사전 요구 사항

Workspace ONE Access 구성

1. 사용자 및 그룹을 생성합니다. 사용자를 그룹에 연결합니다.

   

   

2. 카탈로그(Catalog) > 웹 애플리케이션(Web Apps)으로 이동합니다.
3. 새로 생성(New)을 클릭하여 새 애플리케이션(New Application)을 추가합니다.
4. 애플리케이션 이름을 VMware CWS로 지정하고 다음(Next)을 클릭합니다.

   

5. 구성(Configuration) 섹션에서 다음을 수행합니다.
   1. Single Sign-On에 대한 다음 세부 정보를 입력합니다.
      • 인증 유형: SAML 2.0
      • 구성: 수동
      • 단일 로그온 URL: https://safe-cws-sase.vmware.com/safeview-auth-server/saml
      • 수신자 URL: https://safe-cws-sase.vmware.com/safeview-auth-server/saml
      • 애플리케이션 ID: https://safe-cws-sase.vmware.com/safeview-auth-server/saml/metadata
      • 사용자 이름 형식: 이메일 주소([email protected])
      • 사용자 이름 값: ${user.email}

      

      

   2. 고급 속성(Advanced Properties)을 클릭하고 아래와 같이 사용자 지정 특성 매핑(Custom Attribute Mapping)을 추가합니다. 이 구성은 SAML 검증에서 그룹 특성을 전송하기 위한 것입니다.
      참고: 이름은 “groups”여야 하며 값은 ${groupNames}입니다.

      

   3. 다음(Next)을 클릭합니다.
6. 액세스 정책(Access Policies) 페이지에서 "default_access_policy_set"가 자동으로 선택됩니다.

   

7. 다음(Next)을 클릭하고 저장 및 할당(Save and Assign)을 클릭합니다.

   

8. 카탈로그(Catalog) > 웹 애플리케이션(Web Apps)에서 설정(Settings)을 클릭합니다.

   

9. 설정(Settings) 창에서 SAML 메타데이터(SAML Metadata) 섹션으로 이동합니다.

   

10. IdP(ID 제공자) 메타데이터(Identity Provider (IdP) metadata)를 클릭합니다. 이 작업을 수행하면 브라우저에서 XML 데이터가 있는 새 창이 열립니다. "entityID" 및 "위치(Location)" URL을 메모장에 복사합니다.

    

    • entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
    • 위치: https://<ws1access_server>/SAAS/auth/federation/sso

      여기서 <ws1access-server>는 사용자 환경의 Workspace ONE Access 서버입니다.

11. 설정(Setting) 창으로 돌아가서 서명 인증서(Signing Certificate)의 내용을 메모장에 복사합니다.

    

12. VMware CWS 웹 애플리케이션에 사용자 그룹을 할당합니다.

    

    

VMware Cloud Orchestrator 구성

1. 새 Orchestrator UI에 로그인합니다.
2. Cloud Web Security > 구성(Configure) > 엔터프라이즈 설정(Enterprise Settings) > ID 제공자(Identity Provider)로 이동합니다. ID 제공자 설정(Identity Provider Settings) 페이지가 나타납니다.
3. Single Sign On을 사용(Enabled)으로 전환합니다.

   

4. 다음을 구성합니다.
   • SAML 서버 인터넷에 액세스할 수 있습니까?(SAML Server Internet Accessible)에 대해 예(Yes)를 선택합니다.
   • SAML 제공자(SAML Provider)에 대해 Workspace ONE Access를 선택합니다.
   • SAML 2.0 끝점(SAML 2.0 Endpoint)에 대해 메모장에서 위치(Location) URL을 복사합니다. 예: 위치(Location): https://<ws1access_server>/SAAS/auth/federation/sso
   • 서비스 식별자(발급자)에 대해 메모장에서 entityID URL을 복사합니다. 예: entityID: https://<ws1access_server>/SAAS/API/1.0/GET/metadata/idp.xml
   • X.509 인증서에 대해 인증서 추가(Add Certificate)를 클릭하고 메모장에서 인증서를 복사한 후 여기에 붙여 넣습니다.
   • 변경 내용 저장(Save Changes)을 클릭합니다.

   

5. Workspace ONE Access 도메인에 대한 SSL 바이패스 규칙을 추가합니다.
   1. Cloud Web Security > 구성(Configure) > 보안 정책(Security Policies)으로 이동합니다.
   2. SSL 바이패스 규칙을 추가할 기존 정책을 선택하고 편집(Edit) 버튼을 클릭합니다.
   3. SSL Inspection(SSL 검사) 탭을 클릭하고 + 규칙 추가(+ Add Rule)를 클릭합니다. SSL 예외 생성(Create SSL Exception) 화면이 나타납니다.
   4. SSL 예외 생성(Create SSL Exception) 화면에서 다음을 구성하고 다음(Next)을 클릭합니다.
      • SSL 검사 건너뛰기 기준(Skip SSL Inspection based on)에 대해 대상(Destination)을 선택합니다.
      • 대상 유형(Destination Type)에 대해 대상 호스트/도메인(Destination Host/Domain)을 선택합니다.
      • 도메인(Domain)에 대해 vidmpreview.com을 입력합니다.

        

   5. 이름 및 태그(Name and Tags) 화면에서 규칙의 고유한 이름을 입력하고 필요한 경우 이유를 추가합니다.

      

   6. 완료(Finish)를 클릭한 다음, 이 새 규칙을 적용할 적용 가능한 보안 정책을 게시(Publish)합니다.
   중요: 도메인 vidmpreview.com은 문서 SSL 검사 바이패스 규칙 구성을 권장하는 도메인 및 CIDR에 있는 Workspace ONE 도메인 쌍에 속합니다. 두 Workspace ONE 도메인이 모두 포함된 SSL 바이패스 규칙을 이미 구성한 경우 이 단계를 건너뛰어도 됩니다. 기존 SSL 바이패스 규칙에 Workspace ONE 도메인 집합이 이미 포함되어 있는 상태에서 위 규칙을 구성하려고 하면 엔터프라이즈 고객당 하나의 SSL 바이패스 도메인 인스턴스만 허용되거나 필요하므로 새 규칙에 오류가 발생합니다.

   SSL 바이패스 규칙이 구성되어 있어야 하는 도메인에 대한 자세한 내용은 SSL 검사 바이패스 규칙 구성을 권장하는 도메인 및 CIDR 항목을 참조하십시오.

구성 확인

Cloud Web Security에서 하나 이상의 그룹 기반 웹 정책 규칙을 사용하여 구성을 확인할 수 있습니다. 예를 들어 URL 필터링을 사용하고 Twitter.com을 추가할 수 있습니다.

URL 필터 규칙에 대해 고려할 그룹을 추가합니다.

Cloud Web Security > 모니터링(Monitor) > 웹 로그(Web Logs)에서 웹 로그를 확인합니다.