基于Workspace ONE的无密码安全便捷终端访问方案

1、基于Workspace ONE的无密码安全便捷终端访问方案员工体验有何重要之处？员工体验员工参与度业务增长文化物理空间技术客户满意度创新吸引并留住人才收入股票价格提升品牌价值生产力2账号密码可能以各种意想不到的形式泄漏根据 Visual Capitalist 调查， 从 2013 到 2018 年，大型安全漏洞导致 46.9 亿个帐户被盗2015年，某邮箱运营系统泄密，导 致5亿+用户邮箱账号信息泄漏，随 之引发系列跟邮件绑定的账号系统 安全隐患2020年初，某国内普及性互联网应 用系统近5亿用户账号密码和绑定 其他隐私信息在暗网被贩卖密码天然就是不安全的.3密码造成痛苦的用户体验.难记又难用

2、密码很难记根据在线注册和密码研究，51% 的人不喜欢 多记一个密码。毫不奇怪。不同系统对密码要求不一致，可能导致用户 不得不设置不同的密码用户不需要管理复杂的业务系统口令密码造成很大不便消费者态度调查显示，67% 的受访者 在过去两年至少被锁定过一次帐户。80% 的工作者表示“受够了”使用密码，92% 的人表示他们更有兴趣使用生物识别技术或令牌/智能卡4每天处理 10 张工单将造成每年大约 12.8 万美元的成本 (Visual Capitalist)因为忘记密码致电呼叫中心密码重置服务（KBA、SMS 2FA、 电话 2FA）因密码强度弱导致损失因欺骗性密码重置导致损失因恶意软件或借漏洞偷窃

3、密码导致损失密码给企业带来昂贵的成本.5FIDO/Webauthn6MFAMobileSSOWorkspace ONE 通过各种方法消除密码VMware 踏上了实现企业无密码化的征程证书派上大用场！7专有证书支持不可扩展需要本地 Web 浏览器或：Safari 视图控制器Chrome 自定义标签1. 普遍性应用支持由于身份验证流与应用自身分离，所以 MobileSSO 提供近乎 100% 的应用支持。不需要重新编码2. 100% 无接触身份验证传统移动证书身份验证：VMware MobileSSO：8用户签名、链验证、撤回用户授权传输，证书如何交付提取 UDID，硬件 ID注册状态，MDM指纹

4、合规状态用户设备MobileSSO传统证书身份验证证书证书9SAML断言连接到租户后端身份验证请求 SAML 断言会话Mobile SSO 工作流移动 SSO移动 SSO普遍性应用支持身份验证行为不涉及应用100% 无缝，例如无证书提示SSO配置文件SSO 配置文件10SAML 断言连接到租户后端身份验证请求 (AuthN)SAML 断言 会话iOS SSO工作流Kerberos AuthN身份验证请求Kerberos challenge有效 AuthN访问 KDC11连接到租户后端身份验证请求 SAML 断言会话Android SSO工作流访问证书代理身份验证请求SAML 断言代 理 隧 道

5、12基于证书的登录认证不仅适用于 Mobile SSO，也适用于桌面设备的 登录认证不仅能优化登录体验，更能更具策 略规则提升访问接入安全性。不仅适用Windows系统，也适用于 macOS13基于PC工作机制的证书认证基于RSA的MFA集成针对多个不同目录服务集成分别设 置自己的RSA验证集成RSA动态口令验证失败次数限制14基于Radius的MFA集成Radius身份验证类型（PAP密码身份验 证、CHAP质询握手验证、 MSCHAP1/MSCHAP2微软质询握手验证）验证失败次数限制用户登录提示信息定义15不同应用、不同用 户分组、不同环境 或条件下，可设定 不同验证方式，灵 活定义选择

6、使用 或不使用MFA认证 机制，可多种验证 方式相结合。基于MFA的灵活认证方法定义16线上快速身份验证 (FIDO) 联盟该联盟制定安全、开放、防网络 钓鱼、无密码的身份验证标准FIDO 协议系列是 FIDO 联盟 开发的一组协议。自 2019 年 3 月起实行的全球 Web 身份验证标准基于浏览器的 API 触发 FIDO 客户端身份验证外部认证器和 FIDO 客户端之间 的通信协议漫游/外部认证器通过 CTAP 集成 Android 7+ 设备、 YubiKey、iOS/Android 应用什么是 FIDO/Webauthn/CTAP？这些协议有什么用？FIDOWebauthnCTAP1

7、7为什么我们需要 FIDO/Webauthn？它帮助解决什么问题？FIDO 让我们能够通过标准协议实现 纳管和非纳管设备的无密码身份验证FIDO 是适当且安全的身份验证方法， 因为它基于不对称加密并允许认证器 验证FIDO 支持跨平台（移动和桌面）的 无密码身份验证181. 移动/桌面用户浏览到 WS1 Access 的联盟 Web 应用2. 用户重定向到 Access，后者尝试使用 FIDO 协议验证 用户身份3. WS1 Access FIDO 服务器触发 Webauthn 浏览器 API 浏览器以调用 FIDO2 身份验证4. 如果用户没有注册认证器：单击添加认证器系统提示通过用户名/密码验证身份系统提示添加经过 FIDO2 认证并安装在设备上的认证器（参见说明）系统提示通过设备上的认证器验证身份和注册完成如果用户已注册认证器：系统提示通过设备上的认证器验证身份，然后授予访问 权限应用场景流FIDO 身份验证应用场景用户浏览器AccessFIDO 服务器认证器Webauthn访问应用重定向到 Access调用 Webauthn API 并发送身份验证挑战CTAP 与认证器通信19管理员可在 Access 管理员控制台中导航到 用户配置文件并为用户预注册