新一代移动操作系统携企业单点登录功能而来
iOS 7 拥有大量个人用户所喜爱的新功能,但 同时也为企业用户提供了一系列重要改进。
尽管iOS 6已经拥有不少关键性企业功 能——移动管理、查询设备上已安装应用中 的信息数据以及在iPhone或者iPad失窃时 实现远程数据清除——但苹果直至iOS 7面 世之前还一直在尽量避免将iOS设备与企业 验证系统相对接。
没错,自从五年前发布的iPhone 3G开始, 苹果就已经正式支持Exchange与ActiveSync。 而且大部分移动管理工具都足以从企业识别系 统(例如Active Directory)当中提取数据、 从而检验特定用户的iPhone或者iPad必须遵 循或者预配置了哪些政策。不过这一切都无法 与Windows PC(甚至是现代Mac)所带来的认 证、验证以及单点登陆方案相提并论。
在iOS 7当中,这一切都发生了显著变化。 最重要的是,现在iOS开始支持企业单点登录 功能。这堪称游戏规则的改变者,因为这意味 着一旦用户的身份完成验证并确定受信,那么 需要访问企业数据或服务的企业应用或者商务 应用将不再要求用户重复进行Active Directory或者企业证书验证。更妙的是,苹 果还帮助开发人员以相对轻松的方式利用这种 单点登陆机制。
苹果的单点登 陆模式本身非 常有趣甚至有 几分新奇。
苹果的单点登陆模式本身非常有趣甚至 有些新奇。不同于大部分移动管理系统供应 商所选择的集装箱化以及/或者应用打包方 案,苹果从现有iOS账户管理架构当中得到 了启示。
在早期iOS版本当中,用户账户几乎仅 限于电子邮件服务、Exchange以及Mobile Me(即iCloud的前身)。甚至Exchange的 支持能力都非常有限,只能实现极少数同步 选项,诸如:邮件、联系人以及日历数据。 由于苹果明确支持其它一些通用服务,例如 Gmail、AOL以及Hotmail,它同时也为每 项服务添加了新的同步选项。就以 Gmail为例,它就提供选择帮 助用户实现日历与笔记同步。
iOS 6首次提供对Twitter及Facebook 账户的支持能力,如今iOS 7开始支持 LinkedIn。
当然,这些账户在系统中的实际处理方式 与其它基本邮件及相关服务并不相同。将它们 集成在操作系统当中之后,其凭证共享的设置 与个人信息同步难度非常高。在iOS 7当中, 用户可以轻松输入登录凭证,从而允许iOS本 身、Twitter与Facebook官方应用以及任何其 它拥有正确证书的应用访问自己的账户,且不 必重复进行验证过程。
因此,大家可以直接通过Photos应用 (或者任何其它第三方应用)直接将照片转 发至Facebook、从Safari中发送推文并在 其中使用正在阅读的页面链接。大家甚至可 以在不开启任何应用的前提下完成以上操作 ——只要将这些账户包含在iOS通知中心当 中。而最重要的是,大家可以对有权访问自 己账户的应用加以管理,例如管理哪些应用 可以访问当前位置或者照片库。这些限制选 项都可以在系统偏好设置当中的隐私项目中 进行调整。
这就是iOS 7中企业单点登录机制的基 础。我们的企业账户及其证书会以类似于 Twitter或者Facebook账户信息的方式保存 下来。只需输入一次相关信息并允许应用使 用这些信息,即可轻松告别令人头痛的重复 登陆流程。
苹果这种独特 的方案既像是 一种实验、又 像是一种赌博。 它为使用者带 来非常突出的 消费级使用感 受,但有些企 业IT专家可能 不愿接受这样 的方案。
这种方式与PC或者Mac上的单点登陆 有所不同,在桌面平台上我们往往需要首先 通过证书进行计算机登陆,而后才能正式加 以使用。这与其它大部分移动管理系统的处 理方式也有所区别。它们往往要求应用程序 开发人员支持特定供应商的单点登录机制以 及特定API,或者将它们集成到利用应用打 包构建的安全容器当中。
这套模式还适用于那些愿意为自己的应用 提供单点登录功能、但又不愿被迫向其中引入 大量API支持的开发人员。由苹果提供的单点 选项创建与支持机制能够轻松实现开发者的愿 望,特别是对于那些针对各类不同企业客户的 商业应用来说。 苹果这种独特 的方案既像是 一种实验、又 像是一种赌博。 它为使用者带 来非常突出的 消费级使用感 受,但有些企 业IT专家可能 不愿接受这样 的方案。
苹果这种独特的方案既像是一种实验、 又像是一种赌博。它为使用者带来非常突 出的消费级使用感受,但有些企业IT专家 可能不愿接受这样的方案。苹果可能会发 现自家新型方案与Android设备(也可能 包括其它移动平台)市场上的传统模式及 支持机制存在竞争。
也就是说,这是一套专门迎合iPhone与 iPad用户的解决方案。某些用户会抱怨基于 容器的单点登录方案只适用于一部分特定应 用而非全部,这使他们受到了限制——对他们 来说苹果的方案显然更好。但也有很多用户认 为这种处理方式使自己很难清晰感受到哪些应 用支持单点登录及其它安全功能、而哪些不支 持。这种模糊的界线令他们摸不着头脑。
苹果方案的使用感受更加自然,这是因为 其全局体验基于人们惯常使用iPhone以及iPad 的方式。
同样值得关注的是,苹果本身并没有真正 将集装箱化作为一种理想的移动安全方案。这 是因为他们将用户体验放在高于维护工作与个 人应用与数据间流量一致性的地位上。该公司 在iOS 7当中利用其新型“在……中打开”机 制解决这一难题。这允许IT部门通过控制应用 内共享及打开选项来限制用户从受管应用中获 取的数据类型。它还限制了用户复制文本、图 片或者其它来自受管应用内容的能力。
通过这种方式,苹果选择了集装箱机制的一 部分核心元素并将其应用于更为日常的层面当中。 IT专家会对此满意,开发人员也能简化工作。最 理想的是,终端用户能够将安全性与易用性很好 地结合起来,而这正是苹果的长项。