사용자의 Workspace ONE 애플리케이션 포털에 대한 보안 액세스를 제공하고 웹 및 데스크톱 애플리케이션을 실행하기 위한 액세스 정책을 구성합니다. 액세스 정책에는 애플리케이션 포털에 로그인하고 해당 리소스를 사용하기 위해 충족해야 하는 조건을 지정하는 규칙이 포함되어 있습니다.

액세스 정책을 사용하면 관리자가 모바일 Single Sign-On, 등록을 기반으로 하는 애플리케이션에 대한 조건부 액세스, 규정 준수 상태, 단계별 및 다단계 인증과 같은 기능을 구성할 수 있습니다.

정책 규칙은 요청 IP 주소를 네트워크 범위에 매핑하고 사용자가 로그인에 사용할 수 있는 디바이스의 유형을 지정합니다. 규칙은 인증 방법과 인증이 유효한 시간 길이를 정의합니다. 액세스 규칙에 연결할 하나 이상의 그룹을 선택할 수 있습니다.

다양한 구성 옵션을 사용할 수 있지만 본 빠른 시작 가이드에서는 애플리케이션 액세스의 엔터프라이즈 모빌리티 관리 및 비관리 계층에 대해 설명합니다.

[모바일 Single Sign-On 구성] 마법사를 실행할 때 구성된 모든 디바이스 유형에 대한 액세스를 허용하도록 기본 액세스 정책이 구성됩니다. 이 정책은 관리되지 않는 디바이스에서 액세스할 수 있는 애플리케이션에 대해 수준 1 액세스로 간주됩니다.

관리되는 규정 준수 디바이스의 제한된 액세스를 요구하는 애플리케이션에 대한 정책을 만들 수 있습니다. VMware Identity Manager는 이 환경을 얻기 위해 다양한 기본 제공 인증 어댑터를 제공합니다. 모바일 Single Sign-On이 구성되면 이러한 인증 방법이 사용되도록 설정됩니다.

  • 모바일 SSO(iOS용). iOS 디바이스에 대한 Kerberos 기반 어댑터

  • 모바일 SSO(Android용). 특수하게 조정된 Android용 인증서 인증 구현

  • 인증서(클라우드 배포). 웹 브라우저 및 데스크톱 디바이스를 대상으로 하는 인증서 인증 서비스

  • 암호. VMware Identity Manager 및 AirWatch가 VMware Enterprise Systems Connector의 두 구성 요소와 함께 배포될 경우 단일 커넥터를 사용한 디렉토리 암호 인증 허용

  • 암호(AirWatch Connector). VMware Identity Manager 및 AirWatch가 ACC만을 사용하여 함께 배포될 경우 단일 커넥터를 사용한 디렉토리 암호 인증 허용

  • 디바이스 규정 준수(AirWatch 사용). AirWatch에서 정의된 조건에 따라 통과 또는 실패인 관리되는 디바이스의 상태를 측정합니다. 규정 준수는 암호를 제외한 기타 기본 제공 어댑터와 연결될 수 있습니다.

관리되지 않는 장치에 대한 수준 1 기본 액세스 정책

모든 애플리케이션에 액세스하려면 기본 액세스 정책을 기준 L1 정책으로 사용합니다. 모바일 Single Sign-On이 구성되어 있으면 iOS, Android 및 Windows 10 디바이스에 대해 액세스 규칙이 생성됩니다. 각 디바이스는 해당 디바이스에 특정한 인증 방법을 통해 Single Sign-On에 대해 사용 설정됩니다. 각 규칙에서 폴백 방법은 암호입니다. 이 설정은 관리되지 않는 디바이스에 대해 수동 로그인 옵션을 제공하면서 디바이스를 관리하는 최고의 환경을 제공합니다.

기본 정책은 모든 네트워크 범위에 대한 액세스를 허용하도록 구성됩니다. 세션 시간 초과는 8시간입니다.

VMware Verify 또는 기타 다단계 인증을 통해 관리되지 않는 디바이스의 액세스에 대해 추가적으로 보안을 적용할 수 있습니다.

그림 1. 관리되지 않는 디바이스에 대한 기본 정책 예

마법사의 모바일 Single Sign-On이 모바일 SSO를 구성하는 데 사용되면 기본 액세스 정책 규칙은 이러한 수준의 액세스 제어를 반영합니다.

관리되는 디바이스에 대한 수준 2 정책 구성

조직이 중요한 데이터를 포함하는 애플리케이션을 배포하는 경우 이러한 애플리케이션에 대한 액세스를 MDM 관리 디바이스로만 제한할 수 있습니다. 필요한 경우 관리되는 디바이스를 추적하고 지울 수 있으며, 디바이스가 등록 취소되면 엔터프라이즈 데이터가 제거됩니다.

선택한 애플리케이션에 이러한 관리되는 요구 사항을 적용하려면 이러한 애플리케이션에 대해 애플리케이션별 정책을 생성합니다. 정책을 생성할 때 적용 대상 섹션에서 이 정책에 적용되는 애플리케이션을 선택합니다.

배포에서 각 디바이스 플랫폼에 대한 정책 규칙을 생성합니다. 올바른 SSO 인증 방법을 정의합니다. 그러나 관리되지 않는 디바이스는 이러한 애플리케이션에 액세스하지 않아야 하므로 폴백 인증 방법을 정의하지 마십시오. 예를 들어, 관리되지 않는 iOS 디바이스가 관리되는 디바이스 액세스용으로만 구성된 애플리케이션에 연결하려고 하면 디바이스는 적절한 Kerberos 래핑 인증서로 응답하지 않습니다. 인증 시도는 실패하고 사용자는 콘텐츠에 액세스할 수 없습니다.

그림 2. 관리되는 디바이스에 대한 수준 2 액세스 정책 예