Sommario:
Video: VMware Workspace ONE: Demo - Feature Walk-through (Ottobre 2024)
VMware è un nome familiare per i professionisti IT, poiché è la società che non solo ha aperto la strada alla virtualizzazione su scala aziendale, ma è anche leader nello spazio di gestione dei dispositivi mobili (MDM) con il suo prodotto Airwatch. Poiché intere reti aziendali sono ora virtualizzate e spesso si estendono oltre il firewall e in una varietà di strumenti SaaS (software as a service), è logico che VMware disponga anche della propria soluzione di gestione delle identità (IDM), chiamata VMware Workspace One, che parte da $ 3, 50 per dispositivo o $ 6 per utente al mese. Questa piattaforma offre alcune potenti funzionalità, soprattutto per l'integrazione con altri prodotti VMware. Queste sono le caratteristiche killer per le aziende già standardizzate su VMware, in particolare quelle che utilizzano Airwatch, rendendo Workspace One un gioco da ragazzi per loro. Per altre organizzazioni, tuttavia, Workspace One non riesce a raggiungere i nostri altri vincitori di Editors 'Choice in questa categoria, Microsoft Azure Active Directory (AD), Okta Identity Management e Centrify.
Come la maggior parte delle suite IDM basate su cloud che abbiamo esaminato, Workspace One supporta sia i domini Microsoft Active Directory (AD) sia le directory basate sullo standard Lightweight Directory Access Protocol (LDAP). In entrambi i casi, VMware utilizza un agente software come connettore per collegarsi alla directory aziendale. Ciò presenta una serie di vantaggi per le aziende che utilizzano VMware Airwatch per gestire i propri dispositivi mobili, il primo dei quali è la possibilità di sfruttare lo stesso connettore utilizzato da AirWatch per sincronizzare le identità con Workspace One. Attraverso un processo di installazione di base che comprende il solito codice di attivazione, l'account del servizio AD e la selezione di vari contenitori di directory, la directory verrà rapidamente collegata all'istanza di Workspace One.
Sebbene il download e la configurazione del connettore della directory siano abbastanza intuitivi, c'è ancora molto lavoro da fare prima che gli utenti possano autenticarsi su Workspace One. Mentre soluzioni come Okta, OneLogin e Azure AD sono effettivamente pronte per il roll-off dopo l'installazione dei connettori, VMware ha scelto di utilizzare diversi livelli di astrazione tra la directory e l'autenticazione dell'utente, incluso non solo il connettore ma anche la directory, il provider di identità (IDP) e il metodo di autenticazione. Ogni livello comprende un aspetto della connessione alla directory e in alcuni casi lo applica ad altri archivi di identità, come la directory di Workspace One interna.
Integrazione di directory
Gli agenti software sono all'ordine del giorno tra gli strumenti IDM, quindi non sorprende che il primo livello di integrazione della directory sia il connettore. VMware chiama il secondo livello una directory, ma nella terminologia di VMware che fa riferimento a una copia degli oggetti e a un sottoinsieme degli attributi sincronizzati dalla directory AD o LDAP aziendale. Le directory sono configurate per utilizzare uno dei connettori di sincronizzazione, insieme al nome distinto del percorso della directory di base per gli utenti, nonché il percorso dell'utente e la password dell'account del servizio. La configurazione della directory ti dà anche il controllo su quali attributi sono sincronizzati. Infine, hai la possibilità di aggiungere protezioni alla sincronizzazione della tua directory. Ciò consente di gestire soglie che limitano le modifiche a una percentuale degli oggetti di directory esistenti, il che può aiutare a limitare l'impatto delle modifiche di massa o degli errori di configurazione a livello di Active Directory.
I lavoratori sono il prossimo pezzo del puzzle di integrazione delle directory in VMware Workspace One. I lavoratori sono associati a connettori e directory e gestiscono una varietà di metodi di autenticazione come password, RADIUS, RSA, certificato, AirWatch o VMware Verify, che è il motore di autenticazione a due fattori di VMware.
Infine, i criteri vengono utilizzati per associare le app agli intervalli di rete e ai tipi di dispositivo (browser Web, Android, iOS, ecc.), Quindi assegnare i metodi di autenticazione. I criteri possono essere applicati a gruppi di utenti al fine di rivolgersi a persone specifiche e i metodi di autenticazione possono essere configurati in multipli al fine di imporre l'autenticazione a più fattori o fornire un metodo di autenticazione di backup se il metodo preferito non riesce. Questo metodo di gestione dei criteri di autenticazione semplifica la configurazione del modo in cui gli utenti possono autenticarsi, ma il lato negativo è che se si finiscono con troppi criteri, possono diventare confusi da gestire. Ad esempio, potrebbero essere applicati più criteri allo stesso gruppo e alla stessa applicazione. Puoi prevenire la maggior parte di questa confusione abbastanza facilmente configurando le singole politiche per applicazione o risorsa, ma come con molti strumenti aziendali presuppone un livello di competenza da parte dell'amministratore IT e gli amministratori non qualificati possono dipingere se stessi in un angolo se sono non attento.
Una funzionalità che vorremmo vedere in Workspace One future è una funzionalità di autenticazione basata sul rischio che utilizza l'apprendimento automatico (ML) e i big data per assegnare punteggi di rischio a utenti, dispositivi o app specifici. L'autenticazione basata sul rischio non è una di quelle funzionalità offerte su tutta la linea nell'arena IDM, ma è una funzionalità chiave per i principali concorrenti, tra cui Microsoft Azure AD e Centrify. Workspace One offre una funzione chiamata accesso condizionale basato sul rischio e offre la possibilità di configurare criteri per gestire l'autenticazione basata su cose come patch su dispositivi mobili, password modificate di recente o geofencing. La distinzione tra l'accesso condizionale basato sul rischio di VMware e la nuova autenticazione basata sul rischio basata su ML offerta dai concorrenti è che la versione di VMware si basa sul set di funzionalità di gestione dei dispositivi, non su qualsiasi capacità di apprendimento automatico. Le funzionalità su cui VMware fa affidamento sono mature e certamente utili per qualsiasi azienda che utilizza dispositivi mobili, ma non aggiungono lo stesso tipo di intelligenza di quelle basate su algoritmi ML.
Single Sign-On (SSO)
Una volta configurata la directory e gli utenti e i gruppi entrano nello spazio di lavoro uno, le applicazioni possono essere assegnate a entrambi i tipi di oggetto definendo i diritti, che possono essere gestiti nell'impostazione utente o gruppo o dalla schermata di configurazione dell'applicazione. Il provisioning di SSO in applicazioni SaaS come Google G Suite, Office 365, Dropbox e molti altri è configurato sul lato dell'applicazione, purché l'app supporti il provisioning utilizzando stadnards o un'API e Workspace One supporti il provisioning nell'app. In genere ciò comporta la gestione della connessione da Workspace One all'app e la configurazione degli attributi da trasmettere, ma ciò dipende in parte dall'applicazione targetizzata. Workspace One fornisce anche alcuni strumenti per tenere traccia dell'utilizzo delle licenze, inclusa l'opzione per definire soglie e tipi di licenze (come utenti con nome o licenze simultanee).
Un punto chiave di differenziazione per VMware è la capacità di autenticare le applicazioni desktop ospitate in ambienti Virtual Desktop Infrastructure (VDI), in particolare Horizon Cloud, il suo prodotto VDI HDI View e gli ambienti VDI standardizzati sulla tecnologia Citrix. Nessuno di questi target è una connessione istantanea, tuttavia, poiché tutti implicano la configurazione su entrambe le estremità del processo. Tuttavia, sono un'opzione molto potente per le aziende che hanno già investito in uno o più di questi sistemi. Queste opzioni offrono agli utenti la possibilità di accedere in modo sicuro alle applicazioni desktop e ad altre risorse aziendali come se si trovassero fisicamente sulla rete aziendale. Ciò non solo aiuta a garantire una posizione di sicurezza ottimale, ma supporta anche le app aziendali che utilizzano un client desktop.
Un altro vantaggio per le aziende che già utilizzano VMware AirWatch è che integrandosi con Workspace One consentono una sicurezza aggiuntiva per gli utenti mobili. Consentire agli utenti di accedere alle risorse aziendali tramite dispositivi mobili introduce automaticamente diverse potenziali vulnerabilità della propria infrastruttura aziendale, inclusa la possibilità di compromissione del dispositivo di un utente e la fornitura di accesso non autorizzato, nonché scenari che comportano il download di dati aziendali sul dispositivo e la perdita di tale dispositivo o rubato. Avere la capacità di garantire che il dispositivo sia conforme alla politica aziendale, come la prevenzione di dispositivi con root, la crittografia del dispositivo e una password complessa, nonché l'opzione per bloccare o cancellare da remoto, può essere un salvavita di sicurezza in molte situazioni e anche aiutare le aziende superano gli audit di sicurezza o conformità normativa
Un altro sottoprodotto delle capacità di VMware in MDM riguarda la capacità di proteggere le app mobili attraverso una serie di tecniche diverse, che offre agli amministratori una maggiore flessibilità per fornire agli utenti le soluzioni di cui hanno bisogno. Queste opzioni includono il tunneling VPN su base per-app e la possibilità di avvolgere le app all'interno di un ambiente sandbox sicuro, che crea in modo efficace una versione crittografata dell'applicazione protetta da fattori esterni.
Rapporti e prezzi
Se Workspace One ha un vero punto debole, sta segnalando. Un dashboard di coinvolgimento degli utenti fornisce alcuni indicatori chiave delle prestazioni in termini di attività degli utenti e utilizzo delle app, ma è molto inferiore ai dashboard offerti da Centrify o Okta. Anche l'esecuzione dei report lascia spazio a miglioramenti con Workspace One che fornisce una manciata di report predefiniti ma con solo opzioni minime nel modo di filtrare i dati (non è nemmeno possibile ordinare le tabelle senza scaricare in un file CSV). Ciò dimostra che la segnalazione non è stata un'area di interesse per il team di Workspace One. Sebbene questo non sia necessariamente un duro colpo per la piattaforma, i dati dei report sono un requisito fondamentale per le aziende che devono verificare la conformità ai revisori e devono essere attentamente considerati prima di decidere su una piattaforma IDM.
I prezzi di VMware per Workspace One sono nello stesso campo di azione di altre suite IDM che offrono funzionalità simili, sebbene Workspace One offra i prezzi sia per dispositivo che per utente. Il prezzo per dispositivo ha il vantaggio di ottenere molte funzionalità offerte tramite AirWatch, ma presenta alcune limitazioni, come ad esempio il portale SSO limitato ai soli dispositivi gestiti. Hai anche la possibilità di acquistare licenze per eseguire Workspace One nella tua sede, il che consentirà di risparmiare sui costi delle licenze nel tempo, ma richiederà costi aggiuntivi in termini di gestione, personale e infrastruttura.
I prezzi delle licenze iniziano con il livello standard, che eseguirà $ 3, 50 per dispositivo o $ 6 per utente su base mensile. Le licenze standard locali eseguiranno $ 50 per dispositivo o $ 90 per utente come costo una tantum (perpetuo). Il livello avanzato porta rispettivamente i prezzi fino a $ 5, 50 / $ 10 al mese per dispositivo o utente, ma aggiunge funzionalità come app mobili containerizzate e tunnel VPN per app. Le licenze perpetue per uso locale al livello avanzato eseguono $ 90 o $ 180. Il livello tariffario aziendale è concesso in licenza solo per utente e viene eseguito $ 23, 25 al mese per l'offerta cloud o $ 400 per una licenza perpetua locale. Il livello Enterprise offre la possibilità di integrarsi con Horizon per applicazioni virtuali e desktop.
Senza dubbio VMware ha una forte offerta in Workspace One. Ci sono alcune caratteristiche che stanno dietro la concorrenza, tuttavia, tra cui tutto ciò che riguarda la segnalazione e la mancanza di un'autenticazione basata sul rischio che sfrutta l'apprendimento automatico. Il processo di configurazione per ottenere tutti i livelli di autenticazione tra la directory e Workspace One è anche meno intuitivo. D'altra parte, VMware offre più valore aggiunto per la sua base di clienti principale rispetto a tutti i suoi concorrenti. L'integrazione chiave tra Workspace One, AirWatch e Horizon riunisce alcune importanti funzionalità di sicurezza e autenticazione per i lavoratori mobili.
