네트워크 범위

각 규칙에 대해 네트워크 범위를 지정하여 사용자 기반을 결정합니다. 네트워크 범위는 하나 이상의 IP 범위로 구성됩니다. 액세스 정책 집합을 구성하기 전에 [ID 및 액세스 관리] 탭의 [설정] > [네트워크 범위] 페이지에서 네트워크 범위를 생성합니다.

배포 환경에 있는 각 ID 제공자 인스턴스는 네트워크 범위를 인증 방법과 연결합니다. 정책 규칙을 구성하는 경우 기존 ID 제공자 인스턴스가 네트워크 범위를 포함하는지 확인합니다.

특정 네트워크 범위를 구성하여 사용자가 로그인하고 애플리케이션에 액세스할 수 있는 위치를 제한할 수 있습니다.

디바이스 유형

규칙에서 관리하는 디바이스 유형을 선택합니다. 클라이언트 유형은 웹 브라우저, Workspace ONE 애플리케이션, iOS, Android, Windows 10, OS X 및 모든 디바이스 유형입니다.

컨텐츠에 액세스할 수 있는 디바이스 유형을 지정하고 해당 유형의 디바이스에서 시작된 모든 인증 요청이 정책 규칙을 사용하도록 규칙을 구성할 수 있습니다.

인증 방법

정책 규칙에서 인증 방법이 적용되는 순서를 설정합니다. 인증 방법은 나열된 순서대로 적용됩니다. 정책의 인증 방법 및 네트워크 범위 구성을 충족하는 첫 번째 ID 제공자 인스턴스가 선택됩니다. 사용자 인증 요청이 인증을 위해 ID 제공자 인스턴스로 전달됩니다. 인증이 실패하면 목록의 다음 인증 방법이 선택됩니다.

사용자가 로그인하기 위해서는 두 가지 인증 방법을 통해 자격 증명을 전달하도록 액세스 정책 규칙을 구성할 수 있습니다. 하나 또는 두 개의 인증 방법이 실패하고 폴백 방법도 구성된 경우, 구성된 다음 인증 방법에 대해 자격 증명을 입력하라는 메시지가 사용자에게 표시됩니다. 다음 두 시나리오에서는 이 인증 체인의 작동 방법을 설명합니다.

• 첫 번째 시나리오에서는 사용자가 자신의 암호 및 Kerberos 자격 증명을 사용하여 인증하도록 액세스 정책 규칙이 구성되어 있습니다. 인증을 위해 암호 및 RADIUS 자격 증명을 요구하는 폴백 인증이 설정되어 있습니다. 사용자가 암호는 올바로 입력하지만, Kerberos 인증 자격 증명은 올바로 입력하지 못합니다. 사용자가 올바른 암호를 입력했기 때문에 폴백 인증 요청은 RADIUS 자격 증명에만 해당합니다. 사용자가 암호를 다시 입력할 필요가 없습니다.

• 두 번째 시나리오에서는 사용자가 자신의 암호 및 Kerberos 자격 증명을 사용하여 인증하도록 액세스 정책 규칙이 구성되어 있습니다. 인증을 위해 RSA SecurID 및 RADIUS를 요구하는 폴백 인증이 설정되어 있습니다. 사용자가 암호는 올바로 입력하지만, Kerberos 인증 자격 증명은 올바로 입력하지 못합니다. 폴백 인증 요청은 인증을 위해 RSA SecurID 자격 증명 및 RADIUS 자격 증명 모두에 해당합니다.

인증 및 디바이스 규정 준수 확인을 요구하도록 액세스 정책 규칙을 구성하려면 기본 제공 ID 제공자 페이지에서 [AirWatch와의 디바이스 규정 준수]를 사용하도록 설정해야 합니다. 규정 준수 검사를 위한 액세스 정책 규칙 구성의 내용을 참조하십시오.

인증 세션 길이

각 규칙에 대해 이 인증이 유효한 시간을 설정합니다. 다음 시간 후에 재인증 값은 마지막 인증 이벤트 후 사용자가 포털에 액세스하거나 특정 애플리케이션을 시작할 수 있는 최대 시간을 결정합니다. 예를 들어, 웹 애플리케이션 규칙에서 값을 4로 지정하는 경우 사용자가 시간을 연장하는 다른 인증 이벤트를 시작하지 않는다면 4시간 동안 웹 애플리케이션을 시작할 수 있습니다.

사용자 지정 액세스 거부 오류 메시지

사용자가 잘못된 자격 증명, 잘못된 구성 또는 시스템 오류 때문에 로그인에 실패하면 액세스 거부 메시지가 표시됩니다. 기본 메시지는 유효한 인증 방법을 찾지 못했기 때문에 액세스가 거부되었습니다.입니다.

기본 메시지를 재정의하는 각 액세스 정책 규칙에 대해 사용자 지정 오류 메시지를 만들 수 있습니다. 사용자 지정 메시지에는 조치 메시지에 대한 텍스트 및 링크가 포함될 수 있습니다. 예를 들어 관리하려는 모바일 디바이스의 정책 규칙에서 사용자가 등록되지 않은 디바이스에서 로그인하려고 하면 다음의 사용자 지정 오류 메시지를 생성할 수 있습니다. 이 메시지 끝에 나오는 링크를 클릭하여 회사 리소스에 액세스할 수 있게 디바이스를 등록합니다. 디바이스가 이미 등록된 경우 지원을 요청하십시오.

기본 정책 예

다음 정책은 특정 정책이 할당되지 않은 앱 포털 및 웹 애플리케이션에 대한 액세스를 제어하도록 기본 정책을 구성하는 방법의 예입니다.

정책 규칙은 정책에 나열된 순서대로 평가됩니다. [정책 규칙] 섹션에서 규칙을 끌어서 놓으면 규칙 순서를 변경할 수 있습니다.

1. • 내부 네트워크의 경우 규칙에 대한 두 개의 인증 방법(Kerberos 및 암호 인증)이 폴백 방법으로 구성되어 있습니다. 내부 네트워크에서 애플리케이션 포털에 액세스하기 위해 서비스는 먼저 Kerberos 인증을 사용하여 사용자 인증을 시도합니다. 이 방법이 규칙에 나열된 첫 번째 인증 방법이기 때문입니다. 이 방법이 실패할 경우 사용자에게 Active Directory 암호를 입력하라는 메시지가 표시됩니다. 사용자는 브라우저를 사용하여 로그인하고 이제 8시간의 세션 동안 사용자 포털에 대한 액세스 권한을 갖습니다.

   • 외부 네트워크(모든 범위)에서 액세스할 경우 하나의 인증 방법 RSA SecurID만 구성되어 있습니다. 외부 네트워크에서 앱 포털에 액세스하려면 사용자가 SecurID를 사용하여 로그인해야 합니다. 사용자는 브라우저를 사용하여 로그인하고 이제 4시간의 세션 동안 사용자 앱 포털에 대한 액세스 권한을 갖습니다.

2. 기본 정책은 애플리케이션별 정책이 없는 모든 웹 및 데스크톱 애플리케이션에 적용됩니다.