Приложение запрашивает повторный вход в систему только по истечении сеанса SSO, поэтому сотрудникам не требуется проходить процедуру авторизации при каждом обращении к внутреннему веб‑сайту.

Управляемый сервис

Amazon WorkLink владеет ресурсами для развертывания, выделения, масштабирования и обеспечивает управление ими, автоматически поддерживая эти ресурсы в актуальном состоянии. Ресурсы, управляемые сервисом Amazon WorkLink, динамически подключаются к облаку Amazon Virtual Private Cloud (VPC) для доступа к выбранным клиентом внутренним веб‑сайтам. Можно использовать для перенаправления трафика от AWS к веб‑сайтам компании подключение AWS Direct Connect и избавиться от локального аппаратного и программного обеспечения для поддержки VPN‑шлюза. Можно также повторно использовать существующее VPN‑подключение для настройки VPN‑тоннеля по схеме site‑to‑site между AWS и локальной сетью. Все это позволяет сократить расходы на управление локальной инфраструктурой, поскольку отпадает необходимость в поддержке комплексной системы VPN‑шлюзов по схеме client‑to‑site для безопасного прямого доступа с телефонов сотрудников.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Узнать о возможностях продукта

Подробнее о возможностях Amazon WorkLink.

Подробнее 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Начать работу в консоли

Начните разработку с помощью Amazon WorkLink в консоли AWS.

Войти