Workspace ONE Access 22.05 Connector에서 FIPS(Federal Information Processing Standard) 140-2 규격 알고리즘을 사용하여 암호화 작업을 수행할 수 있습니다. FIPS 모드에서 Workspace ONE Access Connector 22.05의 새로 설치를 수행하여 이러한 알고리즘을 사용하도록 설정할 수 있습니다.
FIPS(Federal Information Processing Standard) 140-2는 암호화 모듈에 대한 보안 요구 사항을 규정하는 미국 및 캐나다 정부 표준입니다. VMware FIPS(Federal Information Processing Standards) 정보 페이지를 참조하십시오.
Workspace ONE Access Connector는 비 FIPS 설치에서 FIPS 설치로 또는 FIPS 설치에서 비 FIPS 설치로의 업그레이드 또는 마이그레이션을 지원하지 않습니다. 22.05 이전의 모든 커넥터 버전은 비 FIPS 설치였습니다.
- FIPS 모드의 Workspace ONE Access Connector는 Workspace ONE Access FedRAMP 테넌트에서만 지원됩니다. 다른 유형의 테넌트 및 온-프레미스 Workspace ONE Access 설치에서는 FIPS 모드의 커넥터를 지원하지 않습니다.
- 가상 애플리케이션 서비스는 FIPS 모드를 지원하지 않습니다. FIPS 모드가 사용하도록 설정된 Workspace ONE Access Connector는 Citrix, Horizon, 단일 포드 브로커가 있는 Microsoft Azure의 Horizon Cloud Service on Microsoft Azure 또는 Horizon Cloud Service on IBM Cloud와의 통합을 지원하지 않습니다. FIPS 모드가 사용하도록 설정된 Workspace ONE Access Connector는 Horizon Cloud Service on Microsoft Azure에서 실행되는 가상 애플리케이션을 Universal Broker와 통합하도록 지원합니다.
FIPS 모드에서 Workspace ONE Access Connector 설치
Workspace ONE Access Connector에 대해 FIPS 모드를 활성화하려면 설치 중에 FIPS 사용 옵션을 선택합니다.
- 설치 후에는 FIPS 모드에서 비 FIPS 모드로 또는 비 FIPS 모드에서 FIPS 모드로 변경할 수 없습니다. 따라서 요구 사항 및 사전 요구 사항을 주의 깊게 검토하고 설치를 시작하기 전에 FIPS를 사용하도록 설정할지 여부를 결정합니다.
- FIPS 설치는 FIPS 설치로만 업그레이드할 수 있으며 비 FIPS 설치는 비 FIPS 설치로만 업그레이드할 수 있습니다.
FIPS 모드에 대한 요구 사항 및 사전 요구 사항
FIPS 모드의 커넥터에는 다음과 같은 요구 사항 및 사전 요구 사항이 적용됩니다.
- 모든 커넥터 인스턴스를 FIPS 모드로 설치해야 합니다. Workspace ONE Access 테넌트와 연결된 모든 커넥터 인스턴스는 설치된 엔터프라이즈 서비스에 관계없이 FIPS 모드에서 실행되거나 모두 비 FIPS 모드에서 실행되어야 합니다. 일부 커넥터 인스턴스는 FIPS 모드에서 배포하고 나머지는 비 FIPS 모드에서 배포하지는 마십시오.
- IWA(통합 Windows 인증)에서 Active Directory 유형의 디렉토리:
- Workspace ONE Access에서 IWA를 통해 Active Directory 유형의 디렉토리를 생성하려면 바인딩 DN 사용자 암호의 길이가 최소 14자여야 합니다.
- 14자의 최소 암호 길이는 IWA 디렉토리의 모든 동기화된 사용자에게도 적용됩니다.
- sAMAccountName 특성을 사용하는 경우 사용자의 sAMAccountName과 도메인 이름을 합한 길이가 16자 이상이어야 합니다.
- Active Directory에 대한 암호 변경 기능:
- Active Directory의 암호 변경 기능을 사용하려면 최소 14자의 최종 사용자 암호가 필요합니다.
기존 암호는 이 요구 사항을 충족해야 합니다. 사용자는 기존 암호가 14자 미만인 경우 Intelligent Hub 애플리케이션 또는 포털에서 암호를 변경할 수 없습니다.
새 암호는 이 요구 사항을 충족해야 합니다. 사용자가 Intelligent Hub 애플리케이션 또는 포털에서 새 암호를 생성하는 경우 최소 14자가 적용되지 않습니다. 그러나 새 암호가 14자 이상인 경우 사용자는 암호를 다시 변경할 수 없습니다. 또한 사용자가 Windows 통합 인증을 통한 Active Directory 유형의 디렉토리에 속하는 경우 사용자는 새 암호를 사용하여 Intelligent Hub 애플리케이션 또는 포털에 로그인할 수 없습니다.
- sAMAccountName 특성을 사용하는 경우 사용자의 sAMAccountName과 도메인 이름을 합한 길이가 16자 이상이어야 합니다.
- Active Directory의 암호 변경 기능을 사용하려면 최소 14자의 최종 사용자 암호가 필요합니다.
- 모든 연결에 STARTTLS 필요 또는 모든 연결에 LDAPS 필요 옵션을 선택한 상태로 Active Directory에 대한 연결을 설정하는 경우 도메인 컨트롤러에 유효한 공용 CA 서명 인증서가 있어야 합니다.
모범 사례는 FIPS 모드에서 Workspace ONE Access Connector를 설치하기 전에 이러한 사전 요구 사항을 구현하는 것입니다.