정책에는 하나 이상의 액세스 규칙이 포함되어 있습니다. 각 규칙은 전체 애플리케이션 포털 또는 지정된 웹 애플리케이션에 대한 사용자 액세스를 관리하기 위해 구성할 수 있는 설정으로 이루어져 있습니다.

네트워크 범위

각 규칙에 대해 네트워크 범위를 지정하여 사용자 기반을 결정합니다. 네트워크 범위는 하나 이상의 IP 범위로 구성됩니다. 액세스 정책 집합을 구성하기 전에 [ID 및 액세스 관리] 탭의 [설정] > [네트워크 범위] 페이지에서 네트워크 범위를 생성합니다.

디바이스 유형

규칙에서 관리하는 디바이스 유형을 선택합니다. 클라이언트 유형은 웹 브라우저, ID 관리자 클라이언트 앱, iOS, Android 및 모든 디바이스 유형입니다.

인증 방법

정책 규칙에 대한 인증 방법의 우선 순위를 설정합니다. 인증 방법은 나열된 순서대로 적용됩니다. 정책의 인증 방법 및 네트워크 범위 구성을 충족하는 첫 번째 ID 제공자 인스턴스가 선택되고, 사용자 인증 요청이 인증을 위해 ID 제공자 인스턴스로 전달됩니다. 인증이 실패하면 목록의 다음 인증 방법이 선택됩니다. 인증서 인증을 사용하는 경우 이 방법이 목록의 첫 번째 인증 방법이어야 합니다.

사용자가 로그인하기 위해서는 두 가지 인증 방법을 통해 자격 증명을 전달해야 하도록 액세스 정책 규칙을 구성할 수 있습니다. 하나 또는 두 개의 인증 방법이 실패하고 폴백 방법이 구성된 경우, 구성된 다음 인증 방법의 자격 증명을 입력하라는 메시지가 사용자에게 표시됩니다. 다음 두 시나리오에서는 인증 체인의 작동 방법을 설명합니다.

  • 첫 번째 시나리오에서는 사용자가 자신의 암호 및 Kerberos 자격 증명을 사용하여 인증하도록 액세스 정책 규칙이 구성되어 있습니다. 인증을 위해 암호 및 RADIUS 자격 증명을 요구하는 폴백 인증이 설정되어 있습니다. 사용자가 암호는 올바로 입력했지만, Kerberos 인증 자격 증명은 올바로 입력하지 못했습니다. 사용자가 올바른 암호를 입력했기 때문에 폴백 인증 요청은 RADIUS 자격 증명에만 해당합니다. 사용자가 암호를 다시 입력할 필요가 없습니다.

  • 두 번째 시나리오에서는 사용자가 자신의 암호 및 Kerberos 자격 증명을 사용하여 인증하도록 액세스 정책 규칙이 구성되어 있습니다. 인증을 위해 RSA SecurID 및 RADIUS를 요구하는 폴백 인증이 설정되어 있습니다. 사용자가 암호는 올바로 입력했지만, Kerberos 인증 자격 증명은 올바로 입력하지 못했습니다. 폴백 인증 요청은 인증을 위해 RSA SecurID 자격 증명과 RADIUS 자격 증명 모두에 해당합니다.

인증 세션 기간

각 규칙에 대해 이 인증이 유효한 기간을 설정합니다. 이 값은 마지막 인증 이벤트 후 사용자가 포털에 액세스하거나 특정 웹 애플리케이션을 시작할 수 있는 최대 시간을 결정합니다. 예를 들어, 웹 애플리케이션 규칙에서 값을 4로 지정하는 경우 사용자가 시간을 연장하는 다른 인증 이벤트를 시작하지 않는다면 4시간 동안 웹 애플리케이션을 시작할 수 있습니다.

사용자 지정 액세스 거부 오류 메시지

사용자가 잘못된 자격 증명, 잘못된 구성 또는 시스템 오류 때문에 로그인에 실패하면 액세스 거부 메시지가 표시됩니다. 기본 메시지는 다음과 같습니다.

유효한 인증 방법을 찾지 못했기 때문에 액세스가 거부되었습니다.

기본 메시지를 재정의하는 각 액세스 정책 규칙에 대해 사용자 지정 오류 메시지를 만들 수 있습니다. 사용자 지정 메시지에는 조치 메시지에 대한 텍스트 및 링크가 포함될 수 있습니다. 예를 들어 관리하려는 모바일 디바이스의 정책 규칙에서 사용자가 등록되지 않은 디바이스에서 로그인하려고 하면 다음의 사용자 지정 오류 메시지가 표시될 수 있습니다.

이 메시지 끝에 나오는 링크를 클릭하여 회사 리소스에 액세스할 수 있게 디바이스를 등록하십시오. 디바이스가 이미 등록된 경우 지원을 요청하십시오.

기본 정책 예

다음 정책은 애플리케이션 포털에 대한 액세스를 제어하기 위해 기본 정책을 구성할 수 있는 방법에 대한 예제 역할을 합니다. 사용자 액세스 정책 관리 항목을 참조하십시오.

정책 규칙은 나열된 순서대로 평가됩니다. [정책 규칙] 섹션에서 규칙을 끌어서 놓으면 정책 순서를 변경할 수 있습니다.

다음 사용 사례에서 이 예제 정책은 모든 애플리케이션에 적용됩니다.

    • 내부 네트워크(내부 네트워크 범위)의 경우 규칙에 대한 두 개의 인증 방법(Kerberos 및 암호 인증)이 폴백 방법으로 구성되어 있습니다. 내부 네트워크에서 앱 포털에 액세스하기 위해 서비스는 먼저 Kerberos 인증을 사용하여 사용자를 인증합니다. 이 방법이 규칙에 나열된 첫 번째 인증 방법이기 때문입니다. 이 방법이 실패할 경우 사용자에게 Active Directory 암호를 입력하라는 메시지가 표시됩니다. 사용자는 브라우저를 사용하여 로그인하고 이제 8시간 세션 동안 사용자 포털에 대한 액세스 권한을 갖습니다.

    • 외부 네트워크(모든 범위)에서 액세스할 경우 하나의 인증 방법 RSA SecurID만 구성되어 있습니다. 외부 네트워크에서 앱 포털에 액세스하려면 사용자가 SecurID를 사용하여 로그인해야 합니다. 사용자는 브라우저를 사용하여 로그인하고 이제 4시간 세션 동안 사용자 앱 포털에 대한 액세스 권한을 갖습니다.

  1. 사용자가 리소스에 액세스할 경우 웹 애플리케이션 관련 정책이 적용되는 웹 애플리케케이션을 제외하고 기본 포털 액세스 정책이 적용됩니다.

    예를 들어, 해당 리소스의 재인증 시간은 기본 액세스 정책 규칙의 재인증 시간과 일치합니다. 앱 포털에 로그인한 사용자의 시간이 기본 액세스 정책 규칙에 따라 8시간일 경우 세션 중에 사용자가 리소스를 시작하면 사용자를 재인증하지 않고도 애플리케이션이 시작됩니다.