정책에는 하나 이상의 액세스 규칙이 포함되어 있습니다. 각 규칙은 Workspace ONE 포털에 대한 사용자 액세스를 전체적으로 관리하거나 특정 웹 및 데스크톱 애플리케이션에 대한 사용자 액세스를 관리하기 위해 구성할 수 있는 설정으로 구성됩니다.
네트워크, 디바이스 유형, AirWatch 디바이스 등록 및 규정 준수 상태 또는 액세스되는 애플리케이션과 같은 조건을 기준으로 사용자 차단, 허용 또는 단계별로 인증하는 등의 작업을 수행하도록 정책 규칙을 구성할 수 있습니다. 정책에 그룹을 추가하여 특정 그룹에 대한 인증을 관리할 수 있습니다.
네트워크 범위
각 규칙에 대해 네트워크 범위를 지정하여 사용자 기반을 결정합니다. 네트워크 범위는 하나 이상의 IP 범위로 구성됩니다. 액세스 정책 집합을 구성하기 전에 [ID 및 액세스 관리] 탭의 [설정] > [네트워크 범위] 페이지에서 네트워크 범위를 생성합니다.
배포 환경에 있는 각 ID 제공자 인스턴스는 네트워크 범위를 인증 방법과 연결합니다. 정책 규칙을 구성하는 경우 기존 ID 제공자 인스턴스가 네트워크 범위를 포함하는지 확인합니다.
특정 네트워크 범위를 구성하여 사용자가 로그인하고 애플리케이션에 액세스할 수 있는 위치를 제한할 수 있습니다.
디바이스 유형
규칙에서 관리하는 디바이스 유형을 선택합니다. 클라이언트 유형은 웹 브라우저, Workspace ONE 애플리케이션, iOS, Android, Windows 10, OS X 및 모든 디바이스 유형입니다.
컨텐츠에 액세스할 수 있는 디바이스 유형을 지정하고 해당 유형의 디바이스에서 시작된 모든 인증 요청이 정책 규칙을 사용하도록 규칙을 구성할 수 있습니다.
그룹 추가
사용자 그룹 멤버 자격을 기준으로 인증에 대해 여러 정책을 적용할 수 있습니다. 특정 인증 흐름을 통해 로그인할 사용자 그룹을 할당하려면 액세스 정책 규칙에 그룹을 추가할 수 있습니다. 그룹은 엔터프라이즈 디렉토리에서 동기화된 그룹 및 관리 콘솔에서 생성한 로컬 그룹일 수 있습니다. 그룹 이름은 도메인 내에서 고유해야 합니다.
액세스 정책 규칙의 그룹을 사용하려면 [ID 및 액세스 관리] > [환경설정] 페이지에서 고유 식별자를 선택합니다. 고유 식별자 특성은 [사용자 특성] 페이지에서 매핑되어야 하며, 선택된 특성은 디렉토리와 동기화되어야 합니다. 고유 식별자는 사용자 이름, 이메일 주소, UPN 또는 직원 ID일 수 있습니다. 고유 식별자를 사용하는 로그인 환경의 내용을 참조하십시오.
그룹이 액세스 정책 규칙에서 사용되면 사용자의 사용자 로그인 환경이 변경됩니다. 사용자에게 도메인을 선택하고 자격 증명을 입력하도록 요구하는 대신, 고유 식별자를 입력하라는 메시지가 표시됩니다. VMware Identity Manager에서는 고유 식별자를 기준으로 내부 데이터베이스에서 사용자를 찾은 후 해당 규칙에 구성된 인증 페이지를 표시합니다.
그룹이 선택되지 않으면 액세스 정책 규칙이 모든 사용자에게 적용됩니다. 그룹을 기준으로 하는 규칙 및 모든 사용자에 대한 하나의 규칙을 포함하는 액세스 정책 규칙을 구성할 경우 모든 사용자에 대해 지정된 규칙은 정책의 [정책 규칙] 섹션에 마지막으로 나열되는 규칙이어야 합니다.
인증 방법
정책 규칙에서 인증 방법이 적용되는 순서를 설정합니다. 인증 방법은 나열된 순서대로 적용됩니다. 정책의 인증 방법 및 네트워크 범위 구성을 충족하는 첫 번째 ID 제공자 인스턴스가 선택됩니다. 사용자 인증 요청이 인증을 위해 ID 제공자 인스턴스로 전달됩니다. 인증이 실패하면 목록의 다음 인증 방법이 선택됩니다.
인증 세션 길이
각 규칙에 대해 이 인증이 유효한 시간을 설정합니다. 다음 시간 후에 재인증 값은 마지막 인증 이벤트 후 사용자가 포털에 액세스하거나 특정 애플리케이션을 시작할 수 있는 최대 시간을 결정합니다. 예를 들어, 웹 애플리케이션 규칙에서 값을 4로 지정하는 경우 사용자가 시간을 연장하는 다른 인증 이벤트를 시작하지 않는다면 4시간 동안 웹 애플리케이션을 시작할 수 있습니다.
사용자 지정 액세스 거부 오류 메시지
사용자가 잘못된 자격 증명, 잘못된 구성 또는 시스템 오류 때문에 로그인에 실패하면 액세스 거부 메시지가 표시됩니다. 기본 메시지는 유효한 인증 방법을 찾지 못했기 때문에 액세스가 거부되었습니다.입니다.
기본 메시지를 재정의하는 각 액세스 정책 규칙에 대해 사용자 지정 오류 메시지를 만들 수 있습니다. 사용자 지정 메시지에는 조치 메시지에 대한 텍스트 및 링크가 포함될 수 있습니다. 예를 들어 관리하려는 모바일 디바이스의 정책 규칙에서 사용자가 등록되지 않은 디바이스에서 로그인하려고 하면 다음의 사용자 지정 오류 메시지를 생성할 수 있습니다. 이 메시지 끝에 나오는 링크를 클릭하여 회사 리소스에 액세스할 수 있게 디바이스를 등록합니다. 디바이스가 이미 등록된 경우 지원을 요청하십시오.