모바일 SSO(Apple용) 인증을 설정하려면 Workspace ONE Access 콘솔에서 모바일 SSO(Apple용) 인증서 기반 인증 설정을 구성하고 인증서 기반 인증을 위해 발급자 인증서를 업로드합니다.

Workspace ONE Access 콘솔의 통합 > 인증 방법 페이지에서 클라우드 기반 인증 방법을 구성합니다. 인증 방법이 구성된 후 통합 > ID 제공자 페이지에서 인증 방법을 Workspace ONE Access 기본 제공 ID 제공자에 연결하고 리소스 > 정책 페이지에서 인증 방법에 적용할 액세스 정책 규칙을 생성합니다.

모바일 SSO(Apple용) Single Sign-On 인증 인증서 인증 설정을 사용하는 방법

모바일 SSO(Apple용) 인증서 인증을 사용한 로그인을 사용하도록 설정하려면 루트 인증서와 중간 인증서를 Workspace ONE Access 서비스에 업로드해야 합니다. X.509 인증서는 PKI(공용 키 인프라) 표준을 사용하여 인증서 내에 포함된 공용 키가 사용자에게 속하는지 확인합니다.

모바일 SSO(Apple용) 인증서 기반 인증 설정을 구성할 때 인증서 내에서 사용자 식별자를 찾도록 사용자 식별자 검색 순서를 설정합니다. 모바일 SSO(Apple용) 인증의 경우 식별자 특성 값이 Workspace ONE AccessWorkspace ONE UEM 서비스 모두에서 동일해야 합니다. 그렇지 않으면 Apple SSO가 실패합니다.

또한 인증서 정책 확장에서 수락된 개체 식별자(OID) 목록을 생성합니다. OID는 인증서 연습 문에 연결된 식별자입니다. 다음 값은 OID 이름 공간의 예입니다. 1.3.6.1.4.1.{PENnumber}.

사용자 인증서가 있는 사용자가 인증이 해지되지 않도록 인증서 해지 검사를 구성할 수 있습니다. 인증서는 사용자가 조직을 떠나거나 다른 부서로 이동할 경우 해지되기도 합니다.

추가 보안을 위해 인증서를 사용하여 로그인을 인증하기 전에 사용자가 생체 인식 방법을 사용하여 디바이스 잠금을 해제하도록 디바이스 설정 유형을 구성할 수 있습니다. 이 설정이 구성된 경우 사용자가 인증서 인증이 필요한 애플리케이션에 액세스할 때마다 구성한 생체 인식 방법을 입력하라는 메시지가 표시됩니다.

해지 검사 설정 구성

CRL(인증서 해지 목록) 및 OCSP(온라인 인증서 상태 프로토콜)를 사용하는 인증서 해지 검사가 지원됩니다. CRL은 인증서를 발행한 CA에서 게시한 해지된 인증서 목록입니다. OCSP는 인증서의 해지 상태를 가져오는 데 사용되는 인증서 유효성 검사 프로토콜입니다.

동일한 인증서 인증 어댑터 구성에서 CRL 및 OCSP를 둘 다 구성할 수 있습니다. 두 가지 유형의 인증서 해지 검사를 구성하고 OCSP 실패 시 CRL 사용 확인란을 선택한 경우, OCSP가 먼저 검사되고 OCSP가 실패한 경우 해지 검사가 CRL로 폴백됩니다. CRL이 실패해도 해지 검사 중에 OCSP로 폴백되지 않습니다.

인증서 해지를 사용하도록 설정한 경우 Workspace ONE Access 서버는 CRL을 읽어서 사용자 인증서의 해지 상태를 확인합니다. 인증서가 해지된 경우 인증서를 통한 인증이 실패합니다.

OCSP 인증서 검사로 로그인하는 것은 인증서 해지 검사를 수행하는 데 사용되는 CRL(인증서 해지 목록)의 대안입니다.

인증서 기반 인증을 구성할 때 [인증서 해지 사용] 및 [OCSP 해지 사용]을 둘 다 설정한 경우 Workspace ONE Access는 기본, 중간 및 루트 인증서를 포함하는 전체 인증서 체인의 유효성을 검사합니다. 체인의 어느 한 인증서의 검사라도 실패하거나 OCSP URL 호출이 실패하면 해지 검사가 실패합니다.

OCSP URL은 텍스트 상자에서 수동으로 구성하거나, 유효성을 검사하는 인증서의 AIA(Authority Information Access) 확장에서 추출할 수 있습니다.

인증서 인증을 구성할 때 선택한 OCSP 옵션에 따라 Workspace ONE Access에서 OCSP URL을 사용하는 방법이 결정됩니다.

  • 구성만. 전체 인증서 체인이 유효한지 검사하려면 텍스트 상자에 제공된 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. 인증서의 AIA 확장에 포함된 정보는 무시합니다. 해지 검사를 위해서는 OCSP URL 텍스트 상자도 OCSP 서버 주소로 구성해야 합니다.
  • 인증서만(필수). 체인에 있는 각 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. OCSP URL 텍스트 상자의 설정은 무시됩니다. 체인에 있는 모든 인증서에 OCSP URL이 정의되어야 하며, 그렇지 않은 경우 인증서 해지 검사가 실패합니다.
  • 인증서만(선택 사항). 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사만 수행합니다. OCSP URL이 인증서 AIA 확장에 존재하지 않는 경우 해지를 검사하지 않습니다. OCSP URL 텍스트 상자의 설정은 무시됩니다. 이 구성은 해지 검사를 원할 때는 유용하지만, 일부 중간 또는 루트 인증서의 AIA 확장에 OCSP URL이 포함되어 있지 않습니다.
  • 구성에 대한 폴백이 포함된 인증서. OCSP URL을 사용할 수 있는 경우, 체인에 있는 각 인증서의 AIA 확장에서 추출된 OCSP URL을 사용하여 인증서 해지 검사를 수행합니다. OCSP URL이 AIA 확장에 없는 경우 OCSP URL 텍스트 상자에 구성된 OCSP URL을 사용하여 해지를 검사합니다. OCSP URL 텍스트 상자는 OCSP 서버 주소로 구성되어야 합니다.

모바일 SSO(Apple용)에 대한 인증서 인증 구성

사전 요구 사항

  • 모바일 SSO(Apple용) 인증을 위해 업로드할 발급자 인증서를 저장합니다. Workspace ONE UEM 인증서를 사용하는 경우 Workspace ONE UEM Console 시스템 > 엔터프라이즈 통합 > Workspace ONE Access > 구성 페이지에서 루트 인증서를 내보내고 저장하십시오.
  • (선택 사항) 인증서 인증을 위한 유효한 인증서 정책의 OID(개체 식별자) 목록.
  • 해지 검사의 경우 CRL의 파일 위치 및 OCSP 서버의 URL.
  • (선택 사항) OCSP 응답 서명 인증서 파일 위치.
  • (선택 사항) 구성할 생체 인식 인증을 선택합니다.
  1. Workspace ONE Access 콘솔에서 통합 > 인증 방법 페이지로 이동하고 모바일 SSO(Apple용)를 선택합니다.
  2. 구성을 클릭하고 인증서 인증 설정을 구성합니다.

    옵션 설명
    인증서 어댑터 사용 인증서 인증을 사용하도록 설정하려면 로 전환합니다.
    루트 및 중간 CA 인증서

    업로드된 CA 인증서

    		 업로드할 Workspace ONE UEM Console에서 저장한 루트 인증서를 선택합니다.

    업로드된 인증서 파일이 여기에 나열됩니다.
    사용자 식별자 검색 순서 인증서에서 사용자 식별자를 찾기 위한 검색 순서를 선택합니다.

    모바일 SSO(Apple용) 인증의 경우 식별자 특성의 값은 Workspace ONE Access 및 Workspace ONE UEM 서비스 모두에서 동일해야 합니다. 그렇지 않으면 Apple SSO가 실패합니다.

    • upn. 주체 대체 이름의 UserPrincipalName 값입니다.
    • 이메일. 주체 대체 이름의 이메일 주소.
    • 주체. 주체의 UID 값. UID를 주체 DN에서 찾을 수 없는 경우 CN 텍스트 상자가 구성되어 있으면 CN 텍스트 상자의 UID 값이 사용됩니다.
    참고:
    • 클라이언트 인증서 생성에 Workspace ONE UEM CA가 사용되는 경우 사용자 식별자 검색 순서가 UPN | 주체여야 합니다.
    • 타사 엔터프라이즈 CA를 사용하는 경우 사용자 식별자 검색 순서가 UPN | 이메일 | 주체여야 하고 인증서 템플릿에 CN={DeviceUid}:{EnrollmentUser} 주체 이름이 포함되어야 합니다. 콜론(:)을 포함해야 합니다.
    UPN 형식 유효성 검사 로 전환하여 UserPrincipalName 텍스트 상자의 형식을 검증합니다.
    요청 시간 초과 응답을 대기하는 시간(초)을 입력합니다. 0을 입력하면 시스템에서 응답을 무기한 기다립니다.
    수락된 인증서 정책 인증서 정책 확장에서 수락된 개체 식별자 목록을 생성합니다.

    인증서 발급 정책에 대한 OID(개체 ID 번호)를 입력합니다. 추가를 클릭하여 더 많은 OID를 추가합니다.
    인증서 해지 사용 인증서 해지 검사를 사용하도록 설정하려면 로 전환합니다.

    해지 검사는 사용자 인증서를 해지한 사용자의 인증을 방지합니다.
    인증서의 CRL 사용 인증서를 발급한 CA에서 게시한 CRL(인증서 해지 목록)을 사용하여 인증서 상태(해지됨 또는 해지 안됨)를 확인하려면 로 전환합니다.
    CRL 위치 인증서 해지 목록을 검색할 서버 파일 경로 또는 로컬 파일 경로를 입력합니다.
    OCSP 해지 사용 OCSP(온라인 인증서 상태 프로토콜) 인증서 검증 프로토콜을 사용하여 인증서의 해지 상태를 설정하려면 로 전환합니다.
    OCSP 실패 시 CRL 사용 CRL 및 OCSP를 둘 다 설정하는 경우 OCSP 검사 옵션을 사용할 수 없는 경우 폴백에서 CRL을 사용하도록 이 토글을 사용하도록 설정할 수 있습니다.
    OCSP Nonce 전송 OCSP 요청의 고유 식별자를 응답에 보내려면 이 토글을 사용하도록 설정합니다.
    OCSP URL OCSP 해지를 사용하도록 설정한 경우 해지 검사를 위한 OCSP 서버 주소를 입력합니다.
    OCSP URL 소스 해지 검사에 사용할 소스를 선택합니다.
    • 전체 인증서 체인의 유효성을 검사하기 위해 OCSP URL 텍스트 상자에 제공된 OCSP URL을 사용하여 인증서 해지 검사를 수행하려면 구성만을 선택합니다.
    • 이 체인에 있는 각 인증서의 AIA(Authority Information Access) 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사를 수행하려면 인증서만(필수)을 선택합니다. 체인의 모든 인증서에는 OCSP URL이 정의되어 있어야 합니다. 그렇지 않으면 인증서 해지 검사가 실패합니다.
    • 인증서의 AIA 확장에 존재하는 OCSP URL을 사용하여 인증서 해지 검사만 수행하려면 인증서만(선택 사항)을 선택합니다. OCSP URL이 인증서 AIA 확장에 존재하지 않는 경우 해지를 검사하지 않습니다.
    • OCSP URL을 사용할 수 있는 경우, 체인에 있는 각 인증서의 AIA 확장에서 추출된 OCSP URL을 사용하여 인증서 해지 검사를 수행하려면 구성에 대한 폴백이 포함된 인증서를 선택합니다.

      OCSP URL이 AIA 확장에 없는 경우 폴백은 OCSP URL 텍스트 상자에 구성된 OCSP URL을 사용하여 해지를 검사하는 것입니다. OCSP URL 텍스트 상자는 OCSP 서버 주소로 구성되어야 합니다.
    OCSP 응답자의 서명 인증서

    OCSP 서명 인증서 업로드함

    		 업로드할 OCSP 응답자 서명 인증서 파일을 선택합니다.

    업로드된 OCSP 응답자 서명 인증서 파일이 여기에 나열됩니다.

    디바이스 인증 유형 모바일 SSO(Apple용)는 사용자가 디바이스에 있는 인증서를 사용하여 Workspace ONE Access로 인증을 수행하기 전에 생체 인식 메커니즘(FaceID 또는 TouchID) 또는 암호를 사용하여 디바이스를 인증하도록 요구하는 기능을 지원합니다. 사용자가 암호를 백업으로 사용하여 생체 인식 또는 생체 인식으로 확인해야 하는 경우 올바른 옵션을 선택합니다. 그렇지 않으면 없음을 선택합니다.
  3. 저장을 클릭합니다.

    구성 설정은 모바일 SSO(Apple용) 인증 방법 페이지에 표시됩니다.

    Workspace ONE Access 콘솔의 모바일 SSO(Apple용) 인증 구성 화면

기본 제공 ID 제공자 구성

Workspace ONE Access 기본 제공 ID 제공자 페이지에서 사용자가 애플리케이션 포털에 대한 Single Sign-On에 사용하는 사용자, 네트워크 범위 및 인증 방법을 구성합니다.

사전 요구 사항

기본 제공 ID 제공자를 구성하려면 다음 작업을 완료해야 합니다.

  • 엔터프라이즈 디렉토리에 있는 사용자 및 그룹이 Workspace ONE Access 디렉토리와 동기화되어야 합니다.
  • 리소스 > 정책 > 네트워크 범위 페이지에서 네트워크 범위가 생성되어야 합니다.
  • 모바일 SSO(Apple용) 인증 방법이 구성되어야 합니다.

절차

  1. Workspace ONE Access 콘솔의 통합 > ID 제공자 페이지에서 [추가]를 클릭하고 기본 제공 IDP 레이블이 지정된 ID 제공자를 선택하고 ID 제공자 설정을 구성합니다.
    옵션 설명
    ID 제공자 이름 이 내장 ID 제공자 인스턴스의 이름을 입력합니다.
    사용자 인증할 사용자를 선택합니다. 구성한 디렉토리가 나열됩니다.
    커넥터/커넥터 인증 방법 추가 해당 없음
    인증 방법 [통합] > [인증 방법] 페이지에 구성된 인증 방법이 표시됩니다. 모바일 SSO(Apple용)를 선택합니다.
    네트워크 서비스에 구성된 기존 네트워크 범위가 나열됩니다. IP 주소를 기반으로 사용자에 대해 네트워크 범위(인증을 위해 이 ID 제공자 인스턴스로 전송할 네트워크 범위)를 선택합니다.
    KDC 인증서 내보내기 해당 없음
  2. 저장을 클릭합니다.

후속 작업

모바일 SSO(Apple용)에 대한 기본 액세스 정책 규칙을 구성합니다.