Skip to content
MyWorkspace

Desarrollo e IT

Visión técnica de la plataforma

Esta página resume cómo se piensa el servicio en producción: controles por capas, mínimo privilegio, alcance por tenant, límites de confianza explícitos y separación entre navegador, portal, capa de acceso seguro y entornos destino. Es descriptiva—no una guía de despliegue—y evita nombrar productos comerciales cuando basta describir capacidades.

Para quién es

Arquitectos de solución, revisores de seguridad, ingenieros de plataforma y operadores de TI que necesitan un modelo mental creíble antes de profundizar. Diagramas contractuales o topología específica del tenant corresponden a un canal controlado—no a esta página pública.

Grandes piezas (conceptual)

Los usuarios entran con una sesión de navegador estándar en un portal que aloja autenticación, navegación guiada por políticas y superficies de lanzamiento para recursos asignados. Detrás están la lógica multi-tenant, el ciclo de vida de identidad y la orquestación hacia rutas remotas. Una capa de acceso seguro distinta termina protocolos orientados al navegador, valida asignaciones y políticas al conectar y enlaza PCs de oficina, escritorios alojados, cargas cloud o capas de aplicación—sin absorber esos entornos en el dominio de confianza del portal.

Modelo de presentación del espacio de trabajo

Los recursos asignados surgen en el portal del tenant como objetivos de lanzamiento gobernados en lugar de destinos de red directos. Los administradores vinculan usuarios a ofertas concretas —comúnmente modeladas como apps de trabajo, puntos de entrada al espacio remoto, PCs de oficina, escritorios alojados, entornos de sistema o aplicaciones internas. Cuando un usuario inicia un lanzamiento, la ejecución de la carga permanece asociada al objetivo aprobado mientras la interacción fluye por una superficie de sesión contenida en el navegador cuando ese es el camino configurado. Si la política y la integración requieren otro modelo de entrega, el mismo modelo de asignación puede pasar a una ruta de cliente aprobada en lugar de presentarse por completo en el navegador. La frontera importante es que el endpoint actúa como superficie de acceso en lugar del propio entorno de ejecución. Esa separación permite exponer objetivos Windows, Linux, macOS, servidor, cloud o híbridos a través de un mismo portal y modelo de asignación sin colapsar los dispositivos de usuario en la frontera de confianza de la red interna.

Flujo de lanzamiento (alto nivel)

  1. El usuario inicia sesión en el portal acotado al tenant (MFA cuando la política lo exige).
  2. Se resuelve el contexto del tenant para que las comprobaciones posteriores apliquen a la partición correcta.
  3. Las asignaciones y autorizaciones se evalúan en el servidor antes de preparar cualquier ruta remota.
  4. Se muestran recursos elegibles—apps asignadas y la experiencia del espacio remoto incluidas.
  5. El usuario inicia la acción de lanzamiento para la asignación elegida.
  6. La capa de acceso seguro media una ruta de sesión autorizada según la asignación y las reglas del tenant.
  7. El entorno destino queda alcanzable por la superficie orientada al navegador o la entrega al cliente configurada—según el tipo de lanzamiento.
  8. El acceso permanece acotado al recurso aprobado—no implica acceso amplio a la red desde el endpoint.

Qué corre dónde

Endpoint / navegador

  • Autentica al usuario en el portal tenant y mantiene la sesión web.
  • Renderiza navegación, asignaciones y controles de lanzamiento (incluida el área de espacio remoto).
  • Transporta entrada del usuario e instrucciones de vista hacia rutas de sesión mediadas.
  • Recibe la experiencia remota contenida en el navegador cuando la asignación se entrega así.
  • No se convierte por defecto en una extensión plenamente confiable de la LAN corporativa solo por tener sesión activa.

Entorno remoto / destino

  • Aloja el escritorio, la aplicación o la carga que apunta la asignación.
  • Conserva el estado de ejecución y la autenticación propia del entorno cuando aplica.
  • Solo es alcanzable por rutas de lanzamiento autorizadas para ese usuario y tenant.
  • Permanece fuera del dominio de confianza del portal; este orquesta el acceso sin co-alojar la carga.

Plano de control / capa de acceso

  • Resuelve el alcance del tenant y lee asignaciones desde almacenes particionados.
  • Aplica autorización y elegibilidad de lanzamiento en el servidor.
  • Media el establecimiento de sesión hacia destinos aprobados vía la capa de acceso seguro.
  • Mantiene la conectividad acotada al recurso asignado—sin prometer alcance plano a la red.

Tipos de entorno

MyWorkspace está diseñado en torno a entornos asignados en lugar de un único tipo de escritorio. Según la configuración del tenant, los usuarios pueden interactuar con entornos de escritorio completos, espacios orientados a aplicaciones, puntos de entrada en dispositivos de oficina, entornos respaldados por servidor o superficies operativas contenidas en el navegador —todo ello con el mismo modelo de acceso.

  • PCs de oficina
  • Entornos de escritorio Windows
  • Entornos Windows Server
  • Entornos Linux
  • Entornos macOS
  • Espacios de trabajo cloud
  • Aplicaciones internas

Ruta de ejecución de un vistazo

  1. Step 1: Navegador del usuario
  2. Step 2: Portal tenant
  3. Step 3: Asignación + resolución de política
  4. Step 4: Capa de acceso seguro
  5. Step 5: Destino / entorno asignado
  6. Step 6: Sesión contenida en el navegador
  1. Navegador del usuario
  2. Portal tenant
  3. Asignación + resolución de política
  4. Capa de acceso seguro
  5. Destino / entorno asignado
  6. Sesión contenida en el navegador
El endpoint sigue siendo una superficie de acceso mientras la carga aprobada permanece asociada al entorno remoto asignado.

Identidad, sesiones y autorización

Los usuarios se autentican en el portal tenant. Las sesiones siguen prácticas web modernas (credenciales de corta vida en el edge, validación servidor para acciones privilegiadas). Roles y asignaciones se resuelven en servidor antes de conceder ruta remota; la UI no es la raíz de confianza para la conectividad remota. El MFA está integrado cuando la política lo exige; recuperación y administración van separadas de los flujos estándar.

Aislamiento por tenant

Los datos operativos se particionan por tenant en persistencia y configuración. Las rutas cross-tenant se rechazan por diseño en las APIs del plano de control; los lanzamientos en tiempo de ejecución solo se resuelven en el contexto tenant del llamante. Donde hay infraestructura compartida, el aislamiento se apoya en límites explícitos—no en la oscuridad.

Transporte y postura en el perímetro

El tráfico usa transportes cifrados hacia los puntos de servicio. La capa orientada al navegador no asume un cliente VPN legacy en el endpoint; la conectividad hacia destinos internos o híbridos se media con componentes pensados para sesiones autenticadas iniciadas en salida—no para aplanar toda la red. Suites de cifrado y versiones TLS siguen líneas base de seguridad de producción y cambian en ventanas de mantenimiento.

Datos (visión general)

El portal guarda metadatos de tenant, asignaciones, eventos orientados a auditoría necesarios para administración y configuración de integración acorde a la superficie del producto. Los secretos de conectores de terceros siguen patrones de almacenamiento controlado—no incrustados en bundles cliente. Las cargas de sesión remota transitan por rutas dedicadas; el material de credenciales del entorno destino permanece en el límite de sesión remota y no se duplica en logs web por diseño.

Observabilidad y operaciones

Los operadores de plataforma usan registros estructurados, endpoints de salud y señales de capacidad compatibles con stacks de supervisión. Los incidentes visibles para clientes se comunican por canales acordados; los diagnósticos operativos más profundos se gestionan mediante canales de soporte y revisión controlados.

Extensibilidad

Las integraciones favorecen APIs HTTP estables y protocolos de identidad estándar donde los clientes esperan interoperabilidad (por ejemplo directorio u orientación SSO a alto nivel). Banderas de función y despliegues escalonados permiten adoptar capacidades sin comprometer el aislamiento.

Límite de la página pública

Esta página describe la plataforma a nivel de capacidades y límites. La topología específica del tenant, los detalles de integración, los diagramas de despliegue y las rutas operativas sensibles se revisan en canales controlados.

Si tienes más preguntas, consulta las FAQ.

Para posicionamiento de producto y FAQs, vea Technology; para lo comercial, Contacto.

Volver a TechnologyContactar al equipo

Si tienes más preguntas, consulta las FAQ.