VMware Workspace ONE Access 릴리스 노트 20.01

Linux 20.01용 VMware Workspace ONE Access | 2020년 1월 | javascript:void('Brown')빌드 15509389

VMware Workspace ONE Access Connector(Windows) 20.01 | 2020년 1월 | 빌드 Workspace ONE Access Connector 20.01.0 Installer.exe

릴리스 날짜: 2020년 1월 30일

업데이트된 시간: 2020년 12월 8일 목요일

신규 2020년 12월 8일 이 릴리스는 CVE-2020-4006의 영향을 받는 것으로 확인되었습니다. 이 취약점을 해결하기 위해 수정 사항 및 해결 방법을 사용할 수 있습니다. 자세한 내용은 VMSA-2020-0027을 참조하십시오.

릴리스 정보에 포함된 내용

이 release note에는 다음과 같은 항목을 다룹니다.

20.01의 새로운 기능
국제화
호환성, 설치 및 업그레이드
설명서
해결된 문제
알려진 문제점

VMware Workspace ONE Access 20.01의 새로운 기능

VMware Workspace ONE Access(이전 이름 VMware Identity Manager)

VMware Workspace ONE Access는 VMware Identity Manager의 새 이름입니다. 이름은 변경되었으나 제거된 기능은 없습니다.

수정된 커넥터 및 커넥터 관리

커넥터 구성 요소를 개별적으로 설치할 수 있습니다. 세 가지 구성 요소는 다음과 같습니다.
- 디렉토리 동기화 서비스 - Active Directory 또는 LDAP 디렉토리에서 Workspace ONE Access 서비스로 사용자를 동기화합니다.
- 사용자 인증 서비스 - 암호(클라우드), RSA SecurID(클라우드) 및 RADIUS(클라우드) 배포를 제공합니다.
- Kerberos 인증 서비스 - 내부 사용자에 대한 Kerberos 인증을 제공합니다.
개선되고 간소화된 커넥터 구성 및 수명주기 관리
- 디렉토리 동기화 서비스 및 인증 방법 서비스 기능 구성이 Workspace ONE Access 서비스로 이동되었습니다. 디렉토리 동기화에 대한 구성은 [ID 및 액세스 관리] > [디렉토리] 페이지에 있습니다. 사용자 인증 및 Kerberos 인증 방법은 Workspace ONE Access 콘솔의 [ID 및 액세스 관리] > [엔터프라이즈 인증 방법] 페이지에서 구성합니다. 커넥터에는 구성 세부 정보가 저장되지 않습니다.
- 필요에 따라 커넥터를 쉽게 추가 및 제거할 수 있습니다.
디렉토리 동기화
- 안정성이 개선되고 리소스 요구가 감소하였습니다.
- 이제 디렉토리 동기화가 Workspace ONE Access 서비스에서 구동됩니다. 사용자는 동기화 고가용성을 위해 콘솔의 [디렉토리 구성] 페이지에서 더 많은 디렉토리 동기화 노드를 쉽게 추가할 수 있습니다.
- 동기화의 시험 실행을 수행하는 기능이 제거되었습니다.
- [디렉토리 테스트] 버튼이 제거됩니다. 디렉토리 구성이 저장되면 디렉토리 동기화 서비스가 Active Directory에서 디렉토리 구성을 테스트합니다.
- 이제 UI에서 두 개의 동기화 옵션, 안전장치를 사용한 동기화 및 안전장치를 사용하지 않은 동기화를 사용할 수 있습니다. 이러한 작업은 [ID 및 액세스 관리] > [디렉토리] 페이지의 디렉토리 목록 또는 특정 디렉토리 랜딩 페이지에서 수행할 수 있습니다.
- IWA 디렉토리가 생성되면 디렉토리의 [도메인] 탭에 데이터베이스에 저장된 도메인만 표시됩니다. 관리자는 기본 도메인과의 양방향 신뢰 관계가 있는 모든 도메인을 보려면 [새로 고침] 버튼을 선택해야 합니다.
- 디렉토리의 [그룹] 탭에는 저장된 그룹 DN과 DB에서 매핑된 그룹이 표시됩니다. 컨테이너의 그룹 수와 같은 추가 세부 정보를 가져오기 위해 디렉토리 동기화 서비스에 대한 호출이 자동으로 수행되지 않습니다. Active Directory 쿼리를 실행하여 특정 그룹 DN에 대한 그룹 수를 가져오려면 선택 버튼을 명시적으로 선택해야 합니다.
- 사용자 특성 매핑, 사용자 DN, 그룹 DN, 안전장치 및 동기화 스케줄 구성은 커넥터의 디렉토리 동기화 서비스로 전송되지 않습니다. 이러한 구성은 디렉토리 동기화 서비스가 상태 정보를 저장하지 않으므로 Workspace ONE Access 서비스 DB에 저장됩니다.

VMware Site Recovery Manager를 활용하는 재해 복구 설정 간소화

기본 및 보조 사이트 간의 자동화된 페일오버에 VMware Site Recovery Manager를 활용하도록 지원. VMware Workspace ONE Access 20.01 설치 및 구성 가이드를 참조하십시오.

Windows 19.03에서 Linux 20.01로의 서비스 마이그레이션 지원

Windows 19.03에서 Linux 20.01로의 구성 마이그레이션이 지원됩니다.
VMware Identity Manager Windows 서비스는 2020년 11월 24일에 EOGS(일반 지원 종료)에 도달합니다. 일반 지원 종료 KB 문서, 2961184를 참조하십시오.

온-프레미스에서의 Hub 카탈로그 지원, VMware Workspace ONE Intelligent Hub 애플리케이션 지원

Hub 카탈로그는 웹 브라우저 보기 켜짐으로 기본 설정되어 있습니다.
- 20.01로 업그레이드하는 고객은 새 환경을 해제하고 기존 카탈로그를 사용하는 Workspace ONE 브라우저 환경으로 돌아갈 수 있는 옵션을 사용할 수 있습니다. Hub 카탈로그를 해제하려면 [카탈로그] > [Hub 구성] 페이지로 이동하여 Hub 서비스 콘솔을 실행합니다. 표시되는 [사용자 지정] 페이지에서 [Hub 브라우저 환경] 라디오 버튼을 해제합니다.
- 업그레이드한 후 Hub 카탈로그를 사용하려는 경우 VMware Identity Manager 서비스에서 Workspace ONE 카탈로그 페이지 및 로그인 화면을 사용자 지정했으면 업그레이드한 후 Hub 서비스 콘솔로 이동한 후 브랜딩 페이지를 사용자 지정하여 로고 및 색상을 추가해야 합니다. Workspace ONE Access 배포에서 Hub 카탈로그 사용을 참조하십시오.
기존 Workspace ONE 애플리케이션에서 VMware Workspace ONE Intelligent Hub 내의 최신 카탈로그로 마이그레이션할 수 있습니다.

Workspace ONE Access 장치 설정 UI 변경

[장치 설정] 탭에서 SMTP, 라이센스 및 원격 분석 구성을 관리합니다.
VA 구성이 [시스템 진단] 대시보드로 이동됩니다. 대시보드에 나열된 장치에서 VA 구성을 클릭하여 해당 장치에 대한 VA 구성 콘솔에 로그인합니다.

국제화

VMware Workspace ONE Access 20.01은 다음과 같은 언어로 제공됩니다.

영어
프랑스어
독일어
스페인어
일본어
중국어 간체
한국어
중국어 번체
러시아어
이탈리아어
포르투갈어(브라질)
네덜란드어

호환성, 설치 및 업그레이드

VMware vCenter™ 및 VMware ESXi™ 호환성

VMware Workspace ONE Access 장치는 다음 버전의 vSphere 및 ESXi를 지원합니다.

6.5 U3, 6.7 U2, 6.7 U3

구성 요소 호환성

지원되는 Windows Server

Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019

지원되는 웹 브라우저

Mozilla Firefox, 최신 버전
Google Chrome 42.0 이상
Internet Explorer 11
Safari 6.2.8 이상
Microsoft Edge, 최신 버전

지원되는 데이터베이스

MS SQL 2012, 2014, 2016 및 2017

지원되는 디렉토리 서버

Active Directory - 단일 AD 도메인, 단일 AD 포리스트의 여러 도메인 또는 여러 AD 포리스트에 걸쳐 있는 여러 도메인
OpenLDAP - 2.4.42
Oracle LDAP - Directory Server Enterprise Edition 11g, 릴리스 1(11.1.1.7.0)
IBM Tivoli Directory Server 6.3.1

VMware 제품 상호 운용성 매트릭스에서는 현재 및 이전 버전의 VMware 제품 및 구성 요소(예: VMware vCenter Server, VMware ThinApp 및 Horizon 7)의 호환성에 대한 세부 정보를 제공합니다.

시스템 요구 사항에 대해서는 Workspace ONE Access 설명서 센터에서 20.01에 대한 VMware Workspace ONE Access 설치 가이드를 참조하십시오.

VMware Workspace ONE Access 20.01로 업그레이드(Linux)

Workspace One Access 20.01로 업그레이드하려면 VMware Identity Manager 장치는 19.03이어야 합니다.

Workspace One Access 20.01로 업그레이드하기 전에 VMware Identity Manager 3.3을 버전 19.03으로 업그레이드합니다.

업그레이드하기 전

업그레이드하기 전에 Elasticsearch 데이터가 삭제되지 않도록 하려면 Elasticsearch에서 업그레이드 준비를 수행합니다. VMware Workspace ONE Access 20.01로 업그레이드 가이드에서 온라인 업그레이드 사전 요구 사항을 참조하십시오.

Linux용 Workspace ONE Access 20.01로 업그레이드하려면 Workspace ONE Access 설명서 센터에 VMware Workspace ONE Access 20.01로 업그레이드(Linux)를 참조하십시오. 업그레이드하는 동안 모든 서비스가 중지되므로 예상되는 다운타임을 고려하여 업그레이드를 계획합니다.

업그레이드한 후

Workspace ONE Access 콘솔의 Workspace ONE UEM 페이지로 이동하고 [Workspace ONE UEM 구성] 섹션에서 저장을 클릭하여 디바이스 서비스 URL을 채웁니다. 디바이스 서비스 URL을 업데이트하지 않으면 UEM으로의 새 디바이스 등록이 실패합니다. Workspace ONE Access 업그레이드 가이드의 사후 업그레이드 구성 항목에서 Workspace ONE UEM 구성 저장 섹션을 참조하십시오.

Windows용 VMware Identity Manager를 Linux의 Workspace ONE Access 20.01로 마이그레이션

버전 20.01부터 Linux에서만 온-프레미스에서 Workspace ONE Access 서비스를 사용할 수 있습니다.

Windows 시스템을 20.01용 Workspace ONE Access 장치로 마이그레이션하려면 Workspace ONE Access 설명서 센터에서 Windows용에서 Linux용으로 VMware Workspace ONE Access 20.01 마이그레이션 가이드를 참조하여 마이그레이션 단계를 진행하십시오.

Windows의 VMware Identity Manager를 Linux용 Workspace ONE Access 20.01로 마이그레이션하려면 Windows용 19.03 버전이어야 합니다.

20.01로 마이그레이션한 후

인증서(클라우드 배포) 인증을 사용 중이면 마이그레이션 이후에 인증서 인증을 계속 사용하기 위해 runtime-config.properties 파일을 업데이트합니다. Workspace ONE Access 20.01 마이그레이션 후 구성에서 4단계를 참조하십시오.

VMware Workspace ONE Access Connector 20.01.0.0(Windows)

VMware Workspace ONE Access Connector는 온-프레미스 인프라와 통합되는 VMware Workspace ONE Access의 온-프레미스 구성 요소입니다. 이 커넥터는 Windows Server에 개별적으로 또는 함께 설치할 수 있는 엔터프라이즈 서비스 모음입니다. 다음 서비스 구성 요소를 설치할 수 있습니다.

엔터프라이즈 디렉토리에서 사용자를 동기화하기 위한 디렉토리 동기화 서비스
암호(클라우드), RSA SecurID(클라우드) 및 RADIUS(클라우드)를 포함하는 사용자 인증 서비스
Kerberos 인증용 Kerberos 인증 서비스

Workspace ONE Access 20.01 Connector로 마이그레이션

Workspace ONE Access로 업그레이드하고 새 Workspace ONE Access 20.01 Connector를 사용하려면 하나 이상의 20.01 Connector를 설치한 다음, 기존 디렉토리 및 인증 방법을 19.03 Connector에서 새 커넥터로 마이그레이션합니다.

20.01 Connector용 Windows Server는 기존 커넥터 서버와 분리되어 있어야 합니다. 마이그레이션 프로세스 중에 이전 커넥터와 새 커넥터를 번갈아 사용하며 마이그레이션을 테스트합니다. 마이그레이션 프로세스 동안 기존의 19.03 Connector 서버는 실행 중인 상태여야 합니다. 마이그레이션을 완료하기 전까지는 19.03 Connector를 제거하지 마십시오.

이전 커넥터 버전을 20.01로 업그레이드할 수 없습니다.

Workspace ONE Access 설명서 센터의 커넥터 마이그레이션 가이드를 참조하십시오.

마이그레이션하기 전

모든 기존 커넥터의 버전이 19.03인지 확인합니다.
RSA SecurID 인증을 20.01 Connector로 마이그레이션하기 전에 RSA 보안 콘솔에서 노드 암호를 지웠는지 확인해야 합니다.

가상 애플리케이션

Workspace ONE Access 20.01 Connector는 가상 애플리케이션(Citrix, Horizon, Horizon Cloud 및 ThinApp 통합)을 지원하지 않습니다. 환경에 가상 애플리케이션이 포함되어 있거나 나중에 가상 애플리케이션을 사용할 계획인 경우 Workspace ONE Access 20.01 Connector로 마이그레이션하지 마십시오.

Workspace ONE Access 20.01에서 가상 애플리케이션을 사용하려면 VMware Identity Manager Connector 버전 19.03을 사용해야 합니다.

VMware Identity Manager Integration Broker 19.03 | 2019년 4월 | 빌드 13221855는 VMware Identity Manager Connector 버전 19.03에서만 작동합니다.

Workspace ONE Access 20.01에서 VMware ThinApp을 사용하려면 VMware Identity Manager Linux 기반 Connector 장치 버전 2018.8.1을 사용해야 합니다. ThinApp 패키지를 사용하는 경우 VMware Workspace ONE Access Connector의 19.03 또는 20.01 버전으로 업그레이드하지 마십시오.

VMware Identity Manager Desktop 3.2 | 2018년 3월 | 빌드 7952055는 ThinApp 패키지에서 사용됩니다.

설명서

VMware Workspace ONE Access 20.01 설명서는 VMware Workspace ONE Access 설명서 센터에 포함되어 있습니다.

해결된 문제

HW-111546 취약점을 해결하기 위해 타사 라이브러리 jackson-databind를 최신 버전으로 업그레이드했습니다.
HW-111493 ID 제공자를 수동으로 편집하지 않아도 정책 인증 방법에 암호(클라우드)가 표시됩니다.
HW-111177 관리자가 iFrame에서 Workspace ONE Access 로그인 화면을 렌더링할 수 있는 신뢰할 수 있는 URL을 구성할 수 있도록 허용하는 기능입니다.
HW-110395 취약점을 해결하기 위해 타사 구성 요소를 최신 버전으로 업그레이드했습니다.
HW-110384 애플리케이션에 승인을 요청하는 것과 관련된 문제를 해결했습니다. Workspace ONE Access 설명서 페이지에서 리소스 사용에 대한 애플리케이션 승인 사용을 참조하십시오.
HW-109900 타사 IDP가 호스트 이름 인증을 받고 있을 때 커넥터 URL이 잘못 처리되었습니다. 이 수정 사항은 IDP URL을 수정했습니다.
HW-109709 특정 리소스의 사용 권한을 관리하는 역할을 생성할 수 없습니다. 이 문제는 수정되었습니다.
HW-109099 애플리케이션 추가/편집 마법사에서 프로비저닝 구성 단계를 표시하는 데 사용되었으나 실제로는 애플리케이션에 대한 프로비저닝을 설정하지 않았던 "설정 프로비저닝" 텍스트와 관련된 문제를 해결했습니다. 이 텍스트를 "프로비저닝 옵션 표시"로 변경하고 이 옵션의 의도를 명확하게 설명하는 힌트 텍스트를 추가했습니다.
HW-109018 동기화 전용 커넥터는 [커넥터 목록] 페이지에서 동기화 및 인증을 표시합니다. 이 수정 사항은 이 문제를 해결합니다.
HW-106922 19.03 또는 이전 커넥터를 디렉토리의 동기화 커넥터로 설정하기 위한 REST API입니다.
HW-106192 사용자가 링크를 따르거나 브라우저에서 Workspace ONE Access URL을 입력할 때 페이지가 로드된 후에 [사용자 이름] 필드에 포커스가 없습니다. 이 변경 사항은 사용자가 로그인 페이지를 클릭하거나 탭하지 않고 즉시 사용자 이름/암호 입력을 시작하고 시스템에 로그인할 수 있도록 이 문제를 해결합니다.
HW-106121 Workspace ONE Access 관리 콘솔에서 AirWatch의 모든 참조 이름을 Workspace ONE UEM으로 바꾸는 것과 관련된 수정 사항입니다. AirWatch 구성 설정 페이지, 인증 방법 목록/편집 페이지, ID 제공자 목록/편집 페이지 및 정책 편집 페이지에서 이와 같이 변경되었습니다.
HW-105990 이 수정 사항은 Workspace ONE Access 관리 콘솔의 입력 필드에 대한 사이트 간 스크립팅 보안 취약점을 해결했습니다. 특히 사용자 및 그룹 이름 입력 값을 수정했습니다.
HW-103859 Workspace ONE Access 대시보드 보고서 페이지에는 처음 열었을 때의 시간(UTC)이 표시됩니다. 이 수정 사항은 날짜를 현지 표준 시간대로 표시합니다.
HW-103065 포트 7443이 Android SSO에서 사용되고 있지 않습니다. 구성자 UI의 "SSL 인증서 설치" = > "패스스루 인증서" 페이지에서 "Android SSO에도 이 인증서를 사용할 수 있습니다"라는 문자열을 수정하고 제거했습니다.
HW-102820 [사용자 이름 로그인] 및 [도메인 선택] 페이지에서 "이 설정 저장" 기본값을 설정해도 실제로 적용되지 않으므로 "이 설정 저장" 옵션이 다음 로그인 시 선택 취소됩니다.
HW-102616 기본 SLES SP4 운영 체제를 취약한 패키지도 업그레이드하는 LTSS 저장소로 업그레이드했습니다.
HW-102471 감사 레코드 저장을 시도하기 전에 이전 레코드를 필터링하여 분석 보존 정책(analytics.maxQueryDays)보다 오래된 감사 레코드를 저장하려고 할 때 문제가 발생하지 않도록 합니다.
HW-102016 이 수정 사항은 1개의 사용자 저장소(내장 IDP를 생성하는 경우)만 선택할 수 있도록 내장 IDP 페이지를 제한합니다. 현재 Workspace IDP에서는 사용자 저장소를 하나만 선택할 수 있지만 내장 IDP는 여러 개의 사용자 저장소를 허용합니다.
HW-101717 People Search 는 msExchHideFromAddressLists 특성을 기준으로 사용자를 필터링할 수 있습니다.
HW-101711 이 수정 사항은 다음을 지원합니다. Active Directory에서 그룹을 로드할 때 로드 아이콘을 표시합니다. 선택한 그룹을 항상 맨 위에 표시합니다. 선택된 그룹 수를 읽기 전용으로 변경하고 선택한 개수만 표시합니다. 총 수는 추가 그룹 선택 모드에 표시되며 API 호출을 통해 Active Directory에서 새로 고침됩니다. 이 변경 사항은 20.01 Connector 기준 디렉토리 그룹 동기화 목록에만 적용됩니다.
HW-101708 디렉토리와 세이프가드를 동기화하거나 동기화하지 않는 옵션이 제공됩니다. 시험 실행이 제거되었습니다. 이러한 변경 사항은 20.01 Connector 기반 디렉토리에만 적용됩니다.
HW-101684 실행하는 동안 SAML 비지원 연결 서버에 대한 메타데이터 새로 고침을 건너뛰어 최적화합니다.
HW-101642 이 수정 사항은 "디렉토리 추가" 대화상자의 도움말과 레이블을 수정했습니다.
HW-101586 이제 Workspace ONE Access에서 생성된 자체 서명된 SSL 인증서에 주체 대체 이름이 포함됩니다. 이를 통해 Chrome 58+와 같은 브라우저에서 누락된 요소 문제없이 연결할 수 있습니다.
HW-101203 전체 클러스터를 다시 시작한 후 복구 기능이 올바른 노드 수를 기다리도록 elasticsearch 구성을 업데이트했습니다. 따라서 전체 클러스터를 다시 시작한 후 클러스터가 빨간색 상태로 중단되는 것을 방지할 수 있습니다.
HW-100661 프록시 서버가 구성되었을 때 [역할] 탭이 작동하지 않는 문제를 해결했습니다. Workspace ONE Access에 대한 프록시 서버 설정 지정을 참조하십시오.
HW-100273 21Vianet에서 운영하는 Office 365에 대한 지원을 추가했습니다.
HW-95673 "애플리케이션에 연결하는 동안 오류가 발생했습니다" 상태를 잘못 표시하는 시스템 진단 대시보드의 문제를 해결했습니다. 타사 IDP가 액세스 정책에 사용되고 서비스 장치에서 IDP에 연결할 수 없는 경우 상태가 잘못 표시되었습니다.
HW-93025 사용자 검색을 사용하도록 설정하면 20.01 Connector와의 정상적인 디렉토리 동기화에 영향을 미치지 않습니다.
HW-92353 관리자는 Workspace ONE Access 로그인 페이지에서 "다른 도메인으로 변경" 옵션을 표시하지 않도록 결정할 수 있습니다.
HW-76920 Workspace ONE Access 설명서 페이지의 Syslog 서버 구성 지침을 사용하여 애플리케이션 수준 로그를 외부 syslog 서버로 보내도록 Workspace ONE Access를 구성할 수 있습니다. 이 기능을 사용하면 Log Insight Agent를 설치하여 로그를 Log Insight 서버에 전달할 수 있습니다. 해당 제품에 대한 개요는 vRealize Log Insight 설명서를 참조하십시오.

알려진 문제점

RSA SecurID 인증 방법 구성이 간헐적으로 실패함
Workspace ONE Access 콘솔에 SecurID 구성을 저장하려고 하면 RSA 인증이 설정되지 않았다는 오류가 표시됩니다.

1. 오류가 표시된 후 구성을 다시 저장하십시오. (구성을 여러 번 저장하십시오.)

2. 계속 작동하지 않으면 사용자 인증 서비스가 설치된 커넥터를 다시 시작하십시오.
디렉토리 유형 기타 디렉토리(AirWatch Cloud Connector)를 Workspace ONE Access 20.01 Connector에서 삭제할 수 없음
Workspace ONE Access 콘솔에서 [디렉토리 삭제]를 클릭하여 "기타" 유형의 디렉토리(일반적으로 AirWatch Cloud Connector 디렉토리)를 삭제하면 진행률 표시줄이 계속 움직이지만 디렉토리는 삭제되지 않습니다.

디렉토리를 삭제하려면 API에 대한 지원을 요청하십시오.
Workspace ONE Access에 대한 iOS 모바일 SSO 인증이 Verizon 및 T-Mobile과 같은 모바일 네트워크를 사용하는 디바이스에 대해 실패함
셀룰러 요금제가 IPv6 주소를 사용하는 Verizon 또는 T-모바일 요금제이고 iOS 모바일 SSO 인증을 위해 내장 KDC를 사용하는 경우 사용자는 iOS 모바일 SSO를 사용하여 애플리케이션에 로그인할 수 없습니다.
사용자는 여전히 회사 WiFi 또는 다른 외부 WiFi 네트워크에서 로그인할 수 있습니다.

이 문제를 해결하기 위해 내장 KDC에서 Workspace ONE Access KDC 클라우드 호스팅 서비스로 전환할 수 있습니다. 클라우드 호스팅 KDC 서비스 사용 및 Workspace ONE Access에서 iOS의 모바일 SSO 인증 구성 항목을 참조하십시오.

클라우드 호스팅된 KDC 서비스를 사용하지 않으려면 IPv6 요청을 처리하는 KDC 로드 밸런서를 구성하고 IPv4를 통해 요청을 프록시하여 인증해야 합니다. 이를 수행하는 방법에 대한 자세한 내용은 로드 밸런서 설명서를 참조하십시오.