Skip to content
MyWorkspace

Kūrėjai ir IT

Platformos techninė apžvalga

Šiame puslapyje trumpai aprašoma, kaip paslauga samprotaujama gamyboje: sluoksniuotos kontrolės, mažiausios privilegijos, nuomininko aprėptis, aiškios pasitikėjimo ribos ir atskyrimas tarp naršyklės, portalo, saugaus prieigos sluoksnio ir tikslinių aplinkų. Tai aprašomasis tekstas—ne diegimo vadovas—be konkrečių komercinių produktų pavadinimų ten, kur užtenka gebėjimų lygio aprašymo.

Kam skirta

Sprendimų architektams, saugumo vertintojams, platformos inžinieriams ir IT operatoriams, kuriems prieš gilesnį įsitraukimą reikia patikimo mentalinio modelio. Sutartinės schemos ar konkretaus nuomininko topologija priklauso kontroliuojamam kanalui—ne šiai viešai akiai.

Pagrindinės dalys (konceptualiai)

Galutiniai naudotojai dirba per standartizuotą naršyklės sesiją su žiniatinklio portalu, kuriame autentifikacija, politikos pagalba navigacija ir paleidimo sritys priskirtiems ištekliams. Už to—nuomininko logika, tapatybės gyvavimo ciklas ir orkestracija link nuotolinio vykdymo kelių. Atskiras saugaus prieigos sluoksnis užbaigia naršyklei skirtus protokolus, prisijungimo metu tikrina priskyrimus ir politiką ir jungia biuro kompiuterius, prieglobos darbalaukius, debesijos darbo krūvius ar programų sluoksnius—nesulydydamas šių aplinkų į portalo pasitikėjimo domeną.

Darbo aplinkos pateikimo modelis

Priskirti ištekliai nuomininko portale rodomi kaip valdomi paleidimo tikslai, o ne kaip žali tinklo tikslai. Administratoriai prijungia naudotojus prie konkrečių pasiūlymų — dažnai tai darbo programos, įėjimai į nuotolinę darbo erdvę, biuro kompiuteriai, prieglobos darbalaukiai, operacinės sistemos aplinkos ar vidinės programos. Kai naudotojas pradeda paleidimą, darbo krūvio vykdymas lieka susietas su patvirtintu tikslu, o sąveika eina per naršyklėje aprėptą sesijos paviršių, kai tai sukonfigūruotas kelias. Jei politika ir integracija reikalauja kitokio pristatymo modelio, tas pats priskyrimų modelis gali būti perduotas patvirtintam kliento keliui vietoj visiško pateikimo naršyklėje. Svarbi riba: galinis įrenginys yra prieigos paviršius, o ne pati vykdymo aplinka. Tokia separacija leidžia organizacijoms rodyti Windows, Linux, macOS, serverines, debesijos ar hibridinius tikslus per vieną portalą ir priskyrimų modelį neįtraukiant naudotojų įrenginių į vidinio tinklo pasitikėjimo ribą.

Paleidimo srautas (aukštas lygis)

  1. Naudotojas prisijungia prie nuomininko konteksto portalo (MFA, jei politika reikalauja).
  2. Sesijai nustatomas nuomininko kontekstas, kad vėlesnės patikros taikytųsi tinkamai konfigūracijai ir duomenų skirsniui.
  3. Priskyrimai ir autorizacija vertinami serveryje prieš ruošiant bet kokį nuotolinį kelią.
  4. Rodomi tinkami ištekliai—įskaitant priskirtas darbo programas ir nuotolinės darbo erdvės patirtį.
  5. Naudotojas inicijuoja paleidimo veiksmą pasirinktam priskyrimui.
  6. Saugaus prieigos sluoksnis tarpininkauja autorizuotą sesijos kelią pagal priskyrimą ir nuomininko taisykles.
  7. Tikslinė aplinka tampa pasiekiama per naršyklei skirtą paviršių ar sukonfigūruotą kliento perdavimą—priklausomai nuo paleidimo tipo.
  8. Prieiga lieka ribojama patvirtintu ištekliumi—nereiškia plačios tinklo prieigos nuo galinio taško.

Kas kur veikia

Galinis taškas / naršyklė

  • Autentifikuoja naudotoją nuomininko portale ir palaiko žiniatinklio sesiją.
  • Atvaizduoja navigaciją, priskyrimus ir paleidimo valdiklius (įskaitant nuotolinės darbo erdvės sritį).
  • Perkelia naudotojo įvestį ir rodinio instrukcijas į tarpininkaujamus sesijos kelius.
  • Gauna naršyklėje aprėptą nuotolinę patirtį, kai priskyrimas taip pristatomas.
  • Pagal nutylėjimą netampa pilna korporacinės LAN patikima išplitimu vien dėl aktyvios sesijos.

Nuotolinė aplinka / tikslas

  • Priima darbalaukį, programą ar darbo krūvį pagal priskyrimą.
  • Išlaiko vykdymo būseną ir aplinkai būdingą autentifikaciją, kai aktualu.
  • Pasiekiama tik per įgalintus paleidimo kelius tam naudotojui ir nuomininkui.
  • Logiškai už portalo pasitikėjimo domeno ribų; portalas tik koordinuoja prieigą ir kartu nebegloboja darbo krūvio.

Valdymo plokštuma / prieigos sluoksnis

  • Sprendžia nuomininko aprėptį ir skaito priskyrimus iš nuomininkams padalytų saugyklų.
  • Serveryje vykdo autorizaciją ir paleidimo tinkamumą.
  • Tarpininkauja sesijos užmezgimui į patvirtintus tikslus per saugaus prieigos sluoksnį.
  • Laiko ryšį susietą su patvirtintu ištekliumi—nekelia plokščio tinklo pasiekiamumo.

Aplinkų tipai

MyWorkspace kuriamas apie priskirtas aplinkas, o ne vieną fiksuotą darbalaukio tipą. Priklausomai nuo nuomininko konfigūracijos naudotojai gali sąveikauti su pilnomis darbalaukio aplinkomis, programomis orientuotomis darbo erdvėmis, įėjimais į biuro įrenginius, serverio paremtomis aplinkomis ar naršyklėje aprėptomis operacinėmis plokštumomis — visa tai per tą pačią prieigos modelį.

  • Biuro kompiuteriai
  • Windows darbalaukio aplinkos
  • Windows Server aplinkos
  • Linux aplinkos
  • macOS aplinkos
  • Debesijos darbo vietos
  • Vidinės programos

Vykdymo kelias trumpai

  1. Step 1: Naudotojo naršyklė
  2. Step 2: Nuomininko portalas
  3. Step 3: Priskyrimas + politikos išsprendimas
  4. Step 4: Saugaus prieigos sluoksnis
  5. Step 5: Priskirtas tikslas / aplinka
  6. Step 6: Naršyklėje aprėpta sesija
  1. Naudotojo naršyklė
  2. Nuomininko portalas
  3. Priskyrimas + politikos išsprendimas
  4. Saugaus prieigos sluoksnis
  5. Priskirtas tikslas / aplinka
  6. Naršyklėje aprėpta sesija
Galutinis taškas lieka prieigos paviršiumi, o patvirtinta darbo krūvis išlieka susieta su priskirta nuotoline aplinka.

Tapatybė, sesijos ir įgaliojimas

Naudotojai autentifikuojasi nuomininko portale. Sesijų semantika atitinka šiuolaikines žiniatinklio praktikas (trumpalaikiai įgaliojimai prieigos krašte, serverio patikra privilegijuotiems veiksmams). Rolės ir priskyrimai sprendžiami serveryje prieš suteikiant nuotolinį kelią; UI nėra pagrindinis pasitikėjimo šaltinis nuotoliniam ryšiui. MFA integruota, kai politika reikalauja; atkūrimo ir administravimo srautai atskirti nuo įprastų naudotojų kelių.

Nuomininkų izoliacija

Operaciniai duomenys skaidomi pagal nuomininką saugojimo ir konfigūracijos lygmenyje. Kryžminiai keliai atmetami sąmoningai valdymo plokštumos API; vykdymo laiko paleidimai sprendžiami tik kvietėjo nuomininko kontekste. Bendrinama infrastruktūra remiasi aiškiais ribų apibrėžimais—ne paslėptumu.

Transportas ir krašto laikysena

Srautas naudoja šifruotą transportą iki tarnybų taškų. Naršyklei skirtas lygmuo neįsivaizduoja pasenusio VPN kliento galiniame taške; vidinių ar hibridinių tikslų ryšys tarpininkaujamas komponentais, skirtais išeinančioms autentifikuotoms sesijoms—ne viso tinklo išplokštinimui. Šifravimo rinkiniai ir TLS versijos laikosi gamybinių saugumo bazių ir keičiami priežiūros languose.

Duomenų tvarkymas (bendras lygis)

Portalas saugo nuomininko metaduomenis, priskyrimus, auditui reikalingus administravimo įvykius ir integracijų konfigūraciją pagal produkto paviršių. Trečiųjų šalių jungčių paslaptys tvarkomos kontroliuojamomis saugojimo schemomis—ne įrašytos į kliento paketus. Nuotolinės sesijos naudingoji apkrova eina specialiais keliais; tikslinių aplinkų įgaliojimų medžiaga lieka nuotolinės sesijos ribose ir sąmoningai nekopijuojama į žiniatinklio žurnalus.

Stebimi signalai ir eksploatavimas

Platformos operatoriai remiasi struktūrizuotais žurnalais, sveikatos tikrinimais ir talpos signalais, tinkančiais įmonių stebėsenos rinkiniams. Klientams matomi incidentai komunikuojami sutartais kanalais; gilesnė operacinė diagnostika tvarkoma kontroliuojamais palaikymo ir peržiūros kanalais.

Išplečiamumas

Integracijos teikia pirmenybę stabiliems HTTP API ir standartinėms tapatybės protokolų šeimoms ten, kur klientai tikisi sąveikos (pvz. katalogas ar SSO aukštu lygiu). Funkcijų vėliavėlės ir etapiniai įjungimai leidžia nuomininkams įdiegti galimybes nerizikuojant izoliacijos garantijomis.

Viešo puslapio riba

Šis puslapis aprašo platformą gebėjimų ir ribų lygiu. Konkretaus nuomininko topologija, integracijos detalės, diegimo diagramos ir jautrūs operaciniai keliai peržiūrimi kontroliuojamuose kanaluose.

Jei turite daugiau klausimų, žr. DUK.

Produkto pozicionavimui ir DUK žr. Technology puslapį; komerciniams klausimams — Kontaktai.

Atgal į TechnologySusisiekti su komanda

Jei turite daugiau klausimų, žr. DUK.