Workspace ONE 포털 및 사용 권한이 부여된 애플리케이션에 액세스하기 위해 전체적으로 충족해야 하는 조건을 지정하는 액세스 정책 규칙을 생성합니다. 특정 웹 및 데스크톱 애플리케이션에 대한 사용자 액세스를 관리하기 위한 규칙이 있는 애플리케이션별 액세스 정책 규칙을 생성할 수도 있습니다.
네트워크 범위
로그인하고 애플리케이션에 액세스하는 데 사용되는 IP 주소를 기준으로 사용자 액세스를 관리하기 위해 액세스 정책 규칙에 네트워크 주소가 할당됩니다. 온-프레미스에서 VMware Identity Manager 서비스가 구성된 경우 내부 네트워크 액세스 및 외부 네트워크 액세스에 대한 네트워크 IP 주소 범위를 구성할 수 있습니다. 그런 다음 규칙에 구성된 네트워크 범위에 따라 다른 규칙을 생성할 수 있습니다.
네트워크 범위는 액세스 정책 규칙을 구성하기 전에 [ID 및 액세스 관리] 탭의 [관리] > [정책] > [네트워크 범위] 페이지에서 구성됩니다.
배포 환경에 있는 각 ID 제공자 인스턴스는 네트워크 범위를 인증 방법과 연결하도록 구성됩니다. 정책 규칙을 구성하는 경우 기존 ID 제공자 인스턴스가 선택한 네트워크 범위를 포함하는지 확인합니다.
디바이스 유형
액세스 정책 규칙은 포털 및 리소스에 액세스하는 데 사용되는 디바이스의 유형을 관리하도록 구성됩니다. 지정할 수 있는 디바이스에는 iOS 및 Android 모바일 디바이스, Windows 10 또는 macOS 운영 체제를 실행하는 컴퓨터, 웹 브라우저, Workspace ONE 애플리케이션 및 모든 디바이스 유형이 포함됩니다.
디바이스 유형이 Workspace ONE 애플리케이션인 정책 규칙은 디바이스에서 로그인한 후에 Workspace ONE 애플리케이션에서 애플리케이션을 실행하기 위한 액세스 정책을 정의합니다. 이 규칙이 정책 목록의 첫 번째 규칙이면 사용자는 기본 설정에 따라 인증을 받은 후에 최대 90일 동안 Workspace ONE 애플리케이션에 로그인한 상태를 유지하고 해당 리소스에 액세스할 수 있습니다.
디바이스 유형이 웹 브라우저인 정책 규칙은 하드웨어 유형 및 운영 체제와 관계없이 모든 유형의 웹 브라우저를 사용하는 액세스 정책을 정의합니다.
디바이스 유형이 모든 디바이스 유형인 정책 규칙은 모든 경우의 액세스에 일치됩니다.
Workspace ONE 애플리케이션이 애플리케이션 액세스에 사용되는 경우 디바이스 유형은 규칙으로 Workspace ONE 애플리케이션, 모바일, Windows 및 macOS, 웹 브라우저 디바이스 유형 및 모든 디바이스 유형이 차례로 나열된 정책 집합으로 구성됩니다. 규칙이 나열된 순서는 규칙이 적용되는 순서를 나타냅니다. 디바이스 유형이 인증 방법과 일치하는 경우 후속 규칙은 무시됩니다. 디바이스 유형 Workspace ONE 애플리케이션이 정책 목록의 첫 번째 규칙이 아니면 사용자는 연장된 기간 동안 Workspace ONE 애플리케이션에 로그인된 상태로 유지되지 않습니다. 액세스 정책에 Workspace ONE 애플리케이션 규칙 적용의 내용을 참조하십시오.
그룹 추가
사용자 그룹 멤버 자격을 기준으로 여러 다른 인증 규칙을 적용할 수 있습니다. 그룹은 엔터프라이즈 디렉토리에서 동기화된 그룹 및 VMware Identity Manager 콘솔에서 생성한 로컬 그룹일 수 있습니다.
그룹이 액세스 정책 규칙에 할당되면 자신의 고유 식별자를 입력하라는 메시지가 표시된 후 액세스 정책 규칙에 따라 인증을 입력하라는 메시지가 표시됩니다. 고유 식별자를 사용하는 로그인 환경의 내용을 참조하십시오. 기본적으로 고유 식별자는 userName입니다. [ID 및 액세스 관리] > [설정] > [환경설정] 페이지로 이동하여 구성된 고유 식별자 값을 보거나 식별자를 변경합니다.
규칙으로 관리되는 작업
작업 공간 및 리소스에 대한 액세스를 허용하거나 거부하도록 액세스 정책 규칙을 구성할 수 있습니다. 특정 애플리케이션에 대한 액세스를 제공하도록 정책을 구성하는 경우 추가 인증을 요구하지 않고 애플리케이션에 대한 액세스를 허용하도록 작업을 지정할 수도 있습니다. 이 작업을 적용하려면 사용자가 기본 액세스 정책으로 이미 인증되어 있어야 합니다.
작업에 적용되는 규칙에 조건(예: 포함할 네트워크, 디바이스 유형 및 그룹, 디바이스 등록 및 규정 준수 상태)을 선택적으로 적용할 수 있습니다. 작업이 액세스를 거부하는 것이면 사용자는 규칙에 구성된 디바이스 유형 및 네트워크 범위에서 애플리케이션을 실행할 수 없습니다.
인증 방법
VMware Identity Manager 서비스에 구성된 인증 방법이 액세스 정책 규칙에 적용됩니다. 각 규칙에 대해 Workspace ONE에 로그인하거나 애플리케이션에 액세스하는 사용자의 ID를 확인하는 데 사용할 인증 방법의 유형을 선택합니다. 규칙에서 둘 이상의 인증 방법을 선택할 수 있습니다.
인증 방법이 규칙에 나열된 순서대로 적용됩니다. 규칙의 인증 방법 및 네트워크 범위 구성을 충족하는 첫 번째 ID 제공자 인스턴스가 선택됩니다. 사용자 인증 요청이 인증을 위해 ID 제공자 인스턴스로 전달됩니다. 인증이 실패하면 목록의 다음 인증 방법이 선택됩니다.
자격 증명이 둘 이상의 인증 방법을 통과해야만 사용자가 로그인할 수 있도록 액세스 정책 규칙의 인증 체인을 구성할 수 있습니다. 하나의 규칙에서 두 개의 인증 조건이 구성되고, 사용자는 두 인증 요청에 올바르게 응답해야 합니다. 예를 들어, 암호 및 VMware Verify를 사용하는 인증을 설정하면 사용자는 인증을 받기 전에 자신의 암호 및 VMware Verify 암호를 둘 다 입력해야 합니다.
이전 인증 요청을 통과하지 못한 사용자에게 로그인할 수 있는 또 다른 기회를 제공하도록 폴백 인증을 설정할 수 있습니다. 인증 방법으로 사용자를 인증하지 못하고 폴백 방법도 구성되어 있는 경우, 구성된 추가 인증 방법에 대해 자격 증명을 입력하라는 메시지가 사용자에게 표시됩니다. 다음 두 시나리오에서는 이 폴백의 작동 방법을 설명합니다.
- 첫 번째 시나리오에서는 사용자가 자신의 암호 및 VMware Verify 암호를 사용하여 인증하도록 액세스 정책 규칙이 구성되어 있습니다. 인증을 위해 암호 및 RADIUS 자격 증명을 요구하는 폴백 인증이 설정되어 있습니다. 사용자가 암호는 올바로 입력하지만, VMware Verify 암호는 올바로 입력하지 못합니다. 사용자가 올바른 암호를 입력했기 때문에 폴백 인증 요청은 RADIUS 자격 증명에만 해당합니다. 사용자가 암호를 다시 입력할 필요가 없습니다.
- 두 번째 시나리오에서는 사용자가 자신의 암호 및 VMware Verify 암호를 사용하여 인증하도록 액세스 정책 규칙이 구성되어 있습니다. 인증을 위해 RSA SecurID 및 RADIUS를 요구하는 폴백 인증이 설정되어 있습니다. 사용자가 암호는 올바로 입력하지만, VMware Verify 암호는 올바로 입력하지 못합니다. 폴백 인증 요청은 인증을 위해 RSA SecurID 자격 증명 및 RADIUS 자격 증명 모두에 해당합니다.
Workspace ONE UEM 관리 디바이스에 대한 인증 및 디바이스 규정 준수 확인을 요구하도록 액세스 정책 규칙을 구성하려면 내장 ID 제공자 페이지에서 [AirWatch를 통한 디바이스 규정 준수]를 사용하도록 설정해야 합니다. Workspace ONE UEM 관리 디바이스에 대한 규정 준수 검사 사용의 내용을 참조하십시오. AirWatch를 통한 디바이스 규정 준수와 연결될 수 있는 내장 ID 제공자 인증 방법은 모바일 SSO(iOS용), 모바일 SSO(Android용) 또는 인증서(클라우드 배포)입니다.
VMware Verify가 2단계 인증에 사용되면 VMware Verify는 인증 체인의 두 번째 인증 방법이 됩니다. VMware Verify는 내장 ID 제공자 페이지에서 사용하도록 설정해야 합니다. 2단계 인증을 위한 VMware Verify 구성의 내용을 참조하십시오.
인증 세션 길이
각 규칙에 대해 이 인증이 유효한 시간을 설정합니다. 다음 시간 후에 재인증 값은 마지막 인증 이벤트 후 사용자가 포털에 액세스하거나 특정 애플리케이션을 열 수 있는 최대 시간을 결정합니다. 예를 들어, 웹 애플리케이션 규칙의 값 8은 사용자가 일단 인증될 경우 8시간 동안 재인증할 필요가 없음을 의미합니다.
다음 후에 재인증을 설정하는 정책 규칙은 애플리케이션 세션을 제어하지 않습니다. 이 설정은 몇 시간 후에 사용자가 재인증해야 하는지를 제어합니다.
사용자 지정 액세스 거부 오류 메시지
사용자가 잘못된 자격 증명, 잘못된 구성 또는 시스템 오류 때문에 로그인에 실패하면 액세스 거부 메시지가 표시됩니다. 기본 메시지는 유효한 인증 방법을 찾지 못했기 때문에 액세스가 거부되었습니다.입니다.
각 액세스 정책 규칙에 대한 기본 메시지를 재정의하는 사용자 지정 오류 메시지를 생성할 수 있습니다. 사용자 지정 메시지에는 작업 메시지에 대한 텍스트 및 링크가 포함될 수 있습니다. 예를 들어 등록된 디바이스로 액세스를 제한하는 정책 규칙에서 사용자가 등록되지 않은 디바이스에서 로그인하려고 하면 다음의 사용자 지정 오류 메시지를 생성할 수 있습니다. 이 메시지 끝에 나오는 링크를 클릭하여 회사 리소스에 액세스할 수 있게 디바이스를 등록합니다. 디바이스가 이미 등록된 경우 지원을 요청하십시오.