사용자가 Workspace ONE 애플리케이션에서 리소스에 액세스할 때 Single Sign-On 환경을 구현하기 위해 작업 환경에 사용되는 각 디바이스 유형(예: Android, iOS, MacOS 또는 Windows 10)에 대한 규칙으로 기본 액세스 정책이 구성됩니다.
기본 액세스 정책 구성의 이 예제에서는 모든 네트워크 범위에서 로그인하는 사용자를 포함하는 규칙으로 기본 액세스 정책이 생성됩니다. 관리되는 액세스의 경우 디바이스 및 Workspace ONE 애플리케이션 규칙에 대해 AirWatch용 디바이스 규정 준수가 구성됩니다. 다음과 같은 규칙이 생성됩니다.
- Intelligent Hub 애플리케이션에 액세스하는 데 사용할 수 있는 각 모바일 디바이스 유형에 대한 규칙.
- Intelligent Hub 애플리케이션용 Workspace ONE 애플리케이션 디바이스 유형에서의 사용자 액세스에 대한 규칙. 지원되는 모든 디바이스에 대한 모든 인증 방법이 이 규칙에 구성됩니다. 디바이스 규정 준수 인증 방법은 관리되는 디바이스에서의 액세스를 지원하기 위해 적용됩니다.
- 임의 웹 브라우저에서 Workspace ONE에 액세스하기 위한 웹 브라우저 디바이스 유형에서의 사용자 액세스 규칙.
- 관리되지 않는 디바이스의 사용자가 리소스에 액세스하기 위한 규칙.
사용자가 디바이스 중 하나를 사용하여 Workspace ONE 애플리케이션에 로그인하면 해당 디바이스 유형에 대해 구성된 인증 방법에 따라 인증됩니다. 사용자가 성공적으로 인증된 후에는 Intelligent Hub 애플리케이션 화면에서 다른 리소스를 실행할 때 해당 인증 방법이 인식되고 사용자는 다시 인증하도록 요구되지 않습니다.
Workspace ONE 애플리케이션에서 인증하는 데 사용된 인증 방법이 인식되지 않으면, 사용자가 Intelligent Hub 애플리케이션에서 리소스를 실행할 때 Workspace ONE 애플리케이션 규칙에 따라 인증되도록 요구됩니다.
Workspace ONE에 사용할 액세스 정책 규칙 조건 예제
최상의 사용자 환경을 제공하기 위해 기본 액세스 정책에서 해당 디바이스 유형 Workspace ONE 애플리케이션을 첫 번째 규칙으로 나열합니다. 해당 규칙이 첫 번째 규칙이 되면 사용자는 세션이 만료될 때까지 다시 인증하지 않아도 애플리케이션에 로그인되며 리소스를 실행할 수 있습니다.
1. Workspace ONE 액세스에 사용할 수 있는 각 디바이스에 대한 규칙을 생성합니다. 이 예제는 디바이스 유형 iOS의 액세스를 허용하기 위한 규칙입니다.
- 네트워크 범위는 ALL RANGES입니다.
- 사용자는 iOS에서 컨텐츠에 액세스할 수 있습니다.
- 그룹은 정책 규칙에 추가되지 않습니다. 모든 사용자가 지원됩니다.
- 지원되는 모든 인증 방법을 구성합니다.
- 모바일 SSO(iOS용) 및 디바이스 규정 준수(AirWatch 사용)를 사용하여 인증합니다.
- 폴백 방법 1: 암호(클라우드 배포).
- 8시간 후 세션 재인증.
2. 디바이스 유형 Workspace ONE 애플리케이션에 대한 규칙을 생성합니다. 1단계에서 디바이스에 대해 구성된 각 인증 방법은 이 규칙에 포함되어야 합니다.
- 네트워크 범위는 ALL RANGES입니다.
- 사용자는 Workspace ONE 애플리케이션에서 컨텐츠에 액세스할 수 있습니다.
- 그룹은 정책 규칙에 추가되지 않습니다. 모든 사용자가 지원됩니다.
- 지원되는 모든 인증 방법을 구성합니다.
- 모바일 SSO(iOS용) 및 디바이스 규정 준수(AirWatch 사용)를 사용하여 인증합니다.
- 폴백 방법 1: 모바일 SSO(Android용) 및 디바이스 규정 준수(AirWatch 사용)
- 폴백 방법 2: 암호(클라우드 배포).
- 2160시간 후에 세션 재인증
2160시간은 90일로, Workspace ONE 애플리케이션 OAuth 토큰 새로 고침 토큰의 TOL(Time to Live)입니다.
3. 임의 웹 브라우저에서 Workspace ONE 포털에 액세스하기 위한 디바이스 유형 웹 브라우저에 대한 규칙을 생성합니다. 이 예제에는 인증 방법 암호(로컬 디렉토리)가 폴백으로 포함되어 있습니다. 로그인하는 시스템 관리자를 인증하기 위해서는 하나 이상의 규칙을 암호(로컬 디렉토리)를 사용하는 인증으로 구성해야 합니다. 24시간 후에 세션이 시간 초과됩니다.
- 네트워크 범위는 ALL RANGES입니다.
- 사용자는 웹 브라우저에서 컨텐츠에 액세스할 수 있습니다.
- 그룹은 정책 규칙에 추가되지 않습니다. 모든 사용자가 지원됩니다.
- 지원되는 모든 인증 방법을 구성합니다.
- 암호(클라우드 배포)를 사용하여 인증합니다.
- 폴백 방법 2: 암호
- 폴백 방법 3: 암호(로컬 디렉토리)
- 8시간 후 세션 재인증.
4. 모든 디바이스 유형에서 관리되지 않는 리소스에 액세스하기 위한 규칙을 생성합니다.
- 네트워크 범위는 ALL RANGES입니다.
- 사용자는 모든 디바이스에서 컨텐츠에 액세스할 수 있습니다.
- 그룹은 정책 규칙에 추가되지 않습니다. 모든 사용자가 지원됩니다.
- 지원되는 모든 인증 방법을 구성합니다.
- 암호(클라우드 배포)를 사용하여 인증합니다.
- 8시간 후 세션 재인증.
모든 디바이스, Workspace ONE 애플리케이션 및 웹 브라우저에 대한 규칙을 생성할 경우 기본 정책 집합은 다음 스크린샷과 같습니다.
이 기본 액세스 정책이 구성된 흐름
- UserA는 해당 iOS 디바이스에서 Intelligent Hub 애플리케이션에 로그인하고 모바일 SSO(iOS)를 사용하여 인증하도록 요구됩니다. 세 번째 규칙은 모바일 SSO(iOS용)이며 인증이 성공합니다.
- UserA는 Workspace ONE 애플리케이션에 나열된 리소스를 실행하며, Workspace ONE 애플리케이션 규칙에 인증 방법 모바일 SSO(iOS)가 폴백 인증 방법으로 포함되어 있으므로 인증을 다시 요청하지 않고 리소스가 실행됩니다. 사용자는 2160시간 동안 Workspace ONE에 다시 로그인하지 않고 리소스를 계속 실행할 수 있습니다.
규정 준수 검사를 위한 액세스 정책 규칙 구성도 참조하십시오.