Workspace ONE Access 서비스에서 FIDO2 인증을 설정하려면 FIDO2 인증을 사용하도록 설정하고, FIDO2 설정을 구성하고, 내장 ID 제공자에서 FIDO2를 사용하도록 설정합니다. 그런 다음, FIDO2를 사용하여 인증하도록 액세스 정책 규칙을 구성합니다.

FIDO2 인증은 Workspace Intelligent Hub 웹 포털을 통해 웹 애플리케이션에 액세스하는 경우에만 사용할 수 있습니다.

사전 요구 사항

시스템 요구 사항

브라우저 운영 체제 인증자 유형
Google Chrome 85 이상 MacOS 10.15.7 TouchID

외부(Yubikey)

Windows 10 Windows Hello

외부(Yubikey)

Safari 14.02 이상 MacOS 10.15.7 외부(Yubikey)
Microsoft Edge Chromium 85 이상 Windows 10 Windows Hello

외부(Yubikey)

Firefox 81 이상 Windows 10 외부(Yubikey)

프로시저

  1. Workspace ONE Access 콘솔의 [ID 및 액세스 관리] 탭에서 관리 > 인증 방법으로 이동합니다.
    1. FIDO2 행에서 연필 아이콘을 클릭합니다.
    2. FIDO2 설정을 구성합니다.
      옵션 설명
      FIDO 어댑터 사용 서비스의 기본 제공 ID 제공자에서 FIDO2 인증을 사용하도록 설정합니다.
      로그인 도중 등록 사용 기본적으로 사용하도록 설정됩니다. FIDO2 인증을 사용하도록 설정한 경우 사용자가 처음 로그인할 때 FIDO2 인증자를 등록하라는 메시지가 표시됩니다.
      최대 인증 시도 횟수 사용자가 액세스 거부 메시지를 수신하기 전에 인증을 시도할 수 있는 횟수입니다.
      증명 전달 기본 설정

      인증자에서 반환된 증명 데이터에는 사용자를 추적하는 데 사용할 수 있는 정보가 있습니다. 이 옵션을 사용하면 Workspace ONE Access 서버에서는 증명 데이터가 FIDO2 등록 이벤트에 얼마나 중요한지를 나타낼 수 있습니다.

      • 없음. 기본값입니다. 이 값은 신뢰 당사자가 인증 자 증명에 관심이 없음을 나타냅니다.
      • 간접. 이 값은 신뢰 당사자가 확인 가능한 증명서를 생성하는 증명 전달을 선호함을 나타내지만 클라이언트는 이러한 증명서를 획득하는 방법을 결정할 수 있습니다.
      • 직접. 이 값은 신뢰 당사자가 인증자에서 생성한 증명서를 수신하려고 함을 나타냅니다.
        참고: 증명 전달 기본 설정이 직접인 경우 TouchID 인증자가 작동하지 않습니다.
      사용자 확인 기본 설정 사용자 확인 처리 방법을 구성합니다.

      필수가 기본값입니다. 이 옵션은 가장 높은 보안을 제공합니다.

      • 권장되지 않음. 이 값은 신뢰 당사자가 인증 중에 사용자 확인이 사용되는 것을 원치 않음을 나타냅니다.
      • 기본 설정. 이 값은 신뢰 당사자가 가능한 경우 사용자 확인을 선호하지만 응답에 UV 플래그가 설정되어 있지 않을 경우 해당 작업이 실패하지 않음을 나타냅니다.
      • 필수. 기본값입니다. 이 값은 신뢰 당사자가 작업에 대해 사용자 확인을 요구하며 응답에 UV 플래그가 설정되지 않을 경우 해당 작업이 실패함을 나타냅니다.
      인증자 유형 기본 설정

      관리자가 사용자를 등록하는 경우 이기종 플랫폼을 선택하십시오. 사용자가 디바이스를 등록하는 경우 플랫폼을 선택합니다. 두 옵션을 모두 사용하려면 모두를 선택하십시오.

      • 플랫폼. 디바이스에 연결된 인증자입니다. Windows Hello를 실행하는 노트북을 예로 들 수 있습니다.
      • 이기종 플랫폼. 이동식 및 이기종 플랫폼에 해당하는 인증자입니다. YubiKey를 예로 들 수 있습니다. 이러한 인증자는 여러 디바이스에서 사용할 수 있습니다.
      • 모두
      인증 시간 초과(초) 요청이 만료되기 전에 응답을 대기하는 시간(초)을 입력합니다. 권장 시간은 180초(3분)입니다.
      작업 유형 (선택 사항)

      AAGUID를 기준으로 특정 FIDO2 보안 키를 허용하거나 해당 AAGUID를 기준으로 특정 FIDO 보안 키를 차단하도록 사용자에 대해 제한을 구성할 수 있습니다.

      작업 유형을 선택한 경우 관리를 위해 AAGUID의 인증자 목록을 구성하십시오.

      AAGUID의 인증자 목록

      작업 유형을 선택한 경우 허용하거나 차단할 모든 인증자 유형의 FIDO2 보안 키 AAGUID를 나열합니다.

      각 인증자는 등록하는 동안 AAGUID(인증자 증명 GUID)를 제공해야 합니다. AAGUID는 인증자의 유형(예: 제조업체 및 모델)을 나타내는 128비트 식별자입니다.

      AAGUID는 대시(-)로 구분된 5개의 16진수 문자열로 표시됩니다(예: 7a98c250-6808-11cf-b73b-00aa00b677a7).

    3. 저장을 클릭합니다.
  2. 관리 > ID 제공자로 이동하고 이미 구성한 기본 제공 ID 제공자를 선택합니다.
    1. 인증 방법 섹션에서 FIDO2를 선택합니다.
    2. 저장을 클릭합니다.

다음에 수행할 작업

정책에서 FIDO2 등록 정책 규칙 및 FIDO2 인증 정책 규칙을 생성합니다.