모바일 SSO(Apple용) 인증을 설정하려면 Workspace ONE Access 콘솔에서 모바일 SSO(Apple용) 인증서 기반 인증 설정을 구성하고 인증서 기반 인증을 위해 발급자 인증서를 업로드합니다.
Workspace ONE Access 모바일 Single Sign-On(Apple용) 인증 방법은 Workspace ONE UEM 관리 iOS 디바이스(MDM)에 대한 인증서 인증 방법을 구현한 것입니다. 인증서는 UEM 디바이스 프로파일에 배포되고 디바이스가 디바이스 관리에 등록되면 디바이스에 설치됩니다. 사용자가 회사 애플리케이션 및 리소스에 액세스하면 인증서가 자동으로 제공되어 디바이스에서 애플리케이션을 열기 위해 자격 증명을 다시 입력할 필요가 없습니다.
Workspace ONE Access 콘솔 통합 > 인증 방법 페이지에서 클라우드 기반 인증 방법을 구성합니다. 인증 방법이 구성된 후 통합 > ID 제공자 페이지에서 인증 방법을 Workspace ONE Access 기본 제공 ID 제공자에 연결하고 리소스 > 정책 페이지에서 인증 방법에 적용할 액세스 정책 규칙을 생성합니다. Workspace ONE UEM Console에서 Apple SSO 확장 설정을 사용하여 Apple 디바이스 프로파일을 구성하고 Apple iOS 디바이스에 배포할 UEM 인증서의 유형을 정의합니다.
Apple용 모바일 SSO 인증을 위해 모든 구성 요소를 설치하고 구성하는 방법은 Workspace ONE UEM 관리 Apple 모바일 디바이스에 대한 VMware Workspace ONE Access 모바일 SSO(Apple용) 인증 구현 가이드를 참조하십시오.
모바일 SSO(Apple용)에 대한 인증서 인증 구성
사전 요구 사항
- 모바일 SSO(Apple용) 인증을 위해 업로드할 발급자 인증서를 저장합니다. Workspace ONE UEM 인증서를 사용하는 경우 Workspace ONE UEM Console 페이지에서 루트 인증서를 내보내고 저장하십시오.
- (선택 사항) 인증서 인증을 위한 유효한 인증서 정책의 OID(개체 식별자) 목록.
- 해지 검사의 경우 CRL의 파일 위치 및 OCSP 서버의 URL.
- (선택 사항) OCSP 응답 서명 인증서 파일 위치.
- (선택 사항) 구성할 생체 인식 인증을 선택합니다.
- Workspace ONE Access 콘솔에서 모바일 SSO(Apple용)를 선택합니다. 페이지로 이동하고
- 구성을 클릭하고 인증서 인증 설정을 구성합니다.
옵션 설명 인증서 어댑터 사용 인증서 인증을 사용하도록 설정하려면 예로 전환합니다. 루트 및 중간 CA 인증서 업로드된 CA 인증서
업로드할 Workspace ONE UEM Console에서 저장한 루트 인증서를 선택합니다. 업로드된 인증서 파일이 여기에 나열됩니다.
사용자 식별자 검색 순서 인증서에서 사용자 식별자를 찾기 위한 검색 순서를 선택합니다. 모바일 SSO(Apple용) 인증의 경우 식별자 특성의 값은 Workspace ONE Access 및 Workspace ONE UEM 서비스 모두에서 동일해야 합니다. 그렇지 않으면 Apple SSO가 실패합니다.
- upn. 주체 대체 이름의 UserPrincipalName 값입니다.
- 이메일. 주체 대체 이름의 이메일 주소.
- 주체. 주체의 UID 값. UID를 주체 DN에서 찾을 수 없는 경우 CN 텍스트 상자가 구성되어 있으면 CN 텍스트 상자의 UID 값이 사용됩니다.
참고:- 클라이언트 인증서 생성에 Workspace ONE UEM CA가 사용되는 경우 사용자 식별자 검색 순서가 UPN | 주체여야 합니다.
- 타사 엔터프라이즈 CA를 사용하는 경우 사용자 식별자 검색 순서가 UPN | 이메일 | 주체여야 하고 인증서 템플릿에 CN={DeviceUid}:{EnrollmentUser} 주체 이름이 포함되어야 합니다. 콜론(:)을 포함해야 합니다.
UPN 형식 유효성 검사 예로 전환하여 UserPrincipalName 텍스트 상자의 형식을 검증합니다. 요청 시간 초과 응답을 대기하는 시간(초)을 입력합니다. 0을 입력하면 시스템에서 응답을 무기한 기다립니다. 수락된 인증서 정책 인증서 정책 확장에서 수락된 개체 식별자 목록을 생성합니다. 인증서 발급 정책에 대한 OID(개체 ID 번호)를 입력합니다. 추가를 클릭하여 더 많은 OID를 추가합니다.
인증서 해지 사용 인증서 해지 검사를 사용하도록 설정하려면 예로 전환합니다. 해지 검사는 사용자 인증서를 해지한 사용자의 인증을 방지합니다.
인증서의 CRL 사용 인증서를 발급한 CA에서 게시한 CRL(인증서 해지 목록)을 사용하여 인증서 상태(해지됨 또는 해지 안됨)를 확인하려면 예로 전환합니다. CRL 위치 인증서 해지 목록을 검색할 서버 파일 경로 또는 로컬 파일 경로를 입력합니다. OCSP 해지 사용 OCSP(온라인 인증서 상태 프로토콜) 인증서 검증 프로토콜을 사용하여 인증서의 해지 상태를 설정하려면 예로 전환합니다. OCSP 실패 시 CRL 사용 CRL 및 OCSP를 둘 다 설정하는 경우 OCSP 검사 옵션을 사용할 수 없는 경우 폴백에서 CRL을 사용하도록 이 토글을 사용하도록 설정할 수 있습니다. OCSP Nonce 전송 OCSP 요청의 고유 식별자를 응답에 보내려면 이 토글을 사용하도록 설정합니다. OCSP URL OCSP 해지를 사용하도록 설정한 경우 해지 검사를 위한 OCSP 서버 주소를 입력합니다. OCSP URL 소스 해지 검사에 사용할 소스를 선택합니다. - 전체 인증서 체인의 유효성을 검사하기 위해 OCSP URL 텍스트 상자에 제공된 OCSP URL을 사용하여 인증서 해지 검사를 수행하려면 구성만을 선택합니다.
- 이 체인에 있는 각 인증서의 AIA(Authority Information Access) 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사를 수행하려면 인증서만(필수)을 선택합니다. 체인의 모든 인증서에는 OCSP URL이 정의되어 있어야 합니다. 그렇지 않으면 인증서 해지 검사가 실패합니다.
- 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사만 수행하려면 인증서만(선택 사항)을 선택합니다. OCSP URL이 인증서 AIA 확장에 존재하지 않는 경우 해지를 검사하지 않습니다.
- OCSP URL을 사용할 수 있는 경우, 체인에 있는 각 인증서의 AIA 확장에서 추출된 OCSP URL을 사용하여 인증서 해지 검사를 수행하려면 구성에 대한 폴백이 포함된 인증서를 선택합니다.
OCSP URL이 AIA 확장에 없는 경우 폴백은 OCSP URL 텍스트 상자에 구성된 OCSP URL을 사용하여 해지를 검사하는 것입니다. OCSP URL 텍스트 상자는 OCSP 서버 주소로 구성되어야 합니다.
OCSP 응답자의 서명 인증서 OCSP 서명 인증서 업로드함
업로드할 OCSP 응답자 서명 인증서 파일을 선택합니다. 업로드된 OCSP 응답자 서명 인증서 파일이 여기에 나열됩니다.
디바이스 인증 유형 모바일 SSO(Apple용)는 사용자가 디바이스에 있는 인증서를 사용하여 Workspace ONE Access로 인증을 수행하기 전에 생체 인식 메커니즘(FaceID 또는 TouchID) 또는 암호를 사용하여 디바이스를 인증하도록 요구하는 기능을 지원합니다. 사용자가 암호를 백업으로 사용하여 생체 인식 또는 생체 인식으로 확인해야 하는 경우 올바른 옵션을 선택합니다. 그렇지 않으면 없음을 선택합니다. - 저장을 클릭합니다.
구성 설정은 모바일 SSO(Apple용) 인증 방법 페이지에 표시됩니다.
다음에 수행할 작업
기본 제공 ID 제공자에서 모바일 SSO(Apple용) 인증 방법을 연결합니다.
모바일 SSO(Apple용)에 대한 기본 액세스 정책 규칙을 구성합니다.