Workspace ONE Access 및 Horizon 통합의 일부로, 해당 네트워크 범위를 기준으로 올바른 서버에 연결할 수 있도록 네트워크 범위의 클라이언트 액세스 FQDN을 지정합니다. 또한 각 네트워크 범위에 대해 사용자 그룹을 지정하여 사용자를 필터링할 수 있습니다.

참고: 사용자 그룹을 네트워크 범위와 연결하기 위한 옵션은 Workspace ONE Access 클라우드 서비스에서만 사용할 수 있습니다.

Horizon 가상 애플리케이션 수집을 생성하는 경우 마법사는 수집의 포드 및 포드 페더레이션에 대한 클라이언트 액세스 FQDN를 구성하도록 [네트워크 범위] 페이지로 안내합니다. 수집을 생성한 후에는 언제든지 클라이언트 액세스 FQDN을 편집할 수 있습니다.

테넌트의 모든 네트워크 범위에는 Horizon 포드 및 포드 페더레이션에 대해 클라이언트 액세스 FQDN가 설정되어 있어야 합니다. 네트워크 범위에 클라이언트 액세스 FQDN이 정의되어 있지 않은 경우 해당 네트워크 범위를 통해 Horizon 리소스에 액세스하는 사용자가 할당된 애플리케이션 및 데스크톱을 실행할 수 없습니다. 새 네트워크 범위를 생성할 때마다 가상 애플리케이션 수집을 편집하여 Horizon 포드 및 포드 페더레이션에 대한 클라이언트 액세스 FQDN를 새 네트워크 범위에 추가해야 합니다.

다음과 같은 방식으로 Workspace ONE Access에서 클라이언트 액세스 FQDN을 구성할 수 있습니다.

  • 네트워크 범위만 사용하여 사용자를 적절한 클라이언트 액세스 FQDN으로 연결합니다.

    여러 네트워크 범위를 생성하고 각 네트워크 범위에 대해 클라이언트 액세스 FQDN을 지정합니다. 네트워크 범위에 대해 사용자 그룹을 선택하지 마십시오. 모든 사용자는 할당된 Horizon 애플리케이션 및 데스크톱에 액세스하는 네트워크 범위를 기준으로 클라이언트 액세스 FQDN으로 연결됩니다.

    예를 들어 내부 및 외부 액세스를 위해 별도의 네트워크 범위를 생성하고 각 범위에 대해 적절한 클라이언트 액세스 FQDN을 지정할 수 있습니다.

  • 네트워크 범위 및 그룹을 둘 다 사용하여 사용자를 적절한 클라이언트 액세스 FQDN으로 연결합니다.

    여러 네트워크 범위를 생성하고 각 범위에 대해 클라이언트 액세스 FQDN을 지정합니다. 또한 네트워크 범위에 대해 사용자 그룹을 선택합니다. 사용자가 클라이언트 액세스 FQDN에서 Horizon 애플리케이션 및 데스크톱을 실행하려면 해당 클라이언트 IP 주소가 네트워크 범위와 일치해야 하며 네트워크 범위에 대해 선택된 그룹 중 하나 이상에 속해야 합니다. 네트워크 범위에 대해 그룹을 선택하지 않으면 클라이언트 IP 주소가 네트워크 범위와 일치하는 모든 사용자가 해당 네트워크 범위의 클라이언트 액세스 FQDN에서 애플리케이션 및 데스크톱을 실행할 수 있습니다.

    예를 들어 내부 및 외부 액세스를 위해 별도의 네트워크 범위를 생성하고, 영구 직원 그룹에 속하는지 아니면 임시 직원 그룹에 속하는지에 따라 각 범위의 사용자를 필터링할 수 있습니다.

    참고: 여러 네트워크 범위를 생성하지 않으려는 경우 각 가상 애플리케이션 수집에 대한 기본 모든 범위 네트워크 범위에서 사용자 그룹을 구성할 수 있습니다. 선택한 그룹 중 하나에 속하는 사용자만 모든 범위 클라이언트 액세스 FQDN에서 Horizon 애플리케이션 및 데스크톱을 실행할 수 있습니다.

    예를 들어 여러 지역에 포드에 대해 서로 다른 가상 애플리케이션 수집을 생성하고, 지역별로 사용자 그룹을 생성하고, 각 수집에 대해 모든 범위 네트워크 범위에 적합한 사용자 그룹을 선택할 수 있습니다.

겹치는 네트워크 범위를 구성할 경우 Workspace ONE Access는 사용자에게 가장 적합한 범위를 찾기 위해 다음 규칙을 적용합니다.

  • 사용자의 클라이언트 IP 주소가 여러 범위와 일치하고 네트워크 범위에 대해 그룹이 지정되지 않은 경우 가장 최근에 생성된 네트워크 범위가 사용자의 클라이언트 액세스 FQDN을 결정하는 데 사용됩니다.
  • 사용자의 클라이언트 IP 주소가 여러 네트워크 범위와 일치하고 사용자의 그룹이 해당 네트워크 범위 중 하나와만 일치하면 클라이언트 IP 주소 및 그룹 모두와 일치하는 네트워크 범위가 사용자의 클라이언트 액세스 FQDN을 결정하는 데 사용됩니다.
  • 클라이언트 IP 주소가 여러 네트워크 범위와 일치하고 사용자가 해당하는 모든 네트워크 범위에서 하나 이상의 그룹에 속하는 경우 일치하는 사용자 그룹이 가장 많은 네트워크 범위가 사용자의 클라이언트 액세스 FQDN을 결정하는 데 사용됩니다.
  • 클라이언트 IP 주소가 여러 네트워크 범위와 일치하고 일치하는 사용자 그룹의 수가 여러 네트워크 범위에서 동일하면 가장 최근에 생성된 네트워크 범위가 사용자의 클라이언트 액세스 FQDN을 결정하는 데 사용됩니다.

사전 요구 사항

네트워크 범위를 생성하고 편집하려면 [ID 및 액세스 관리] 서비스에서 [설정 관리] 작업을 수행할 수 있는 슈퍼 관리자 역할 또는 사용자 지정 역할이 필요합니다.

프로시저

  1. Workspace ONE Access 콘솔에서 카탈로그 > 가상 애플리케이션 수집 탭을 선택합니다.
  2. Horizon 가상 애플리케이션 수집을 클릭한 다음, 네트워크 범위 탭을 선택합니다.
    참고: Workspace ONE Access 온-프레미스 배포에는 네트워크 범위 탭 대신 네트워크 범위 편집 버튼이 표시됩니다.
  3. 편집할 네트워크 범위를 클릭하거나, 필요한 경우 새 네트워크 범위를 생성합니다.
  4. 새 네트워크 범위를 만드는 경우 이름, 선택적 설명 및 IP 범위를 입력합니다.
  5. (선택 사항) 그룹 멤버 자격 섹션에서 이 네트워크 범위에 연결하려는 사용자 그룹을 선택합니다.
    그룹을 선택하는 경우 이 네트워크 범위와 연결된 클라이언트 액세스 FQDN에서 Horizon 애플리케이션 및 데스크톱을 실행하려면 사용자가 하나 이상의 그룹에 속해야 하고 해당 클라이언트 IP 주소가 네트워크 범위와 일치해야 합니다.

    그룹을 선택하지 않을 경우 클라이언트 IP 주소가 네트워크 범위와 일치하는 모든 사용자가 이 네트워크 범위와 연결된 클라이언트 액세스 FQDN에서 Horizon 애플리케이션 및 데스크톱을 실행할 수 있습니다.

    예:

    이 이미지에는 [네트워크 범위에 포드 할당] 팝업이 표시됩니다. 네트워크 범위에 대해 IP 범위가 지정됩니다. 네트워크 범위에 대해 그룹 A와 그룹 B의 두 그룹도 선택됩니다.
    참고: 그룹 멤버 자격 옵션은 Workspace ONE Access 클라우드 서비스에서만 사용할 수 있습니다. 온-프레미스 배포에 대해서는 사용할 수 없습니다.
  6. 포드 및 페더레이션 섹션으로 스크롤합니다.
    포드 섹션에는 [로컬 할당 동기화] 옵션을 사용하도록 설정한 수집의 모든 Horizon 포드가 나열됩니다. CPA 페더레이션 섹션에는 수집의 포드 페더레이션(있는 경우)이 나열됩니다.

    보기 설정에 대해 네트워크 범위 편집

  7. 각 포드의 포드 섹션을 편집하고 이 네트워크 범위에 적절한 값을 입력합니다.
    옵션 설명
    클라이언트 액세스 FQDN 이 네트워크 범위에서 요청이 들어올 때 이 포드의 로컬 사용 권한에 액세스하는 클라이언트를 보낼 서버의 FQDN(정규화된 도메인 이름)입니다. 이 값은 Horizon 연결 서버, 보안 서버, 로드 밸런서 또는 역방향 프록시 FQDN일 수 있습니다.

    예: internallb.example.com

    포드의 클라이언트 액세스 FQDN은 로컬로 사용 권한이 부여된 리소스를 실행하는 데 사용됩니다.

    포트 서버 포트입니다.
    JWT에서 아티팩트 래핑 유효성 검사 게이트웨이를 통해 Horizon 리소스 실행의 내용을 참조하십시오.
    JWT의 대상 유효성 검사 게이트웨이를 통해 Horizon 리소스 실행의 내용을 참조하십시오.
  8. 각 포드 페더레이션의 CPA 페더레이션 섹션을 편집하고 이 네트워크 범위에 적절한 값을 입력합니다.
    옵션 설명
    클라이언트 액세스 FQDN 이 네트워크 범위에서 요청이 들어올 때 이 포드 페더레이션의 전역 사용 권한에 액세스하는 클라이언트를 보낼 서버의 FQDN(정규화된 도메인 이름)입니다. 일반적으로 포드 페더레이션 배포의 전역 로드 밸런서입니다.

    예: globallb.example.com

    포드 페더레이션의 클라이언트 액세스 FQDN은 전역 사용 권한이 부여된 리소스를 실행하는 데 사용됩니다.

    포트 서버 포트입니다.
    JWT에서 아티팩트 래핑 Workspace ONE Access 서비스가 유효성 검사 게이트웨이(예: F5)와 통합된 경우 이 옵션을 사용하도록 설정하여 사용자에게 할당된 Horizon 리소스를 인증해야 합니다. 유효성 검사 게이트웨이를 통해 Horizon 리소스 실행의 내용을 참조하십시오.
    JWT의 대상 유효성 검사 게이트웨이를 통해 Horizon 리소스 실행의 내용을 참조하십시오.
  9. 저장을 클릭합니다.
  10. 필요한 경우 다른 네트워크 범위를 편집하려면 이 단계를 반복합니다.
    중요: 환경의 각 네트워크 범위에 클라이언트 액세스 FQDN이 설정되어 있는지 확인합니다. 네트워크 범위에 클라이언트 액세스 FQDN이 없는 경우 해당 네트워크 범위를 통해 리소스에 액세스하는 사용자가 해당 Horizon 데스크톱 및 애플리케이션을 실행할 수 없습니다.