Workspace ONE Access 서비스의 기본 액세스 정책에서 FIDO2에 대한 두 가지 정책 규칙인 등록 규칙과 인증 규칙을 생성합니다.
사전 요구 사항
FIDO2 인증은 Workspace ONE Access 서비스에서 사용하도록 설정되고 구성됩니다. 자세한 내용은 Workspace ONE Access에서 FIDO2 암호없는 인증을 구성하는 방법(클라우드만 해당)
프로시저
- Workspace ONE Access 콘솔의 리소스 > 정책 페이지에서 기본 정책 편집을 선택합니다.
- 다음을 클릭하여 [구성] 페이지를 엽니다.
- 등록 규칙을 생성하려면 정책 규칙 추가를 클릭합니다.
옵션 설명 가령 사용자의 네트워크 범위가 네트워크 범위를 선택합니다. 선택하는 네트워크 범위에 FIDO2 등록에 사용되는 모든 최종 사용자 IP 주소가 포함되는지 확인합니다.참고: [모든 범위]를 선택하는 경우 정의된 IP 주소가 모든 가능한 최종 사용자 클라이언트 IP 범위를 포함하는지 확인합니다.사용자가 컨텐츠에 액세스하는 위치 디바이스 유형 모든 디바이스 유형을 선택합니다. 및 사용자 소속 그룹: 이 액세스 규칙을 특정 그룹에 적용하려는 경우 검색 상자에서 그룹을 검색합니다. 그룹을 선택하지 않으면 이 액세스 정책 규칙이 모든 사용자에게 적용됩니다.
사용자가 FIDO2 인증자를 등록하고 있습니다. 이 인증자를 예로 설정합니다. 그런 다음 이 작업 수행 인증 방법...을 선택합니다. 및 사용자 인증 방법: 사용자가 계정에 대한 인증자 등록을 허용하기 전에 사용자에게 제공된 인증 방법을 구성합니다. 앞선 방법이 실패하거나 적용되지 않는 경우 (선택 사항) 폴백 인증 방법을 구성합니다. 참고: Workspace ONE Access 콘솔에서 FIDO2 키를 등록하는 경우 등록 정책 규칙이 필요하지 않습니다. - 저장을 클릭합니다. [구성] 페이지가 표시됩니다.
- 인증 규칙을 생성하려면 정책 규칙 추가를 클릭합니다.
옵션 설명 가령 사용자의 네트워크 범위가 네트워크 범위를 선택합니다. 사용자가 컨텐츠에 액세스하는 위치 디바이스 유형 모든 디바이스 유형을 선택합니다. 및 사용자 소속 그룹: 이 액세스 규칙을 특정 그룹에 적용하려는 경우 검색 상자에서 그룹을 검색합니다. 그룹을 선택하지 않으면 이 액세스 정책 규칙이 모든 사용자에게 적용됩니다.
사용자가 FIDO2 인증자를 등록하고 있습니다. 아니요로 전환합니다. 그런 다음 이 작업 수행 인증 방법을 선택합니다. 및 사용자 인증 방법: FIDO2를 선택합니다. 앞선 방법이 실패하거나 적용되지 않는 경우 (선택 사항) - 저장을 클릭합니다.
- [구성] 페이지에서 FIDO 등록 정책 규칙을 FIDO2 인증 정책 규칙 위로 이동하여 사용자가 등록할 수 있도록 합니다.
- 다음을 클릭한 후 저장을 클릭합니다.
로그인 시 액세스 거부 문제 해결
사용자가 로그인하고 액세스 거부 메시지를 수신하면 액세스 정책이 올바르게 구성되지 않을 수 있습니다.
- Workspace ONE Access 콘솔에서 모니터 > 보고서 페이지를 열고 감사 이벤트 보고서를 선택합니다.
- 보고서를 생성합니다. 사용자 이름을 선택하고 유형에 대해 LOGIN_ERROR를 선택합니다.
- 세부 정보 보기를 선택합니다.
이벤트 로그에서 로그 항목에 "requestParams" : "[fido2Enrollment]", "message" : "No matching policy found."가 표시되면, FIDO2 최종 사용자 등록 정책 규칙이 필요한 모든 IP 범위를 포함하는지 확인합니다. [모든 범위] 설정을 검토하여 [모든 범위]가 실제로 모든 범위인지 확인합니다.
