Workspace ONE UEM 관리 Android 디바이스에서 Single Sign-On을 제공하려면 Workspace ONE Access 기본 제공 ID 제공자에서 Android용 모바일 SSO 인증을 구성합니다.

Android용 모바일 SSO(Single Sign-On)는 VMware Workspace ONE® UEM 관리 Android 디바이스에 대한 인증서 인증 방법을 구현한 것입니다. 모바일 Single Sign-On을 사용하여 사용자는 암호를 다시 입력하지 않고도 해당 디바이스에 로그인하고 Workspace ONE Intelligent Hub 애플리케이션에 해당 애플리케이션에 안전하게 액세스할 수 있습니다.

사전 요구 사항

  • 사용자가 제공한 인증서를 서명한 CA에서 루트 인증서와 중간 인증서를 가져옵니다.
  • 인증서 인증을 위한 유효한 인증서 정책의 OID(개체 식별자) 목록을 만듭니다.
  • 해지 검사의 경우 CRL의 파일 위치 및 OCSP 서버의 URL.
  • (선택 사항) OCSP 응답 서명 인증서 파일 위치.

프로시저

  1. Workspace ONE Access 콘솔에서 통합 > 인증 방법 페이지로 이동하고 모바일 SSO(Android용)를 선택합니다.
  2. 모바일 SSO(Android용)를 클릭하고 Android용 모바일 SSO 인증 설정을 구성합니다.
    옵션 설명
    인증서 어댑터 사용 Android용 모바일 SSO를 사용하도록 설정하려면 이 확인란을 선택합니다.
    루트 및 중간 CA 인증서 업로드할 인증서 파일을 선택합니다. 인코딩된 여러 루트 CA 및 중간 CA 인증서를 선택할 수 있습니다. PEM 또는 DER 파일 형식을 지원합니다.
    업로드된 CA 인증서 업로드된 인증서 파일의 내용이 여기에 표시됩니다.
    사용자 식별자 검색 순서

    인증서에서 사용자 식별자를 찾기 위해 사용되는 검색 순서를 선택합니다.

    • upn. 주체 대체 이름의 UserPrincipalName 값
    • 이메일. 주체 대체 이름의 이메일 주소.
    • 주체. 주체의 UID 값.
    중요: Android용 모바일 SSO 인증의 경우 식별자 특성 값이 Workspace ONE AccessWorkspace ONE UEM 서비스 모두에서 동일해야 합니다. 그렇지 않으면 Android SSO가 실패합니다.
    참고:
    • 터널 클라이언트 인증서 생성에 Workspace ONE UEM CA가 사용되는 경우 사용자 식별자 검색 순서가 UPN | 주체여야 합니다.
    • 타사 엔터프라이즈 CA를 사용하는 경우 사용자 식별자 검색 순서가 UPN | 이메일 | 주체여야 하고 인증서 템플릿에 CN={DeviceUid}:{EnrollmentUser} 주체 이름이 포함되어야 합니다. 콜론(:)을 포함해야 합니다.

    UPN 형식 유효성 검사 UserPrincipalName 필드의 형식이 유효한지 검사하려면 이 확인란을 사용하도록 설정합니다.
    수락된 인증서 정책 인증서 정책 확장에서 수락된 개체 ID 목록을 생성합니다. 인증서 발급 정책에 대한 OID(개체 ID 번호)를 입력합니다. 다른 값 추가를 클릭하여 추가 OID를 추가합니다.
    인증서 해지 사용 인증서 해지 검사를 사용하도록 설정하려면 이 확인란을 선택합니다. 인증서 해지는 사용자 인증서를 해지한 사용자의 인증을 방지합니다.
    인증서의 CRL 사용 인증서를 발급한 CA에서 게시한 CRL(인증서 해지 목록)을 사용하여 인증서 상태(해지됨 또는 해지 안됨)를 확인하려면 이 확인란을 선택합니다.
    CRL 위치 CRL을 검색할 서버 파일 경로 또는 로컬 파일 경로를 입력합니다.
    OCSP 해지 사용 OCSP(온라인 인증서 상태 프로토콜) 인증서 검증 프로토콜을 사용하여 인증서의 해지 상태를 가져오려면 이 확인란을 선택합니다.
    OCSP 실패 시 CRL 사용 CRL 및 OCSP를 둘 다 구성하면 이 확인란을 선택하여 OCSP 검사를 사용할 수 없는 경우 CRL 사용으로 폴백할 수 있습니다.
    OCSP Nonce 전송 OCSP 요청의 고유한 식별자를 응답으로 전송하려면 이 확인란을 선택합니다.
    OCSP URL OCSP 해지를 사용하도록 설정한 경우 해지 검사를 위한 OCSP 서버 주소를 입력합니다.
    OCSP URL 소스 해지 검사에 사용할 소스를 선택합니다.
    • 구성만. 전체 인증서 체인이 유효한지 검사하려면 텍스트 상자에 제공된 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다.
    • 인증서만(필수). 체인에 있는 각 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. 체인에 있는 모든 인증서에 OCSP URL이 정의되어야 하며, 그렇지 않은 경우 인증서 해지 검사가 실패합니다.
    • 인증서만(선택 사항). 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사만 수행합니다. OCSP URL이 인증서 AIA 확장에 존재하지 않는 경우 해지를 검사하지 않습니다.
    • 구성에 대한 폴백이 포함된 인증서. OCSP URL을 사용할 수 있는 경우, 체인에 있는 각 인증서의 AIA 확장에서 추출된 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. OCSP URL이 AIA 확장에 없는 경우 OCSP URL 텍스트 상자에 구성된 OCSP URL을 사용하여 해지를 검사합니다. OCSP URL 텍스트 상자는 OCSP 서버 주소로 구성되어야 합니다.
    OCSP 응답자의 서명 인증서 응답자에 대한 OCSP 인증서 경로를 입력합니다. /path/to/file.cer로 입력합니다.
    OCSP 서명 인증서 업로드함 업로드 된 인증서 파일이 이 섹션에 나열됩니다.
    취소 링크 사용 이 링크를 사용하도록 설정한 경우 인증에 시간이 너무 오래 걸리면 [취소]를 클릭하여 인증 시도를 중지하고 로그인을 취소할 수 있습니다.
    취소 메시지 인증이 너무 오래 걸릴 경우 표시되는 사용자 지정 메시지를 작성합니다. 사용자 지정 메시지를 만들지 않을 경우 기본 메시지는 Attempting to authenticate your credentials입니다.
  3. 저장을 클릭합니다.

다음에 수행할 작업

내장 ID 제공자에서 모바일 SSO(iOS용) 인증 방법을 연결합니다.

Android용 모바일 SSO에 대한 기본 액세스 정책 규칙을 구성합니다.