VMware Identity Manager 관리...[사용자 지정 브랜딩] 페이지에서 관리 콘솔...

VMware IdentityManager 관리

VMware Identity Manager 2.8

VMware Identity Manager 관리

2 VMware, Inc.

VMware 웹 사이트 (https://docs.vmware.com/kr/) 에서 최신 기술 문서를 확인할 수 있습니다.

또한 VMware 웹 사이트에서 최신 제품 업데이트를 제공합니다.

이 문서에 대한 의견이 있으면 [email protected]으로 사용자 의견을 보내주십시오.

Copyright © 2013–2016 VMware, Inc. 판권 소유. 저작권 및 상표 정보.

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

https://docs.vmware.com/kr/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

목차

VMware Identity Manager 관리 정보 7

1 VMware Identity Manager 관리 콘솔에서 작업 9

관리 콘솔에서 탐색 9

ID 및 액세스 관리 세팅 개요 10

2 엔터프라이즈 디렉토리와 통합 13

디렉토리 통합과 관련된 중요한 개념 13

3 Active Directory와 통합 15

Active Directory 환경 15

도메인 컨트롤러 선택 정보(domain_krb.properties 파일) 17

Active Directory에서 동기화하는 사용자 특성 관리 21

도메인 가입에 필요한 사용 권한 22

서비스에 대한 Active Directory 연결 구성 23

사용자가 Active Directory 암호를 변경하도록 허용 27

디렉토리 동기화 세이프가드 설정 28

4 LDAP 디렉토리와 통합 31

LDAP 디렉토리 통합의 제한 사항 31

LDAP 디렉토리와 서비스 통합 32

5 로컬 디렉토리 사용 37

로컬 디렉토리 생성 38

로컬 디렉토리 설정 변경 42

로컬 디렉토리 삭제 43

시스템 관리자를 위한 인증 방법 구성 44

6 Just-in-Time 사용자 프로비저닝 45

Just-in-Time 사용자 프로비저닝 정보 45

Just-in-Time 프로비저닝 준비 46

Just-in-Time 사용자 프로비저닝 구성 48

SAML 어설션에 대한 요구 사항 48

Just-in-Time 사용자 프로비저닝 사용 안 함 49

Just-in-Time 디렉토리 삭제 50

오류 메시지 50

7 VMware Identity Manager 에서 사용자 인증 구성 53

VMware Identity Manager 에 대한 Kerberos 구성 54

VMware Identity Manager 의 SecurID 구성 58

VMware Identity Manager 에 대한 RADIUS 구성 60

VMware, Inc. 3

VMware Identity Manager에서 RSA 어댑티브 인증 구성 62

VMware Identity Manager 와 함께 사용할 인증서 또는 스마트 카드 어댑터 구성 65

2단계 인증을 위한 VMware Verify 구성 68

기본 제공 ID 제공자 구성 69

추가 Workspace ID 제공자 구성 71

사용자를 인증하도록 타사 ID 제공자 인스턴스 구성 72

사용자에게 적용하기 위한 인증 방법 관리 74

8 액세스 정책 관리 77

액세스 정책 설정 구성 77

웹 및 데스크톱 애플리케이션 관련 정책 관리 79

웹 또는 데스크톱 애플리케이션별 정책 추가 81

사용자 지정 액세스 거부 오류 메시지 구성 82

액세스 정책 편집 83

모바일 디바이스에서 영구 쿠키 사용 83

9 사용자 및 그룹 관리 85

사용자 및 그룹 유형 85

사용자 이름 및 그룹 이름 정보 86

사용자 관리 87

그룹 생성 및 그룹 규칙 구성 88

그룹 규칙 편집 90

그룹에 리소스 추가 90

로컬 사용자 생성 91

암호 관리 93

10 카탈로그 관리 95

카탈로그에서 리소스 관리 95

리소스를 범주로 그룹화 99

카탈로그 설정 관리 100

11 관리 콘솔 대시보드에서 작업 107

대시보드에서 사용자 및 리소스 사용량 모니터링 107

시스템 정보 및 상태 모니터링 108

보고서 보기 108

12 사용자 지정 브랜딩 VMware Identity Manager 서비스 111

VMware Identity Manager 에서 브랜딩 사용자 지정 111

사용자 포털에 대한 브랜딩 사용자 지정 112

VMware Verify 애플리케이션에 대한 브랜딩 사용자 지정 113

13 AirWatch와 VMware Identity Manager 통합 115

VMware Identity Manager와의 통합을 위한 AirWatch 설정 115

VMware Identity Manager에서 AirWatch 인스턴스 설정 118

AirWatch에 대한 통합 카탈로그 사용 119

AirWatch Cloud Connector를 사용하여 인증 구현 120

AirWatch 관리 iOS 디바이스에 대한 모바일 Single Sign-On 인증 구현 122

Android 디바이스에 대한 모바일 Single Sign-On 인증 구현 129


4 VMware, Inc.

AirWatch 관리 디바이스에 대한 규정 준수 검사 사용 135

색인 137

목차

VMware, Inc. 5


6 VMware, Inc.

VMware Identity Manager 관리 정보

VMware Identity Manager 관리에서는 VMware Identity Manager 서비스의 사용 및 유지 관리에 대한 정보와 지침을 제공합니다. VMware Identity Manager™를 사용하여 인증 방법 및 액세스 정책을 설정 및 관리하고, 조직의 애플리케이션에 대한 리소스 카탈로그를 사용자 지정할 수 있습니다. 그리고 해당 리소스에 대해 안전하고 다중 디바이스 및 사용자 관리 방식의 액세스를 제공할 수 있습니다. 이러한 리소스에는 웹 애플리케이션, ThinApp 패키지로 캡처된 Windows 애플리케이션, Citrix 기반 애플리케이션, View 데스크톱 및 애플리케이션 풀이 포함됩니다.

대상이 정보는 VMware Identity Manager를 구성하고 관리하는 모든 사용자를 대상으로 합니다. 이 정보는 가상 시스템 기술, ID 관리, Kerberos 및 디렉토리 서비스를 잘 아는 숙련된 Windows 또는 Linux시스템 관리자를 위해 작성되었습니다. VMware ThinApp®, View, Citrix 애플리케이션 가상화와 같은 기타 기술과 RSA SecurID와 같은 인증 방법에 대한 지식이 있으면 해당 기술을 구현하는 데 도움이됩니다.

VMware, Inc. 7


8 VMware, Inc.

VMware Identity Manager 관리콘솔에서 작업 1

VMware Identity Manager™ 관리 콘솔에서는 사용자와 그룹을 관리하고, 카탈로그에 리소스를 추가하고, 카탈로그에 있는 리소스의 사용 권한을 관리하고, AirWatch 통합을 구성하고, 인증 및 액세스 정책을 설정 및 관리할 수 있는 중앙 관리 콘솔을 제공합니다.

관리 콘솔에서 수행하는 주요 작업은 사용자 인증 및 액세스 정책을 관리하고 사용자에게 리소스 사용 권한을 부여하는 것입니다. 다른 작업은 조건에 따라 리소스별로 사용자나 그룹에 부여되는 사용 권한을 구체적으로 제어하여 이 주요 작업을 지원합니다.

최종 사용자는 데스크톱 또는 모바일 디바이스에서 VMware Workspace™ ONE™ 포털에 로그인하여데스크톱, 브라우저, 공유 회사 문서 및 사용자에게 사용 권한이 있는 다양한 유형의 애플리케이션을 비롯한 업무 리소스에 액세스할 수 있습니다.

이 장에서는 다음 주제에 대해 설명합니다.

n “관리 콘솔에서 탐색,”(9 페이지)

n “ID 및 액세스 관리 세팅 개요,”(10 페이지)

관리 콘솔에서 탐색관리 콘솔의 작업은 탭으로 구성되어 있습니다.

탭 설명

대시보드

[사용자 활동] 대시보드를 사용하여 사용자 및 리소스 사용을 모니터링할 수 있습니다. 이 대시보드에는 로그인한 사람, 사용 중인 애플리케이션, 사용 빈도에 대한 정보가 표시됩니다.

시스템 진단 대시보드에는 사용자 환경에 있는 서비스의 상태에 대한 자세한 개요와 서비스에 대한 기타 정보가 표시됩니다.

보고서를 생성하여 사용자 및 그룹의 활동, 리소스 및 디바이스 사용 및 사용자별 감사 이벤트를 추적할 수있습니다.

사용자및 그룹

[사용자 및 그룹] 탭에서는 Active Directory 또는 LDAP 디렉토리에서 가져온 사용자 및 그룹을 관리 및모니터링하고, 로컬 사용자 및 그룹을 생성하고, 사용자 및 그룹에게 리소스에 대한 사용 권한을 부여할 수있습니다. 로컬 사용자의 암호 정책을 구성할 수 있습니다.

카탈로그

카탈로그는 사용자에게 사용 권한을 부여할 수 있는 모든 리소스가 포함된 저장소입니다. [카탈로그] 탭에서웹 애플리케이션, ThinApp 패키지, View 풀 및 애플리케이션, Horizon Air 데스크톱, Citrix 기반 애플리케이션을 추가할 수 있습니다. 새 애플리케이션을 생성하고, 애플리케이션을 카테고리로 그룹화하고, 각리소스에 대한 정보에 액세스할 수 있습니다. [카탈로그 설정] 페이지에서는 SAML 인증서를 다운로드하고, 리소스 구성을 관리하고, 사용자 포털의 모양을 사용자 지정할 수 있습니다.

ID 및액세스관리

[ID 및 액세스 관리] 탭에서 커넥터 서비스를 설정하고, AirWatch 통합을 구성하고, 인증 방법을 설정하고, 로그인 페이지 및 관리 콘솔에 사용자 지정 브랜딩을 적용할 수 있습니다. 디렉토리 설정, ID 제공자 및액세스 정책을 관리할 수 있습니다. 타사 ID 제공자를 구성할 수도 있습니다.

장치 설정

[장치 설정] 탭에서는 장치에 대한 SSL 인증서 구성을 포함하여 장치의 구성을 관리하고, 서비스 관리자 및시스템 암호를 변경하고, 기타 인프라 기능을 관리할 수 있습니다. 라이센스 설정을 업데이트하고 SMTP 설정을 구성할 수도 있습니다.

VMware, Inc. 9

관리 콘솔 액세스가 지원되는 웹 브라우저

VMware Identity Manager 관리 콘솔은 테넌트 관리에 사용하는 웹 기반 애플리케이션입니다. 다음과 같은 브라우저에서 관리 콘솔에 액세스할 수 있습니다.

n Windows 시스템용 Internet Explorer 11

n Windows 및 Mac 시스템용 Google Chrome 42.0 이상

n Windows 및 Mac 시스템용 Mozilla Firefox 40 이상

n Mac 시스템용 Safari 6.2.8 이상

참고 Internet Explorer 11의 경우에는 VMware Identity Manager를 통해 인증하려면JavaScript를 사용하도록 설정하고 쿠키를 허용해야 합니다.

VMware Identity Manager 최종 사용자 구성 요소

사용자는 Workspace ONE 포털에서 사용 권한이 있는 리소스에 액세스할 수 있습니다.

Identity Manager 데스크톱에서는 ThinApp 패키지로 캡처한, 가상화된 Windows 애플리케이션에액세스할 수 있습니다.

표 1‑1. 사용자 클라이언트 구성 요소

사용자 구성 요소 설명 사용 가능한 끝점

Workspace ONE 사용자 애플리케이션 포털

애플리케이션 포털은 에이전트가 없는 웹 기반 애플리케이션입니다. 사용자가 사용 권한이 부여된 리소스에 액세스하여 브라우저에서 사용할 때 사용되는기본 인터페이스입니다.

사용 권한이 부여된 ThinApp 애플리케이션이 있고,Identity Manager 데스크톱이 설치되어 있으며 활성 상태인 Windows 컴퓨터에 있는 최종 사용자는이 애플리케이션 포털에서 사용 권한을 가진ThinApp 패키지를 보고 실행할 수 있습니다.

웹 기반 애플리케이션 포털은 Windows 컴퓨터,Mac 컴퓨터, iOS 디바이스, Android 디바이스와같은 모든 지원되는 시스템끝점에서 사용할 수 있습니다.

Identity Manager 데스크톱 이 프로그램이 사용자의 Windows 컴퓨터에 설치되어 있으면 ThinApp 패키지로 캡처된, 가상화된Windows 애플리케이션에서 작동할 수 있습니다.

Windows 컴퓨터

ID 및 액세스 관리 세팅 개요관리 콘솔의 [ID 및 액세스 관리] 탭에서는 인증 방법, 액세스 정책, 디렉토리 서비스를 설정 및 관리하고최종 사용자 포털과 관리 콘솔의 모양과 느낌을 사용자 지정할 수 있습니다.

다음은 [ID 및 액세스 관리] 탭의 설정 세팅에 대한 설명입니다.

그림 1‑1. ID 및 액세스 관리 설정 페이지


10 VMware, Inc.

표 1‑2. ID 및 액세스 관리 설정 지정

설정 설명

[설정] > [커넥터] [커넥터] 페이지에는 엔터프라이즈 네트워크 내에 배포된 커넥터가 나열됩니다. 커넥터는 엔터프라이즈 디렉토리와 서비스 간에 사용자 및 그룹 데이터를 동기화하는 데 사용되며, ID 제공자로 사용되는 경우에는 서비스에 대해 사용자를 인증합니다.

디렉토리를 커넥터 인스턴스와 연결하는 경우 커넥터가 작업자라고 하는 연결된 디렉토리에 대한 파티션을 생성합니다. 커넥터 인스턴스에는 해당 인스턴스와 연결된 여러 작업자가 있을 수 있습니다. 각 작업자는 ID 제공자 역할을 합니다. 작업자별로 인증 방법을정의 및 구성합니다.

커넥터는 하나 이상의 작업자를 통해 엔터프라이즈 디렉토리와 서비스 간의 사용자 및 그룹 데이터를 동기화합니다.n [작업자] 열에서 커넥터의 세부 정보를 볼 작업자를 선택하고 사용 가능한 인증 방법의 상태를 볼 [인증 어댑터] 페이지로 이동합니다. 인증에 대한 자세한 내용은 7장,“VMware Identity Manager에서 사용자 인증 구성,”(53 페이지)의 내용을참조하십시오.

n [ID 제공자] 열에서 보거나 편집하거나 사용하지 않도록 설정할 IdP를 선택합니다. “ID 제공자 인스턴스 추가 및 구성,”(72 페이지)의 내용을 참조하십시오.

n [연결된 디렉토리] 열에서 이 작업자와 연결된 디렉토리에 액세스합니다.

새 커넥터를 추가하려면 먼저 [커넥터 추가]를 클릭하여 활성화 코드를 생성한 후 설정마법사에 붙여 넣어서 커넥터와의 통신을 설정해야 합니다.

도메인 가입 링크n [도메인 가입]을 클릭하여 커넥터를 특정 Active Directory 도메인에 가입시킵니다. 예를 들어 Kerberos 인증을 구성하는 경우 사용자를 포함하고 있거나 사용자를포함하고 있는 도메인과 신뢰 관계를 형성하고 있는 Active Directory 도메인에 가입해야 합니다.

n Windows 통합 인증 Active Directory로 디렉토리를 구성하는 경우 커넥터가 구성 세부 정보에 따라 도메인에 가입합니다.

[설정] > [사용자 지정 브랜딩]

[사용자 지정 브랜딩] 페이지에서 관리 콘솔 헤더와 로그인 화면의 모양을 사용자 지정할수 있습니다. “VMware Identity Manager에서 브랜딩 사용자 지정,”(111 페이지)의 내용을 참조하십시오.

최종 사용자 웹 포털, 모바일 및 태블릿 보기를 사용자 지정하려면 [카탈로그] > [설정]> [사용자 포털 브랜딩]으로 이동합니다. “사용자 포털에 대한 브랜딩 사용자 지정,”(112 페이지)의 내용을 참조하십시오.

[설정] > [사용자 특성] [사용자 특성] 페이지에는 디렉토리에서 동기화되는 기본 사용자 특성을 나열됩니다.Active Directory 특성에 매핑할 수 있는 다른 특성을 추가할 수 있습니다. “디렉토리와의 동기화를 위해 특성 선택,”(21 페이지)의 내용을 참조하십시오.

[설정] > [네트워크 범위] 이 페이지에는 추가한 네트워크 범위의 목록이 표시됩니다. 사용자가 해당 IP 주소를 통해 액세스하도록 네트워크 범위를 구성합니다. 추가 네트워크 범위를 추가하고 기존 범위를 편집할 수 있습니다. “네트워크 범위 추가 또는 편집,”(74 페이지)의 내용을 참조하십시오.

[설정] > [자동 검색] VMware Identity Manager와 AirWatch가 통합된 경우 AirWatch 구성에서 배포한 Windows 자동 검색 서비스를 VMware Identity Manager 서비스와 통합할 수있습니다. AirWatch에서 자동 검색을 설정하는 방법에 대한 자세한 내용은 AirWatch웹 사이트(http://air-watch.com/ko/)에서 제공되는 AirWatch 설명서인 VMwareAirWatch Windows 자동 검색 서비스 설치 가이드를 참조하십시오.

사용자가 Workspace ONE을 사용하여 애플리케이션 포털에 쉽게 액세스할 수 있도록자동 검색 서비스를 사용할 이메일 도메인을 등록합니다. 최종 사용자는 WorkspaceONE을 통해 애플리케이션 포털에 액세스할 때 조직의 URL 대신 자신의 이메일 주소를입력할 수 있습니다.

자동 검색에 대한 자세한 정보는 "디바이스에서 VMware Workspace ONE 애플리케이션 설정" 가이드의 내용을 참조하십시오.

1장 VMware Identity Manager 관리 콘솔에서 작업

VMware, Inc. 11

표 1‑2. ID 및 액세스 관리 설정 지정 (계속)

설정 설명

[설정] > [AirWatch] 이 페이지에서는 AirWatch와의 통합을 설정할 수 있습니다. 통합을 설정하고 저장한 후에는 AirWatch 카탈로그에 설정된 애플리케이션을 통합 카탈로그에 병합하도록 통합카탈로그를 사용하도록 설정하고, 규정 준수 검사를 통해 관리되는 디바이스가AirWatch 규정 준수 정책을 지키는지 확인하도록 설정하고, ACC(AirWatch CloudConnector)를 통해 사용자 암호 인증을 사용하도록 설정할 수 있습니다. 13장,“AirWatch와 VMware Identity Manager 통합,”(115 페이지)의 내용을 참조하십시오.

[설정] > [환경설정] [환경설정] 페이지에는 관리자가 사용하도록 설정할 수 있는 기능이 표시됩니다. 여기에는 다음이 포함됩니다.n 이 페이지에서 영구 쿠키를 사용하도록 설정할 수 있습니다. “영구 쿠키 사용,”

(84 페이지)의 내용을 참조하십시오.n 서비스에 로컬 사용자가 구성되어 있는 경우 로컬 사용자를 [로그인] 페이지의 도메인 옵션으로 표시하려면 로그인 페이지에 로컬 사용자 표시를 사용하도록 설정합니다.

다음은 [ID 및 액세스 관리] 탭에서 서비스 관리에 사용되는 세팅에 대한 설명입니다.

그림 1‑2. ID 및 액세스 관리의 관리 페이지

표 1‑3. ID 및 액세스 관리의 관리 세팅

설정 설명

[관리] > [디렉토리] [디렉토리] 페이지에는 생성한 디렉토리가 표시됩니다. 하나 이상의 디렉토리를 생성한다음 해당 디렉토리를 엔터프라이즈 디렉토리 배포와 동기화합니다. 이 페이지에서는 디렉토리에 동기화된 그룹 및 사용자의 수와 마지막 동기화 시간을 볼 수 있습니다. [지금동기화]를 클릭하여 디렉토리 동기화를 시작할 수 있습니다.

2장, “엔터프라이즈 디렉토리와 통합,”(13 페이지)의 내용을 참조하십시오.

디렉토리 이름을 클릭하면 동기화 설정을 편집하고, [ID 제공자] 페이지를 탐색하고, 동기화 로그를 볼 수 있습니다.

[디렉토리 동기화 설정] 페이지에서는 동기화 빈도를 스케줄링하고, 이 디렉토리와 연결된 도메인 목록을 보고, 매핑된 특성 목록을 변경하고, 동기화되는 사용자 및 그룹 목록을 업데이트하고, 세이프가드 대상을 설정할 수 있습니다.

[관리] > [ID 제공자] [ID 제공자] 페이지에는 구성한 ID 제공자가 표시됩니다. 커넥터는 초기 ID 제공자입니다. 타사 ID 제공자 인스턴스를 추가하거나 두 가지 모두의 조합을 가질 수 있습니다. 인증에 대해 VMware Identity Manager 기본 제공 ID 제공자를 구성할 수 있습니다.

“ID 제공자 인스턴스 추가 및 구성,”(72 페이지)의 내용을 참조하십시오.

[관리] > [암호 복구 지원] [암호 복구 지원] 페이지에서는 최종 사용자가 로그인 화면에서 "암호를 잊은 경우"를 클릭했을 때의 기본 동작을 변경할 수 있습니다.

[관리] > [정책] [정책] 페이지는 기본 액세스 정책 및 사용자가 생성한 기타 웹 애플리케이션 액세스 정책을 나열합니다. 정책은 사용자가 내 애플리케이션 포털에 액세스하거나 활성화된 웹 애플리케이션을 시작하기 위해 충족되어야 하는 기준을 지정하는 일련의 규칙입니다. 기본정책을 편집할 수 있으며, 카탈로그에 웹 애플리케이션이 추가된 경우에는 새 정책을 추가하여 이러한 웹 애플리케이션에 대한 액세스를 관리할 수 있습니다. 8장, “액세스 정책 관리,”(77 페이지)의 내용을 참조하십시오.


12 VMware, Inc.

엔터프라이즈 디렉토리와 통합 2VMware Identity Manager를 엔터프라이즈 디렉토리와 통합하여 엔터프라이즈 디렉토리에서VMware Identity Manager 서비스로 사용자 및 그룹을 동기화할 수 있습니다.

다음 유형의 디렉토리가 지원됩니다.

n LDAP를 통한 Active Directory

n Active Directory, Windows 통합 인증

n LDAP 디렉토리

엔터프라이즈 디렉토리와 통합하려면 다음 작업을 수행합니다.

n VMware Identity Manager 서비스에서 사용자에게 할당하려는 특성을 지정합니다.

n VMware Identity Manager 서비스에서 엔터프라이즈 디렉토리와 동일한 유형의 디렉토리를 만들고 연결 세부 정보를 지정합니다.

n VMware Identity Manager 특성을 Active Directory 또는 LDAP 디렉토리에서 사용되는 특성에 매핑합니다.

n 동기화할 사용자 및 그룹을 지정합니다.

n 사용자 및 그룹을 동기화합니다.

엔터프라이즈 디렉토리를 통합하고 초기 동기화를 수행한 후에는 구성을 업데이트하거나, 정기적으로 동기화할 동기화 스케줄을 설정하거나, 언제든지 동기화를 시작할 수 있습니다.

디렉토리 통합과 관련된 중요한 개념VMware Identity Manager 서비스가 Active Directory 또는 LDAP 디렉토리 환경과 통합되는 방식을 이해하는 데 필요한 몇 가지 개념이 있습니다.

Connector

서비스 구성 요소인 connector는 다음 기능을 수행합니다.

n Active Directory 또는 LDAP 디렉토리에서 서비스로 사용자 및 그룹 데이터를 동기화합니다.

n ID 제공자로 사용될 경우 사용자를 서비스에 인증합니다.

VMware, Inc. 13

connector가 기본 ID 제공자입니다. SAML 2.0 프로토콜을 지원하는 타사 ID 제공자를 사용할 수도 있습니다. 엔터프라이즈 보안 정책에 따라 타사 ID 제공자를 선호할 경우 connector가 지원하지않는 인증 유형에 대해 타사 ID 제공자를 사용하십시오.

참고 타사 ID 제공자를 사용할 경우 사용자 및 그룹 데이터를 동기화하도록 connector를 구성하거나 Just-in-Time 사용자 프로비저닝을 구성할 수 있습니다. 자세한 정보는 VMware IdentityManager 관리의 "Just-in-Time 사용자 프로비저닝" 섹션을 참조하십시오.

디렉토리

VMware Identity Manager 서비스에는 디렉토리에 대한 고유한 개념이 있으며, 이는 사용자 환경의Active Directory 또는 LDAP 디렉토리에 해당합니다. 이 디렉토리는 특성을 사용하여 사용자 및 그룹을 정의합니다. 서비스에서 하나 이상의 디렉토리를 생성한 후 해당 디렉토리를 Active Directory 또는LDAP 디렉토리와 동기화합니다. 서비스에서 다음과 같은 디렉토리 유형을 생성할 수 있습니다.

n Active Directory

n LDAP를 통한 Active Directory. 단일 Active Directory 도메인 환경에 연결할 계획인 경우이 디렉토리 유형을 생성합니다. LDAP를 통한 Active Directory 디렉토리 유형의 경우connector가 단순한 바인딩 인증을 사용하여 Active Directory에 바인딩합니다.

n Active Directory(통합된 Windows 인증). 다중 도메인 또는 다중 포리스트 ActiveDirectory 환경에 연결할 계획인 경우 이 디렉토리 유형을 생성합니다. connector는 통합된Windows 인증을 사용하여 Active Directory에 바인딩합니다.

사용 중인 Active Directory 환경(단일 도메인, 다중 도메인) 및 도메인 간에 사용된 신뢰 유형에따라 생성하는 디렉토리 유형 및 개수가 달라집니다. 대부분의 환경에서는 하나의 디렉토리를 생성합니다.

n LDAP 디렉토리

서비스에서는 Active Directory 또는 LDAP 디렉토리에 직접 액세스할 수 없습니다. connector에서만 직접 액세스할 수 있습니다. 따라서 서비스에서 생성한 각 디렉토리를 connector 인스턴스와 연결합니다.

작업자

디렉토리를 connector 인스턴스와 연결할 경우 connector가 작업자라고 하는 연결된 디렉토리에 대한파티션을 생성합니다. connector 인스턴스에는 연결된 작업자가 여러 개 있을 수 있습니다. 각 작업자는 ID 제공자 역할을 합니다. 작업자별로 인증 방법을 정의 및 구성합니다.

connector는 하나 이상의 작업자를 통해 Active Directory 또는 LDAP 디렉토리와 서비스 간에 사용자 및 그룹 데이터를 동기화합니다.

중요 Windows 통합 인증 유형인 Active Directory의 작업자 두 개가 동일한 connector 인스턴스에 있으면 안 됩니다.

보안 고려 사항

VMware Identity Manager 서비스와 통합된 엔터프라이즈 디렉토리의 경우 사용자 암호 복잡성 규칙및 계정 잠금 정책과 같은 보안 설정을 엔터프라이즈 디렉토리에서 직접 설정해야 합니다.VMware Identity Manager에서는 이러한 설정을 재정의하지 않습니다.


14 VMware, Inc.

Active Directory와 통합 3VMware Identity Manager를 Active Directory 배포와 통합하여 Active Directory에서VMware Identity Manager로 사용자 및 그룹을 동기화할 수 있습니다.

“디렉토리 통합과 관련된 중요한 개념,”(13 페이지)의 내용도 참조하십시오.


n “Active Directory 환경,”(15 페이지)

n “도메인 컨트롤러 선택 정보(domain_krb.properties 파일),”(17 페이지)

n “Active Directory에서 동기화하는 사용자 특성 관리,”(21 페이지)

n “도메인 가입에 필요한 사용 권한,”(22 페이지)

n “서비스에 대한 Active Directory 연결 구성,”(23 페이지)

n “사용자가 Active Directory 암호를 변경하도록 허용,”(27 페이지)

n “디렉토리 동기화 세이프가드 설정,”(28 페이지)

Active Directory 환경단일 Active Directory 도메인, 단일 Active Directory 포리스트의 다중 도메인 또는 여러 ActiveDirectory 포리스트에서 다중 도메인으로 구성된 Active Directory 환경과 서비스를 통합할 수 있습니다.

단일 Active Directory 도메인 환경

단일 Active Directory 배포를 통해 단일 Active Directory 도메인의 사용자와 그룹을 동기화할 수 있습니다.

이 환경의 경우 디렉토리를 서비스에 추가할 때 [LDAP를 통한 Active Directory] 옵션을 선택합니다.

자세한 정보는 다음을 참조하십시오.





다중 도메인, 단일 포리스트 Active Directory 환경

다중 도메인, 단일 포리스트 Active Directory 배포에서는 단일 포리스트 내에 있는 다중 ActiveDirectory 도메인의 사용자와 그룹을 동기화할 수 있습니다.

VMware, Inc. 15

이 Active Directory 환경에 대한 서비스를 단일 Active Directory, 통합 Windows 인증 디렉토리유형 또는 글로벌 카탈로그 옵션으로 구성된 LDAP를 통한 Active Directory 디렉토리 유형으로 구성할 수 있습니다.

n 권장되는 옵션은 단일 Active Directory, 통합 Windows 인증 디렉토리 유형을 생성하는 것입니다.

이 환경에 대해 디렉토리를 추가하는 경우 [Active Directory(통합 Windows 인증)] 옵션을 선택합니다.






n 통합 Windows 인증이 Active Directory 환경에서 작동하지 않는 경우에는 LDAP를 통한Active Directory 디렉토리 유형을 생성하고 글로벌 카탈로그 옵션을 선택합니다.

글로벌 카탈로그 옵션 선택과 관련된 제한 사항에는 다음과 같은 것이 포함됩니다.

n 글로벌 카탈로그에 복제된 Active Directory 개체 특성은 Active Directory 스키마에서PAS(부분 특성 집합)로 식별됩니다. 서비스에서는 이러한 특성만 특성 매핑에 사용할 수 있습니다. 필요한 경우에는 스키마를 편집하여 글로벌 카탈로그에 저장된 특성을 추가 또는 제거합니다.

n 글로벌 카탈로그에는 유니버설 그룹의 그룹 멤버 자격(멤버 특성)만 저장됩니다. 유니버설 그룹만 서비스에 동기화됩니다. 필요한 경우에는 그룹의 범위를 로컬 도메인이나 글로벌에서 유니버설로 변경합니다.

n 서비스에서 디렉토리를 구성할 때 정의한 바인딩 DN 계정에는 TGGAU(Token-Groups-Global-And-Universal) 특성을 읽을 수 있는 사용 권한이 있어야 합니다.

Active Directory에서는 표준 LDAP 쿼리에 포트 389 및 636을 사용합니다. 글로벌 카탈로그 쿼리에는 포트 3268 및 3269를 사용합니다.

글로벌 카탈로그 환경에 대한 디렉토리를 추가할 때, 구성하는 동안 다음을 지정합니다.

n [LDAP를 통한 Active Directory] 옵션을 선택합니다.

n 이 디렉토리는 DNS 서비스 위치를 지원합니다. 옵션의 확인란을 선택 취소합니다.

n 이 디렉토리에 글로벌 카탈로그가 있습니다. 옵션을 선택합니다. 이 옵션을 선택할 때 서버 포트번호가 자동으로 3268로 변경됩니다. 또한 글로벌 카탈로그 옵션을 구성할 때 기본 DN가 필요하기 때문에 기본 DN 텍스트 상자는 표시되지 않습니다.

n Active Directory 서버 호스트 이름을 추가합니다.

n Active Directory에 SSL을 통한 액세스가 필요한 경우에는 이 디렉토리에 대한 모든 연결은SSL을 사용해야 합니다. 옵션을 선택하고 제공된 텍스트 상자에 인증서를 붙여 넣습니다. 이 옵션을 선택할 때 서버 포트 번호가 자동으로 3269로 변경됩니다.

신뢰 관계가 있는 다중 포리스트 Active Directory 환경

신뢰 관계가 있는 다중 포리스트 Active Directory 배포에서는 여러 포리스트에서 양방향 신뢰가 있는다중 Active Directory 도메인의 사용자와 그룹을 동기화할 수 있습니다.

이 환경에 대해 디렉토리를 추가하는 경우 [Active Directory(통합 Windows 인증)] 옵션을 선택합니다.


16 VMware, Inc.






신뢰 관계가 없는 다중 포리스트 Active Directory 환경

신뢰 관계가 없는 다중 포리스트 Active Directory 배포에서는 여러 포리스트에서 신뢰 관계가 없는 다중 Active Directory 도메인의 사용자와 그룹을 동기화할 수 있습니다. 이 환경에서는 서비스에서 여러디렉토리를 생성합니다(각 포리스트에 디렉토리 하나).

이 서비스에서 생성하는 디렉토리의 유형은 포리스트에 따라 다릅니다. 다중 도메인이 있는 포리스트에서는 [Active Directory(통합 Windows 인증)] 옵션을 선택합니다. 단일 도메인이 있는 포리스트에서는[LDAP를 통한 Active Directory] 옵션을 선택합니다.






도메인 컨트롤러 선택 정보(domain_krb.properties 파일)domain_krb.properties 파일은 DNS 서비스 위치(SRV 레코드) 조회가 사용되도록 설정된 디렉토리에 사용되는 도메인 컨트롤러를 결정합니다. 여기에는 각 도메인의 도메인 컨트롤러 목록이 포함되어 있습니다. 커넥터가 처음에 파일을 만들면 사용자가 나중에 유지 관리해야 합니다. 이 파일은 DNS 서비스 위치(SRV) 조회를 재정의합니다.

다음 유형의 디렉토리에서 DNS 서비스 위치 조회가 사용되도록 설정됩니다.

n 이 디렉토리는 DNS 서비스 위치를 지원합니다. 옵션이 선택된 LDAP를 통한 Active Directory

n 항상 DNS 서비스 위치 조회가 사용되도록 설정된 Active Directory(Windows 통합 인증)

처음에 DNS 서비스 위치 조회가 사용되도록 설정된 디렉토리를 만들면 domain_krb.properties 파일이 가상 시스템의 /usr/local/horizon/conf 디렉토리에 자동으로 만들어지고 각 도메인에 대한 도메인 컨트롤러로 자동으로 채워집니다. 이 파일을 채우기 위해 커넥터는 커넥터와 같은 사이트에 있는 도메인 컨트롤러를 찾으려고 시도한 후 연결 가능하고 가장 빠르게 응답하는 두 개의 도메인 컨트롤러를 선택합니다.

DNS 서비스 위치가 사용되도록 설정된 추가 디렉토리를 만들거나 Windows 통합 인증 디렉토리에 새도메인을 추가하면 새 도메인과 해당 도메인에 대한 도메인 컨트롤러 목록이 파일에 추가됩니다.

언제든지 domain_krb.properties 파일을 편집하여 기본 선택을 재정의할 수 있습니다. 디렉토리를 만든 후에 domain_krb.properties 파일을 확인하고 나열된 도메인 컨트롤러가 구성에 가장 적합한 도메인 컨트롤러인지 확인하는 것이 가장 좋습니다. 다양한 지리적 위치에 여러 도메인 컨트롤러가 있는 전역 ActiveDirectory 배포의 경우 커넥터에 가장 가까운 도메인 컨트롤러를 사용하면 Active Directory와 더 빠르게 통신할 수 있습니다.

또한 다른 변경 내용이 있을 경우 파일을 수동으로 업데이트해야 합니다. 다음 규칙이 적용됩니다.

n domain_krb.properties 파일이 커넥터가 포함된 가상 시스템에서 만들어집니다. 표준 배포에서는 추가커넥터가 배포되지 않고 VMware Identity Manager 서비스 가상 시스템에 파일이 만들어집니다.디렉토리에 대해 추가 커넥터를 사용하는 경우 커넥터 가상 시스템에 파일이 만들어집니다. 가상 시스템에는 domain_krb.properties 파일이 하나만 있을 수 있습니다.

3장 Active Directory와 통합

VMware, Inc. 17

n 파일이 만들어진 후, DNS 서비스 위치 조회가 사용되도록 설정된 디렉토리를 처음 만들 때 각 도메인에 대한 도메인 컨트롤러로 자동으로 채워집니다.

n 각 도메인에 대한 도메인 컨트롤러가 우선 순위대로 나열됩니다. Active Directory에 연결하기 위해 커넥터는 목록의 첫 번째 도메인 컨트롤러부터 시도합니다. 해당 도메인 컨트롤러에 연결할 수 없으면 목록의 두 번째, 세 번째 등을 차례대로 시도합니다.

n 파일은 DNS 서비스 위치 조회가 사용되도록 설정된 새 디렉토리를 만들거나 Windows 통합 인증디렉토리에 도메인을 추가할 때만 업데이트됩니다. 새 도메인 및 해당 도메인 컨트롤러 목록이 파일에 추가됩니다.

도메인에 대한 항목이 이 파일에 이미 있으면 업데이트되지 않습니다. 예를 들어 디렉토리를 만든 후삭제하면 원래 도메인 항목이 파일에 남아 있어서 업데이트되지 않습니다.

n 다른 경우에는 파일이 자동으로 업데이트되지 않습니다. 예를 들어 디렉토리를 삭제하는 경우 도메인항목이 파일에서 삭제되지 않습니다.

n 파일에 나열된 도메인 컨트롤러에 연결할 수 없으면 파일을 편집하고 해당 항목을 제거하십시오.

n 도메인 항목을 수동으로 추가하거나 편집하면 변경 내용이 덮어써지지 않습니다.

domain_krb.properties 파일 편집에 대한 자세한 정보는 “domain_krb.properties 파일 편집,”(19페이지)의 내용을 참조하십시오.

중요 /etc/krb5.conf 파일은 domain_krb.properties 파일과 일치해야 합니다. domain_krb.properties 파일을업데이트할 때마다 krb5.conf 파일도 업데이트합니다. 자세한 내용은 “domain_krb.properties 파일편집,”(19 페이지) 및 기술 자료 문서 2091744를 참조하십시오.

domain_krb.properties 파일을 자동으로 채우기 위해 도메인 컨트롤러를 선택하는 방법

domain_krb.properties 파일을 자동으로 채우려면 먼저 커넥터가 상주하는 서브넷을 결정한 후(IP 주소 및넷마스크 기준), Active Directory 구성을 사용하여 해당 서브넷의 사이트를 파악합니다. 그리고 해당사이트에 대한 도메인 컨트롤러 목록을 가져와서 해당 도메인의 목록을 필터링한 후 가장 빠르게 응답하는 두 도메인 컨트롤러를 선택합니다.

가장 가까운 도메인 컨트롤러를 검색할 때 VMware Identity Manager는 다음과 같은 요구 사항을 적용합니다.

n 커넥터의 서브넷이 Active Directory 구성에 있거나 서브넷이 runtime-config.properties 파일에 지정되어 있어야 합니다. “기본 서브넷 선택 재정의,”(19 페이지)의 내용을 참조하십시오.

사이트를 확인하는 데 서브넷이 사용됩니다.

n Active Directory 구성은 사이트를 인식해야 합니다.

서브넷을 확인할 수 없거나 Active Directory 구성이 사이트를 인식하지 못할 경우 DNS 서비스 위치조회를 사용하여 도메인 컨트롤러가 검색되고 연결 가능한 일부 도메인 컨트롤러로 파일이 채워집니다.이러한 도메인 컨트롤러는 커넥터와 동일한 지리적 위치에 있지 않을 수 있으며 이 경우 ActiveDirectory와의 통신이 지연되거나 시간이 초과될 수 있습니다. 이 경우 domain_krb.properties 파일을 수동으로 편집하고 각 도메인에 사용할 올바른 도메인 컨트롤러를 지정하십시오. “domain_krb.properties 파일 편집,”(19 페이지)의 내용을 참조하십시오.

샘플 domain_krb.properties 파일example.com=host1.example.com:389,host2.example.com:389


18 VMware, Inc.

https://kb.vmware.com/kb/2091744

기본 서브넷 선택 재정의

커넥터에서는 domain_krb.properties 파일을 자동으로 채울 때, 같은 사이트에 있어서 커넥터와 ActiveDirectory 사이의 지연 시간을 최소화할 수 있는 도메인 컨트롤러를 찾으려 합니다.

커넥터에서는 사이트를 찾을 때, IP 주소와 넷마스크를 기반으로 커넥터가 있는 서브넷이 어디인지 확인한 후 Active Directory 구성을 사용하여 해당 서브넷의 사이트를 식별합니다. 가상 시스템의 서브넷이Active Directory에 있지 않거나 자동 서브넷 선택을 재정의하려는 경우에는 runtime-config.properties파일에서 서브넷을 지정할 수 있습니다.

프로시저

1 루트 사용자로 VMware Identity Manager 가상 시스템에 로그인합니다.

참고 디렉토리에 대해 추가 커넥터를 사용하는 경우 커넥터 가상 시스템에 로그인합니다.

2 /usr/local/horizon/conf/runtime-config.properties 파일을 편집하여 다음 특성을 추가합니다.

siteaware.subnet.override=subnet

여기서 subnet은 도메인 컨트롤러를 사용할 사이트의 서브넷입니다. 예:

siteaware.subnet.override=10.100.0.0/20

3 파일을 저장한 후 닫습니다.

4 서비스를 다시 시작합니다.

service horizon-workspace restart

domain_krb.properties 파일 편집

/usr/local/horizon/conf/domain_krb.properties 파일은 DNS 서비스 위치 조회를 사용하도록 설정된 디렉토리에 사용되는 도메인 컨트롤러를 결정합니다. 언제든지 파일을 편집하여 도메인의 도메인 컨트롤러 목록을 수정하거나 도메인 항목을 추가 또는 삭제할 수 있습니다. 변경 사항은 재정의되지 않습니다.

이 파일은 커넥터에서 처음에 생성되어 자동으로 채워집니다. 다음과 같은 일부 시나리오에서는 이를 수동으로 업데이트해야 합니다.

n 기본적으로 선택된 도메인 컨트롤러가 구성에 가장 적합하지 않은 경우에는 파일을 편집하여 사용할도메인 컨트롤러를 지정합니다.

n 디렉토리를 삭제한 경우에는 파일에서 해당 도메인 항목을 삭제합니다.

n 파일에 연결할 수 없는 도메인 컨트롤러가 있으면 파일에서 제거합니다.

“도메인 컨트롤러 선택 정보(domain_krb.properties 파일),”(17 페이지)의 내용도 참조하십시오.

프로시저

1 루트 사용자로 VMware Identity Manager 가상 시스템에 로그인합니다.

참고 디렉토리에 대해 추가 커넥터를 사용하는 경우 커넥터 가상 시스템에 로그인합니다.

2 디렉토리를 /usr/local/horizon/conf로 변경합니다.

3 domain_krb.properties 파일을 편집하여 도메인 목록을 호스트 값에 추가하거나 편집합니다.

다음 형식을 사용합니다.

domain=host:port,host2:port,host3:port

예:

example.com=examplehost1.example.com:389,examplehost2.example.com:389


VMware, Inc. 19

도메인 컨트롤러를 우선 순위 순서대로 나열합니다. Active Directory에 연결하기 위해 커넥터는목록의 첫 번째 도메인 컨트롤러부터 시도합니다. 해당 도메인 컨트롤러에 연결할 수 없으면 목록의두 번째, 세 번째 등을 차례대로 시도합니다.

중요 도메인 이름은 소문자여야 합니다.

4 다음 명령을 사용하여 domain_krb.properties 파일의 소유자를 horizon으로 변경하고 그룹을 www로 변경합니다.

chown horizon:www /usr/local/horizon/conf/domain_krb.properties

5 서비스를 다시 시작합니다.


후속 작업

domain_krb.properties 파일을 편집한 후에 /etc/krb5.conf 파일을 편집합니다. krb5.conf 파일은domain_krb.properties 파일과 일치해야 합니다.

1 /etc/krb5.conf 파일을 편집하고 realms 섹션을 업데이트하여 /usr/local/horizon/conf/domain_krb.properties 파일에 사용된 것과 동일한 도메인-호스트 값을 지정합니다. 포트 번호는 지정할 필요가 없습니다. 예를 들어 domain_krb.properties 파일에 도메인 항목example.com=examplehost.example.com:389가 있는 경우 krb5.conf 파일을 다음으로 업데이트합니다.

[realms]

GAUTO-QA.COM = {

auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/

auth_to_local = RULE:[1:$0\$1](^GAUTO-QA\.COM\\.*)s/^GAUTO-QA\.COM/GAUTO-QA/

auth_to_local = RULE:[1:$0\$1](^GAUTO2QA\.GAUTO-QA\.COM\\.*)s/^GAUTO2QA\.GAUTO-QA\.COM/GAUTO2QA/

auth_to_local = RULE:[1:$0\$1](^GLOBEQE\.NET\\.*)s/^GLOBEQE\.NET/GLOBEQE/

auth_to_local = DEFAULT

kdc = examplehost.example.com

}

참고 여러 kdc 항목이 있을 수 있습니다. 반드시 여러 항목이 있어야 하는 것은 아니며, 대부분의경우에는 kdc 값이 하나만 있습니다. 추가 kdc 값을 정의하도록 선택하면 각 줄에 도메인 컨트롤러를 정의하는 kdc 항목이 하나씩 존재합니다.

2 Workspace 서비스를 다시 시작합니다.


기술 자료 문서 2091744를 참조하십시오.

domain_krb.properties 문제 해결

다음 정보를 사용하여 domain_krb.properties 파일의 문제를 해결합니다.

"도메인 확인 중 오류" 오류

domain_krb.properties 파일에 도메인의 항목이 이미 포함되어 있는 경우 같은 도메인에 대해 다른 유형의새 디렉토리를 생성하려고 하면 "도메인 확인 중 오류"가 발생합니다. 새 디렉토리를 만들려면 먼저domain_krb.properties 파일을 편집하고 도메인 항목을 수동으로 제거해야 합니다.

도메인 컨트롤러에 연결할 수 없음

domain_krb.properties 파일에 도메인 항목을 추가하고 나면 자동으로 업데이트되지 않습니다. 파일에 나열된 도메인 컨트롤러에 연결할 수 없게 되면 파일을 수동으로 편집하여 제거합니다.


20 VMware, Inc.

https://kb.vmware.com/kb/2091744

Active Directory에서 동기화하는 사용자 특성 관리VMware Identity Manager 서비스 디렉토리 설정 중 Active Directory 사용자 특성 및 필터를 선택하여 VMware Identity Manager 디렉토리에서 동기화되는 사용자를 선택합니다. 관리 콘솔의 [ID 및액세스 관리] 탭, [설정] > [사용자 특성]에서 동기화되는 사용자 특성을 변경할 수 있습니다.

[사용자 특성] 페이지에서 작성 및 저장되는 변경 사항은 VMware Identity Manager 디렉토리의 [매핑된 특성] 페이지에 추가됩니다. 특성 변경 사항은 다음에 Active Directory에 동기화될 때 디렉토리에 업데이트됩니다.

[사용자 특성] 페이지에는 Active Directory 특성에 매핑될 수 있는 기본 디렉토리 특성이 나열되어 있습니다. 필요한 특성을 선택하고 디렉토리에 동기화할 다른 특성을 추가할 수 있습니다. 특성을 추가할 때입력하는 특성 이름은 대/소문자를 구분합니다. 예를 들어 address, Address, ADDRESS는 모두 서로 다른 특성입니다.

표 3‑1. 디렉토리에 동기화할 기본 Active Directory 특성

VMware Identity Manager 디렉토리 특성 이름 Active Directory 특성에 대한 기본 매핑

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeId employeeID

도메인 canonicalName. 개체의 FQDN(정규화된 도메인 이름)을추가합니다.

disabled(외부 사용자 사용 안 함) userAccountControl. UF_Account_Disable 플래그 지정됨.

계정이 사용 안 함으로 설정되면 사용자는 애플리케이션과 리소스에 액세스하도록 로그인할 수 없습니다. 사용자에게 사용권한이 부여된 리소스는 계정에서 제거되지 않으므로 계정에서 플래그가 제거되면 사용자는 로그인하여 권한 있는 리소스에 액세스할 수 있습니다.

phone telephoneNumber

lastName sn

firstName givenName

이메일 mail

userName sAMAccountName.

디렉토리와의 동기화를 위해 특성 선택

Active Directory와의 동기화를 위해 VMware Identity Manager 디렉토리를 설정하는 경우 디렉토리로 동기화되는 사용자 특성을 지정합니다. 디렉토리를 설정하기 전에 [사용자 특성] 페이지에서 필요한기본 특성을 지정하고 Active Directory 특성에 매핑할 추가 특성을 추가할 수 있습니다.

디렉토리가 생성되기 전에 [사용자 특성] 페이지를 구성한 경우 기본 특성을 필수에서 필수 아님으로 변경하거나, 특성을 필수로 표시하거나, 사용자 지정 특성을 추가할 수 있습니다.

디렉토리가 생성되면 필수 특성을 필수 아님으로 변경하고 사용자 지정 특성을 삭제할 수 있습니다. 특성을 필수 특성으로 변경할 수는 없습니다.

디렉토리에 동기화할 다른 특성을 추가한 경우 디렉토리가 생성된 후 디렉토리의 [매핑된 특성] 페이지로이동하여 해당 특성을 Active Directory 특성에 매핑합니다.

중요 XenApp 리소스를 VMware Identity Manager에 동기화할 계획인 경우distinguishedName을 필수 특성으로 지정해야 합니다. VMware Identity Manager 디렉토리를생성하기 전에 이를 지정해야 합니다.


VMware, Inc. 21

프로시저

1 관리 콘솔의 [ID 및 액세스 관리] 탭에서 설정 > 사용자 특성을 클릭합니다.

2 [기본 특성] 섹션에서 필수 특성 목록을 검토하고 필수로 지정해야 하는 특성을 반영하도록 적절하게변경합니다.

3 [특성] 섹션에서 VMware Identity Manager 디렉토리 특성 이름을 목록에 추가합니다.

4 저장을 클릭합니다.

기본 특성 상태가 업데이트되고 추가한 특성이 디렉토리의 [매핑된 특성] 목록에 추가됩니다.

5 디렉토리가 생성된 후 관리 > 디렉토리 페이지로 이동하고 해당 디렉토리를 선택합니다.

6 동기화 설정 > 매핑된 특성을 클릭합니다.

7 추가한 특성에 대한 드롭다운 메뉴에서 매핑할 Active Directory 특성을 선택합니다.


다음에 디렉토리가 Active Directory로 동기화될 때 디렉토리가 업데이트됩니다.

도메인 가입에 필요한 사용 권한경우에 따라 VMware Identity Manager 커넥터를 도메인에 가입시켜야 할 수 있습니다. LDAP를 통한 Active Directory 디렉토리의 경우에는 디렉토리를 생성한 후에 도메인에 가입할 수 있습니다.Active Directory 유형의 디렉토리의 경우에는(통합 Windows 인증) 디렉토리를 생성할 때 커넥터가자동으로 도메인에 가입됩니다. 두 시나리오 모두 자격 증명을 요구하는 프롬프트가 표시됩니다.

도메인에 가입하려면 "AD 도메인에 컴퓨터를 가입"시킬 권한이 있는 Active Directory 자격 증명이 필요합니다. 다음과 같은 권한을 사용하여 Active Directory에서 구성됩니다.

n 컴퓨터 개체 생성

n 컴퓨터 개체 삭제

도메인에 가입할 때 사용자 지정 OU를 지정하지 않으면 Active Directory에 있는 기본 위치에 컴퓨터개체가 생성됩니다.

도메인에 가입할 권한이 없으면 다음 단계에 따라 도메인에 가입합니다.

1 Active Directory 관리자에게 회사 정책에 따라 결정된 위치에 Active Directory의 컴퓨터 개체를 생성해 달라고 요청합니다. 커넥터의 호스트 이름을 제공합니다. server.example.com과 같은FQDN(정규화된 도메인 이름)을 제공해야 합니다.

팁 관리 콘솔의 [커넥터] 페이지에 있는 호스트 이름 열에서 호스트 이름을 볼 수 있습니다. ID 및액세스 관리 > 설정 > 커넥터를 클릭하여 [커넥터] 페이지를 봅니다.

2 컴퓨터 개체가 생성된 후에 VMware Identity Manager 관리 콘솔에서 원하는 도메인 사용자 계정을 사용하여 도메인에 가입합니다.

도메인 가입 명령은 ID 및 액세스 관리 > 설정 > 커넥터를 클릭하여 액세스할 수 있는 커넥터 페이지에서사용할 수 있습니다.

옵션 설명

도메인 가입할 Active Directory 도메인을 선택하거나 입력합니다. FQDN(정규화된 도메인 이름)을 입력합니다. 예:server.example.com.

도메인 사용자 Active Directory 도메인에 시스템을 가입시킬 권한이있는 Active Directory 사용자의 사용자 이름입니다.


22 VMware, Inc.

옵션 설명

도메인 암호 사용자의 암호입니다.

OU(조직 구성 단위) (선택 사항) 컴퓨터 개체의 OU(조직 구성 단위)입니다.이 옵션은 기본 컴퓨터 OU 대신 지정된 OU에 컴퓨터 개체를 생성합니다.

예: ou=testou,dc=test,dc=example,dc=com.

서비스에 대한 Active Directory 연결 구성관리 콘솔에서 Active Directory에 연결하는 데 필요한 정보를 입력하고VMware Identity Manager 디렉토리와 동기화할 사용자 및 그룹을 선택합니다.

Active Directory 연결 옵션은 [LDAP를 통한 Active Directory] 또는 [ActiveDirectory(Windows 통합 인증)]입니다. [LDAP를 통한 Active Directory] 연결은 DNS 서비스 위치 조회를 지원합니다. [Active Directory(Windows 통합 인증)]를 사용하여 가입시킬 도메인을 구성합니다.

필수 조건

n [사용자 특성] 페이지에서 필수 특성을 선택하고 필요한 경우 다른 특성을 더 추가합니다. “디렉토리와의 동기화를 위해 특성 선택,”(21 페이지)의 내용을 참조하십시오.

중요 XenApp 리소스를 VMware Identity Manager에 동기화할 계획인 경우distinguishedName을 필수 특성으로 지정해야 합니다. 디렉토리를 만든 후에는 특성을 필수 특성으로 변경할 수 없으므로 디렉토리를 만들기 전에 이렇게 선택해야 합니다.

n Active Directory에서 동기화할 Active Directory 그룹 및 사용자의 목록.

n [LDAP를 통한 Active Directory]의 경우 필요한 정보에는 기본 DN, 바인딩 DN, 바인딩 DN 암호가 포함됩니다.

참고 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이 좋습니다.

n [Active Directory(Windows 통합 인증)]의 경우 필요한 정보에는 도메인의 Bind 사용자 UPN주소 및 암호가 포함됩니다.


n Active Directory가 SSL 또는 STARTTLS를 통한 액세스를 요구하는 경우 Active Directory도메인 컨트롤러의 루트 CA 인증서가 필요합니다.

n [Active Directory(Windows 통합 인증)]의 경우, 다중 포리스트 Active Directory를 구성했고도메인 로컬 그룹에 서로 다른 포리스트의 도메인 구성원이 포함되었다면 도메인 로컬 그룹이 상주하는 도메인의 관리자 그룹에 Bind 사용자를 추가해야 합니다. 이렇게 하지 않으면 이러한 구성원은도메인 로컬 그룹에서 누락됩니다.

프로시저

1 관리 콘솔에서 ID 및 액세스 관리 탭을 클릭합니다.

2 [디렉토리] 페이지에서 디렉토리 추가를 클릭합니다.

3 VMware Identity Manager 디렉토리의 이름을 입력합니다.


VMware, Inc. 23

4 작업 환경에서 Active Directory의 유형을 선택하고 연결 정보를 구성합니다.

옵션 설명

LDAP를 통한 Active Directory a 커넥터 동기화 필드에서 Active Directory와 동기화하는 데 사용할connector를 선택합니다.

b 인증 필드에서 이 Active Directory가 사용자를 인증하는 데 사용되는 경우 예를 클릭합니다.

타사 ID 제공자가 사용자를 인증하는 데 사용되면 아니요를 클릭합니다. 사용자 및 그룹을 동기화하도록 Active Directory 연결을 구성한 후에 [ID 및 액세스 관리] > [관리] > [ID 제공자] 페이지로 가서인증을 위한 타사 ID 제공자를 추가합니다.

c 디렉토리 검색 특성 필드에서 사용자 이름이 포함된 계정 특성을 선택합니다.

d Active Directory가 DNS 서비스 위치 조회를 사용하는 경우 다음과 같이 선택합니다.n 서버 위치 섹션에서 이 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란을 선택합니다.

디렉토리가 만들어질 때 도메인 컨트롤러 목록으로 자동으로 채워지는 domain_krb.properties 파일이 만들어집니다. “도메인컨트롤러 선택 정보(domain_krb.properties 파일),”(17 페이지)의 내용을 참조하십시오.

n Active Directory가 STARTTLS 암호화를 요구하는 경우 인증서 섹션에서 이 디렉토리에 대한 모든 연결은 SSL을 사용해야합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를 복사한 후 SSL 인증서 필드에 붙여넣습니다.

인증서가 PEM 형식인지 확인하고 "BEGIN CERTIFICATE" 및"END CERTIFICATE" 줄을 포함합니다.

참고 Active Directory가 STARTTLS를 요구하지만 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.

e Active Directory가 DNS 서비스 위치 조회를 사용하지 않는 경우다음과 같이 선택합니다.n 서버 위치 섹션에서 이 디렉토리는 DNS 서비스 위치를 지원합니다. 확인란이 선택되지 않았는지 확인하고 Active Directory서버 호스트 이름 및 포트 번호를 입력합니다.

디렉토리를 전역 카탈로그로 구성하려면 “Active Directory환경,”(15 페이지)에서 다중 도메인, 단일 포리스트 ActiveDirectory 환경 섹션을 참조하십시오.

n Active Directory가 SSL을 통한 액세스를 요구하는 경우 인증서 섹션에서 이 디렉토리에 대한 모든 연결은 SSL을 사용해야합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를 복사한 후 SSL 인증서 필드에 붙여넣습니다.


참고 Active Directory가 SSL을 요구하지만 사용자가 인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.

f 기본 DN 필드에 계정 검색을 시작할 DN을 입력합니다. 예를 들어OU=myUnit,DC=myCorp,DC=com을 입력합니다.

g 바인딩 DN 필드에 사용자를 검색할 수 있는 계정을 입력합니다. 예를 들어 CN=binduser,OU=myUnit,DC=myCorp,DC=com을 입력합니다.


h 바인딩 암호를 입력한 후에 연결 테스트를 클릭하여 해당 디렉토리를Active Directory에 연결할 수 있는지 확인합니다.

Active Directory(Windows 통합인증)

a 커넥터 동기화 필드에서 Active Directory와 동기화하는 데 사용할connector를 선택합니다.


24 VMware, Inc.

옵션 설명

b 인증 필드에서 이 Active Directory가 사용자를 인증하는 데 사용되는 경우 예를 클릭합니다.

타사 ID 제공자가 사용자를 인증하는 데 사용되면 아니요를 클릭합니다. 사용자 및 그룹을 동기화하도록 Active Directory 연결을 구성한 후에 [ID 및 액세스 관리] > [관리] > [ID 제공자] 페이지로 가서인증을 위한 타사 ID 제공자를 추가합니다.

c 디렉토리 검색 특성 필드에서 사용자 이름이 포함된 계정 특성을 선택합니다.

d Active Directory가 STARTTLS 암호화를 요구하는 경우 인증서섹션에서 이 디렉토리에 대한 모든 연결은 STARTTLS를 사용해야합니다. 확인란을 선택하고 Active Directory 루트 CA 인증서를복사한 후 SSL 인증서 필드에 붙여넣습니다.


디렉토리에 여러 도메인이 있는 경우 모든 도메인에 대한 루트 CA인증서를 한 번에 하나씩 추가합니다.

참고 Active Directory가 STARTTLS를 요구하지만 사용자가인증서를 제공하지 않으면 디렉토리를 만들 수 없습니다.

e 가입할 Active Directory 도메인의 이름을 입력합니다. 도메인에가입할 수 있는 권한이 있는 사용자 이름과 암호를 입력합니다. 자세한 정보는 “도메인 가입에 필요한 사용 권한,”(22 페이지)의 내용을 참조하십시오.

f [바인딩 사용자 UPN] 필드에 도메인을 인증할 수 있는 사용자의UPN(사용자 계정 이름)을 입력합니다. 예를 들어[email protected]을 입력합니다.


g [바인딩 사용자] 암호를 입력합니다.

5 저장 및 다음을 클릭합니다.

도메인 목록이 있는 페이지가 표시됩니다.

6 [LDAP를 통한 Active Directory]의 경우 확인 표시와 함께 도메인이 나열됩니다.

[Active Directory(통합 Windows 인증)]의 경우 이 Active Directory 연결과 연결되어야 하는도메인을 선택합니다.

참고 디렉토리가 생성된 후에 트러스팅 도메인을 추가하면 서비스에서 새 트러스팅 도메인을 자동으로 감지하지 못합니다. 서비스에서 도메인을 감지하도록 설정하려면 connector가 도메인을 탈퇴한 다음 다시 가입해야 합니다. connector가 도메인에 다시 가입하면 트러스팅 도메인이 목록에 나타납니다.

다음을 클릭합니다.

7 VMware Identity Manager 디렉토리 특성 이름이 올바른 Active Directory 특성에 매핑되는지확인하고 필요에 따라 변경을 수행한 후 다음을 클릭합니다.


VMware, Inc. 25

8 Active Directory에서 VMware Identity Manager 디렉토리로 동기화하려는 그룹을 선택합니다.

옵션 설명

그룹 DN 지정 그룹을 선택하려면 하나 이상의 그룹 DN을 지정하고 아래에 있는 그룹을 선택합니다.

a +를 클릭하고 그룹 DN을 지정합니다. 예:CN=users,DC=example,DC=company,DC=com.

중요 입력한 기본 DN 아래에 있는 그룹 DN을 지정합니다. 그룹DN이 기본 DN 외부에 있으면 해당 DN의 사용자가 동기화되지만로그인할 수는 없습니다.

b 그룹 찾기를 클릭합니다.

동기화할 그룹 열에 DN에 있는 그룹 수가 표시됩니다.

c DN의 모든 그룹을 선택하려면 모두 선택을 클릭하고, 그렇지 않으면선택을 클릭하고 동기화할 특정 그룹을 선택합니다.

참고 그룹을 동기화할 때 Active Directory에서 [도메인 사용자]가기본 그룹으로 포함되어 있지 않은 사용자는 동기화되지 않습니다.

중첩된 그룹 멤버 동기화 중첩된 그룹 멤버 동기화 옵션이 기본적으로 사용되도록 설정되어 있습니다. 이 옵션이 사용되도록 설정되면 선택한 그룹에 직접 속하는 모든 사용자와 그 아래 중첩된 그룹에 속하는 모든 사용자가 동기화됩니다. 중첩된 그룹은 동기화되지 않고 중첩된 그룹에 속하는 사용자만 동기화됩니다. VMware Identity Manager 디렉토리에서 이러한 사용자는 동기화를 위해 선택한 상위 그룹의 멤버가 됩니다.

중첩된 그룹 멤버 동기화 옵션을 사용하지 않도록 설정하면 동기화할 그룹을 지정할 때 해당 그룹에 직접 속하는 모든 사용자가 동기화됩니다.그 아래 중첩된 그룹에 속하는 사용자는 동기화되지 않습니다. 대규모Active Directory 구성에서 그룹 트리를 탐색하는 데 리소스와 시간이많이 소요되는 경우 이 옵션을 사용하지 않도록 설정하는 것이 좋습니다.이 옵션을 사용하지 않도록 설정하는 경우 동기화할 사용자가 속하는 모든 그룹을 선택해야 합니다.

9 다음을 클릭합니다.

10 동기화할 추가 사용자를 지정합니다(필요한 경우).

a +를 클릭하고 사용자 DN을 입력합니다. 예:CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com.

중요 입력한 기본 DN 아래에 있는 사용자 DN을 지정합니다. 사용자 DN이 기본 DN 외부에있으면 해당 DN의 사용자가 동기화되지만 로그인할 수는 없습니다.

b (선택 사항) 사용자를 제외하려면 필터를 만들어 일부 사용자 유형을 제외합니다.

필터 기준으로 사용할 사용자 특성, 쿼리 규칙 및 값을 선택합니다.


12 페이지를 검토하여 디렉토리에 동기화되는 사용자 및 그룹의 수를 확인하고 동기화 스케줄을 확인합니다.

사용자 및 그룹을 변경하거나 동기화 빈도를 변경하려면 편집 링크를 클릭합니다.

13 디렉토리 동기화를 클릭하여 디렉토리에 대한 동기화를 시작합니다.

Active Directory 연결이 설정되고 사용자 및 그룹이 Active Directory에서VMware Identity Manager 디렉토리로 동기화됩니다. 바인딩 DN 사용자는 기본적으로VMware Identity Manager에서 관리자 역할을 가집니다.


26 VMware, Inc.

후속 작업

n DNS 서비스 위치를 지원하는 디렉토리를 만든 경우 domain_krb.properties 파일이 만들어지고 도메인컨트롤러 목록으로 자동으로 채워집니다. 파일을 확인하거나 도메인 컨트롤러 목록을 편집합니다. “도메인 컨트롤러 선택 정보(domain_krb.properties 파일),”(17 페이지)의 내용을 참조하십시오.

n 인증 방법을 설정합니다. 사용자 및 그룹의 디렉토리 동기화 후에, 커넥터도 인증에 사용되는 경우 커넥터에서 추가 인증 방법을 설정할 수 있습니다. 타사가 인증 ID 제공자인 경우 커넥터에서 해당 ID제공자를 구성합니다.

n 기본 액세스 정책을 검토합니다. 기본 액세스 정책은 전체 네트워크 범위의 모든 장치가 8시간의 세션 시간 초과 설정으로 웹 브라우저에 액세스하거나 2160시간(90일)의 세션 시간 초과 설정으로 클라이언트 애플리케이션에 액세스할 수 있도록 구성되어 있습니다. 기본 액세스 정책을 변경할 수 있으며 웹 애플리케이션을 카탈로그에 추가할 때 새 정책을 생성할 수 있습니다.

n 사용자 지정 브랜딩을 관리 콘솔, 사용자 포털 페이지 및 로그인 화면에 적용합니다.

사용자가 Active Directory 암호를 변경하도록 허용사용자가 원할 때마다 Workspace ONE 포털 또는 애플리케이션에서 해당 Active Directory 암호를변경하도록 허용할 수 있습니다. 암호가 만료된 경우 또는 Active Directory 관리자가 암호를 재설정한경우 사용자는 VMware Identity Manager 로그인 페이지에서 자신의 Active Directory 암호를 재설정할 수 있습니다. 이 경우 다음 로그인 시 사용자는 암호를 강제로 변경해야 합니다.

[디렉토리 설정] 페이지에서 암호 변경 허용 옵션을 선택하여 디렉토리별로 이 옵션을 사용하도록 설정합니다.

사용자는 Workspace ONE 포털에 로그인될 때 상단 오른쪽 구석에서 해당 이름을 클릭하고 드롭다운메뉴에서 계정을 선택한 후 암호 변경 링크를 클릭하여 해당 암호를 변경할 수 있습니다. WorkspaceONE 애플리케이션에서 사용자는 삼중 막대 메뉴 아이콘을 클릭하고 암호를 선택하여 암호를 변경할 수있습니다.

관리자가 Active Directory에서 재설정한 만료된 암호는 로그인 페이지에서 변경할 수 있습니다. 사용자가 만료된 암호를 사용하여 로그인하려고 하면 암호를 재설정하라는 메시지가 표시되됩니다. 사용자는이전 암호와 함께 새 암호를 입력해야 합니다.

새 암호에 대한 요구 사항은 Active Directory 암호 정책에 의해 결정됩니다. 허용되는 시도 횟수도Active Directory 암호 정책에 따라 달라집니다.

다음과 같은 제한이 적용됩니다.

n 추가 외부 커넥터 가상 장치를 사용하는 경우 암호 변경 허용 옵션은 커넥터 버전이 2016.11.1 이상일 때만 사용할 수 있습니다.

n 디렉토리가 VMware Identity Manager에 글로벌 카탈로그로 추가되면 암호 변경 허용 옵션을 사용할 수 없습니다. 포트 389 또는 636을 사용하여 디렉토리를 LDAP를 통한 Active Directory 또는 Windows 통합 인증으로 추가할 수 있습니다.

n 바인딩 DN 사용자의 암호는 만료되거나 Active Directory 관리자가 재설정한 경우에도VMware Identity Manager에서 재설정할 수 없습니다.


n 로그인 이름이 다중 바이트 문자(비 ASCII 문자)로 구성된 사용자의 암호는VMware Identity Manager에서 재설정할 수 없습니다.

필수 조건

n 암호 변경 허용 옵션을 사용하도록 설정하려면 바인딩 DN 사용자 계정을 사용해야 하며 ActiveDirectory에 대한 쓰기 권한이 있어야 합니다.

n 포트 464가 도메인 컨트롤러에서 열려 있어야 합니다.


VMware, Inc. 27

프로시저


2 디렉토리 탭에서 디렉토리를 클릭합니다.

3 암호 변경 허용 섹션에서 암호 변경 사용 확인란을 선택합니다.

4 바인딩 사용자 세부 정보 섹션에서 바인딩 DN 암호를 입력하고 저장을 클릭합니다.

디렉토리 동기화 세이프가드 설정Active Directory에서 디렉토리로 동기화되는 사용자 및 그룹의 구성이 의도치 않게 변경되는 것을 방지하기 위해 디렉토리에 동기화 세이프가드 임계값 제한을 구성할 수 있습니다.

설정된 동기화 세이프가드 임계값은 디렉토리가 동기화될 때 사용자 및 그룹에 대해 수행될 수 있는 변경작업 수를 제한합니다. 디렉토리 세이프가드 임계값에 도달한 경우에는 디렉토리 동기화가 중지되고 디렉토리의 [동기화 로그] 페이지에 메시지가 표시됩니다. VMware Identity Manager 관리 콘솔에서SMTP를 구성한 경우 세이프가드 위반으로 인해 동기화에 실패하면 이메일 메시지가 수신됩니다.

동기화에 실패한 경우 디렉토리의 [동기화 설정] > [동기화 로그] 페이지로 이동하여 세이프가드 위반 유형에 대한 설명을 확인할 수 있습니다.

동기화를 성공적으로 완료하려면 [동기화 세이프가드 설정] 페이지에서 세이프가드에 대한 백분율 임계값을 높이거나, 동기화 예행 연습을 예약하고 [세이프가드 무시]를 선택하면 됩니다. 세이프가드 임계값을무시하도록 선택한 경우에는 현재 동기화 세션에서만 세이프가드 값이 적용되지 않습니다.

디렉토리 동기화를 처음 실행할 때는 동기화 세이프가드 값이 적용되지 않습니다.

참고 동기화 세이프가드 기능을 사용하지 않으려면 드롭다운 메뉴에서 값을 삭제합니다. 동기화 세이프가드 텍스트 상자가 비어 있으면 동기화 세이프가드가 사용되도록 설정되지 않습니다.

디렉토리 동기화 세이프가드 구성

디렉토리가 동기화될 때 사용자 및 그룹에 대해 수행될 수 있는 변경 작업 수를 제한하도록 동기화 세이프가드 임계값 설정을 구성합니다.

참고 동기화 세이프가드 기능을 사용하지 않으려면 드롭다운 메뉴에서 값을 삭제합니다. 동기화 세이프가드 텍스트 상자가 비어 있으면 동기화 세이프가드가 사용되도록 설정되지 않습니다.

프로시저

1 세이프가드 설정을 변경하려면 [ID 및 액세스 관리] 탭에서 관리 > 디렉토리를 선택합니다.

2 세이프가드를 설정할 디렉토리를 선택하고 동기화 설정을 클릭합니다.

3 세이프가드를 클릭합니다.

4 동기화 실패를 트리거할 변경 비율을 설정합니다.


디렉토리로의 동기화를 완료하기 위해 세이프가드 설정 무시

세이프가드 위반으로 인해 동기화를 완료하지 못했다는 알림이 수신된 경우 세이프 설정을 재정의하고 동기화를 완료하기 위해 동기화 예행 연습을 예약하고 [세이프가드 무시]를 선택할 수 있습니다.

프로시저

1 [ID 및 액세스 관리] 탭에서 관리 > 디렉토리를 선택합니다.

2 동기화를 완료하지 못한 디렉토리를 선택하고 동기화 로그 페이지로 이동합니다.


28 VMware, Inc.

3 세이프가드 위반 유형을 보려면 [동기화 세부 정보] 열에서 동기화를 완료하지 못했습니다.SafeGuard를 확인하십시오.를 클릭합니다.

4 확인을 클릭합니다.

5 세이프가드 설정을 변경하지 않고 동기화를 계속하려면 지금 동기화를 클릭합니다.

6 [검토] 페이지에서 세이프가드 무시 확인란을 선택합니다.

7 디렉토리 동기화를 클릭합니다.

디렉토리 동기화가 실행되고 이 동기화 세션에서만 세이프가드 임계값 설정이 무시됩니다.


VMware, Inc. 29


30 VMware, Inc.

LDAP 디렉토리와 통합 4엔터프라이즈 LDAP 디렉토리를 VMware Identity Manager와 통합하여 LDAP 디렉토리에서VMware Identity Manager 서비스로 사용자 및 그룹을 동기화할 수 있습니다.

“디렉토리 통합과 관련된 중요한 개념,”(13 페이지)의 내용도 참조하십시오.


n “LDAP 디렉토리 통합의 제한 사항,”(31 페이지)

n “LDAP 디렉토리와 서비스 통합,”(32 페이지)

LDAP 디렉토리 통합의 제한 사항현재 LDAP 디렉토리 통합 기능에는 다음 제한 사항이 적용됩니다.

n 단일 도메인 LDAP 디렉토리 환경만 통합할 수 있습니다.

LDAP 디렉토리에서 여러 도메인을 통합하려면 각 도메인에 하나씩 추가VMware Identity Manager 디렉토리를 만들어야 합니다.

n 다음 인증 방법은 LDAP 디렉토리 유형의 VMware Identity Manager 디렉토리에 지원되지 않습니다.

n Kerberos 인증

n RSA 어댑티브 인증

n 타사 ID 제공자로서의 ADFS

n SecurID

n Vasco 및 SMS 암호 서버를 통한 Radius 인증

n LDAP 도메인을 가입시킬 수 없습니다.

n View 또는 Citrix 게시된 리소스와의 통합은 LDAP 디렉토리 유형의VMware Identity Manager 디렉토리에 지원되지 않습니다.

n 사용자 이름에 공백이 포함되어서는 안 됩니다. 사용자 이름에 공백이 포함된 경우 사용자는 동기화되지만 해당 사용자에게 사용 권한이 제공되지 않습니다.

n Active Directory와 LDAP 디렉토리를 둘 다 추가하려면 필수로 표시될 수 있는 userName 외에는 [사용자 특성] 페이지에서 어떤 특성도 필수로 표시해서는 안 됩니다. [사용자 특성] 페이지의 설정은 서비스의 모든 디렉토리에 적용됩니다. 특성이 필수로 표시된 경우 해당 특성이 없는 사용자는VMware Identity Manager 서비스에 동기화되지 않습니다.

n LDAP 디렉토리에 이름이 같은 여러 그룹이 있는 경우 VMware Identity Manager 서비스에서해당 그룹에 대한 고유 이름을 지정해야 합니다. 동기화할 그룹을 선택할 때 이름을 지정할 수 있습니다.

VMware, Inc. 31

n 사용자가 만료된 암호를 재설정하도록 허용하는 옵션은 사용할 수 없습니다.

n domain_krb.properties 파일은 지원되지 않습니다.

LDAP 디렉토리와 서비스 통합엔터프라이즈 LDAP 디렉토리를 VMware Identity Manager와 통합하여 LDAP 디렉토리에서VMware Identity Manager 서비스로 사용자 및 그룹을 동기화할 수 있습니다.

LDAP 디렉토리를 통합하려면 해당 VMware Identity Manager 디렉토리를 만들고 LDAP 디렉토리에서 VMware Identity Manager 디렉토리로 사용자 및 그룹을 동기화합니다. 후속 업데이트에 대한정기 동기화 스케줄을 설정할 수 있습니다.

또한 사용자에 대해 동기화할 LDAP 특성을 선택하여 VMware Identity Manager 특성에 매핑합니다.

LDAP 디렉토리 구성은 기본 스키마 또는 사용자 지정 스키마를 기반으로 할 수 있습니다. 또한 사용자지정 특성을 정의할 수도 있습니다. VMware Identity Manager에서 사용자 또는 그룹 개체를 가져오기 위해 LDAP 디렉토리를 쿼리할 수 있도록 하려면 LDAP 디렉토리에 적용되는 LDAP 검색 필터 및 특성 이름을 제공해야 합니다.

특히 다음 정보를 제공해야 합니다.

n 그룹, 사용자 및 바인딩 사용자를 가져오기 위한 LDAP 검색 필터

n 그룹 멤버 자격, UUID 및 고유 이름에 대한 LDAP 특성 이름

LDAP 디렉토리 통합 기능에는 특정 제한 사항이 적용됩니다. “LDAP 디렉토리 통합의 제한 사항,”(31 페이지)의 내용을 참조하십시오.

필수 조건

n 추가 외부 커넥터 가상 장치를 사용하는 경우 LDAP 디렉토리 통합 기능은 커넥터 버전이2016.6.1 이상일 때만 사용할 수 있습니다.

n ID 및 액세스 관리 > 설정 > 사용자 특성 페이지에서 특성을 검토하고 동기화할 추가 특성을 추가할수 있습니다. 디렉토리를 만들 때 이러한 VMware Identity Manager 특성은 나중에 LDAP 디렉토리 특성에 매핑합니다. 이러한 특성은 디렉토리의 사용자에 대해 동기화됩니다.

참고 사용자 특성을 변경할 경우 서비스의 다른 디렉토리에 대한 영향을 고려하십시오. ActiveDirectory와 LDAP 디렉토리를 둘 다 추가하려면 필수로 표시될 수 있는 userName 외에는 어떤특성도 필수로 표시해서는 안 됩니다. [사용자 특성] 페이지의 설정은 서비스의 모든 디렉토리에 적용됩니다. 특성이 필수로 표시된 경우 해당 특성이 없는 사용자는 VMware Identity Manager 서비스에 동기화되지 않습니다.

n 바인딩 DN 사용자 계정. 만료되지 않는 암호를 사용하는 바인딩 DN 사용자 계정을 사용하는 것이좋습니다.

n LDAP 디렉토리에서 사용자 및 그룹의 UUID는 일반 텍스트 형식이어야 합니다.

n LDAP 디렉토리에서 도메인 특성은 모든 사용자 및 그룹에 대해 존재해야 합니다.

VMware Identity Manager 디렉토리를 만들 때 이 특성을 VMware Identity Manager 도메인 특성에 매핑합니다.

n 사용자 이름에 공백이 포함되어서는 안 됩니다. 사용자 이름에 공백이 포함된 경우 사용자는 동기화되지만 해당 사용자에게 사용 권한이 제공되지 않습니다.

n 인증서 인증을 사용하는 경우 사용자에게 userPrincipalName 및 이메일 주소 특성 값이 있어야합니다.

프로시저



32 VMware, Inc.

2 [디렉토리] 페이지에서 디렉토리 추가를 클릭하고 LDAP 디렉토리 추가를 선택합니다.

3 [LDAP 디렉토리 추가] 페이지에서 필요한 정보를 입력합니다.

옵션 설명

디렉토리 이름 VMware Identity Manager 디렉토리의 이름입니다.

디렉토리 동기화 및 인증 a 동기화 커넥터 필드에서 LDAP 디렉토리의 사용자 및 그룹을VMware Identity Manager 디렉토리에 동기화하는 데 사용할 커넥터를 선택합니다.

커넥터 구성 요소는 기본적으로 VMware Identity Manager 서비스에서 항상 사용 가능합니다. 이 커넥터는 드롭다운 목록에 표시됩니다. 고가용성을 위해 여러 개의 VMware Identity Manager 장치를 설치하는 경우 각 장치의 커넥터 구성 요소가 목록에 나타납니다.

LDAP 디렉토리용 커넥터가 별도로 필요하지 않습니다. ActiveDirectory든 LDAP 디렉토리든 상관없이 하나의 커넥터가 여러 디렉토리를 지원할 수 있습니다.

추가 커넥터가 필요한 시나리오는 VMware Identity Manager 설치 가이드에서 "추가 커넥터 장치 설치"를 참조하십시오.

b 인증 필드에서 이 LDAP 디렉토리를 사용하여 사용자를 인증하려는경우 예를 선택합니다.

타사 ID 제공자가 사용자를 인증하는 데 사용되면 아니요를 선택합니다. 사용자 및 그룹을 동기화하도록 디렉토리 연결을 구성한 후에는ID 및 액세스 관리 > 관리 > ID 제공자 페이지로 이동하여 인증을 위한 타사 ID 제공자를 추가합니다.

c 디렉토리 검색 특성 필드에서 사용자 이름에 사용할 LDAP 디렉토리특성을 지정합니다. 특성이 나열되어 있지 않으면 사용자 지정을 선택하고 특성 이름을 입력합니다. 예를 들어 cn을 입력합니다.

서버 위치 LDAP 디렉토리 서버 호스트 및 포트 번호를 입력합니다. 서버 호스트의경우 정규화된 도메인 이름 또는 IP 주소를 지정할 수 있습니다. 예를 들어 myLDAPserver.example.com 또는 100.00.00.0을 지정할 수 있습니다.

로드 밸런서 뒤에 서버 클러스터가 있는 경우 대신 로드 밸런서 정보를입력합니다.

LDAP 구성 VMware Identity Manager에서 LDAP 디렉토리를 쿼리하는 데 사용할 수 있는 LDAP 검색 필터 및 특성을 지정합니다. 기본값은 코어LDAP 스키마에 따라 제공됩니다.

LDAP 쿼리n 그룹 가져오기: 그룹 개체를 가져오기 위한 검색 필터입니다.

예: (objectClass=group)n 바인딩 사용자 가져오기: 바인딩 사용자 개체, 즉 디렉토리에 바인딩할 수 있는 사용자를 가져오기 위한 검색 필터입니다.

예: (objectClass=person)n 사용자 가져오기: 동기화할 사용자를 가져오기 위한 검색 필터입니다.

예:(&(objectClass=user)(objectCategory=person))

특성n 멤버 자격: LDAP 디렉토리에서 그룹 멤버를 정의하는 데 사용되는특성입니다.

예: membern 개체 UUID: LDAP 디렉토리에서 사용자 또는 그룹의 UUID를 정의하는 데 사용되는 특성입니다.

예: entryUUIDn 고유 이름: LDAP 디렉토리에서 사용자 또는 그룹의 고유 이름을 정의하는 데 사용되는 특성입니다.

예: entryDN

4장 LDAP 디렉토리와 통합

VMware, Inc. 33

옵션 설명

인증서 LDAP 디렉토리에 SSL을 통한 액세스가 필요한 경우 이 디렉토리에 대한 모든 연결은 SSL을 사용해야 합니다.를 선택하고 LDAP 디렉토리 서버의 루트 CA SSL 인증서를 복사하여 붙여 넣습니다. 인증서가 PEM형식인지 확인하고 "BEGIN CERTIFICATE" 및 "ENDCERTIFICATE" 줄을 포함합니다.

바인딩 사용자 세부 정보 기본 DN: 검색을 시작할 DN을 입력합니다. 예:cn=users,dc=example,dc=com

바인딩 DN: LDAP 디렉토리에 바인딩하는 데 사용할 사용자 이름을 입력합니다.


바인딩 DN 암호: 바인딩 DN 사용자의 암호를 입력합니다.

4 LDAP 디렉토리 서버에 대한 연결을 테스트하려면 연결 테스트를 클릭합니다.

연결에 실패한 경우 입력한 정보를 확인하고 적절히 변경합니다.

5 저장 및 다음을 클릭합니다.

6 [도메인] 페이지에서 올바른 도메인이 나열되어 있는지 확인한 후 다음을 클릭합니다.

7 [특성 매핑] 페이지에서 VMware Identity Manager 특성이 올바른 LDAP 특성에 매핑되어 있는지 확인합니다.

중요 도메인 특성에 대한 매핑을 지정해야 합니다.

[사용자 특성] 페이지에서 목록에 특성을 추가할 수 있습니다.


9 [그룹] 페이지에서 +를 클릭하여 LDAP 디렉토리에서 VMware Identity Manager 디렉토리로동기화하려는 그룹을 선택합니다.

LDAP 디렉토리에 이름이 같은 여러 그룹이 있는 경우 그룹 페이지에서 해당 그룹에 대한 고유 이름을 지정해야 합니다.

중첩된 그룹 멤버 동기화 옵션이 기본적으로 사용되도록 설정되어 있습니다. 이 옵션이 사용되도록설정되면 선택한 그룹에 직접 속하는 모든 사용자와 그 아래 중첩된 그룹에 속하는 모든 사용자가 동기화됩니다. 중첩된 그룹은 동기화되지 않고 중첩된 그룹에 속하는 사용자만 동기화됩니다.VMware Identity Manager 디렉토리에서 이러한 사용자는 동기화를 위해 선택한 최상위 그룹의멤버로 나타납니다. 실제로 선택한 그룹 아래의 계층은 평면화되며 모든 수준의 사용자가 선택한 그룹의 멤버로 VMware Identity Manager에 표시됩니다.

이 옵션을 사용하지 않도록 설정하면 동기화할 그룹을 지정할 때 해당 그룹에 직접 속하는 모든 사용자가 동기화됩니다. 그 아래 중첩된 그룹에 속하는 사용자는 동기화되지 않습니다. 대규모 디렉토리구성에서 그룹 트리를 탐색하는 데 리소스와 시간이 많이 소요되는 경우 이 옵션을 사용하지 않도록설정하는 것이 좋습니다. 이 옵션을 사용하지 않도록 설정하는 경우 동기화할 사용자가 속하는 모든그룹을 선택해야 합니다.


11 추가 사용자를 추가하려면 + 를 클릭합니다. 예를 들어CN=username,CN=Users,OU=myUnit,DC=myCorp,DC=com을 입력합니다.

사용자를 제외하려면 필터를 만들어 일부 사용자 유형을 제외합니다. 필터 기준으로 사용할 사용자특성, 쿼리 규칙 및 값을 선택합니다.

다음을 클릭합니다.


34 VMware, Inc.

12 페이지를 검토하여 디렉토리에 동기화되는 사용자 및 그룹의 수를 확인하고 기본 동기화 스케줄을 확인합니다.

사용자 및 그룹을 변경하거나 동기화 빈도를 변경하려면 편집 링크를 클릭합니다.

13 디렉토리 동기화를 클릭하여 디렉토리 동기화를 시작합니다.

LDAP 디렉토리 연결이 설정되고 사용자 및 그룹이 LDAP 디렉토리에서 VMware Identity Manager디렉토리로 동기화됩니다. 바인딩 DN 사용자는 기본적으로 VMware Identity Manager에서 관리자역할을 가집니다.

4장 LDAP 디렉토리와 통합

VMware, Inc. 35


36 VMware, Inc.

로컬 디렉토리 사용 5로컬 디렉토리는 VMware Identity Manager 서비스에서 생성할 수 있는 디렉토리 유형 중 하나입니다. 로컬 디렉토리를 사용하여 서비스에서 로컬 사용자를 프로비저닝할 수 있으며, 사용자를 엔터프라이즈 디렉토리에 추가하지 않고도 특정 애플리케이션에 액세스하도록 할 수 있습니다. 로컬 디렉토리는 엔터프라이즈 디렉토리에 연결되지 않으며 사용자 및 그룹은 엔터프라이즈 디렉토리에서 동기화되지 않습니다. 대신 로컬 디렉터리에 직접 로컬 사용자를 생성합니다.

시스템 디렉토리라고 하는 기본 로컬 디렉토리를 서비스에서 사용할 수 있습니다. 새 로컬 디렉토리를 여러 개 생성할 수도 있습니다.

시스템 디렉토리시스템 디렉토리는 처음 설정할 때 서비스에서 자동으로 생성되는 로컬 디렉토리입니다. 이 디렉토리에는시스템 도메인이라는 도메인이 있습니다. 시스템 디렉토리의 이름이나 도메인을 변경하거나 여기에 새 도메인을 추가할 수 없습니다. 시스템 디렉토리나 시스템 도메인을 삭제할 수도 없습니다.

VMware Identity Manager 장치를 처음 설정할 때 생성되는 로컬 관리자는 시스템 디렉토리의 시스템 도메인에 생성됩니다.

시스템 디렉토리에 다른 사용자를 추가할 수 있습니다. 시스템 디렉토리는 일반적으로 서비스를 관리하도록 몇몇 로컬 관리자를 설정하는 데 사용됩니다. 최종 사용자 및 추가 관리자를 프로비저닝하고 애플리케이션에 대한 사용 권한을 부여하려면 새 로컬 디렉토리를 생성하는 것을 권장합니다.

로컬 디렉토리로컬 디렉토리를 여러 개 생성할 수 있습니다. 각 로컬 디렉토리에는 하나 이상의 도메인이 있을 수 있습니다. 로컬 사용자를 생성할 때 사용자의 디렉토리 및 도메인을 지정합니다.

로컬 디렉토리의 모든 사용자에 대해 특성을 선택할 수도 있습니다. userName, lastName 및firstName과 같은 사용자 특성은 VMware Identity Manager 서비스의 글로벌 수준에서 지정됩니다. 기본 특성 목록을 사용할 수 있으며 사용자 지정 특성을 추가할 수 있습니다. 글로벌 사용자 특성은로컬 디렉토리를 비롯한 서비스의 모든 디렉토리에 적용됩니다. 로컬 디렉토리 수준에서 디렉토리에 필요한 특성을 선택할 수 있습니다. 이를 통해 다양한 로컬 디렉토리에 대한 사용자 지정 특성 집합을 가질 수있습니다. userName, lastName, firstName 및 email은 항상 로컬 디렉토리에 대해 필수입니다.

참고 디렉토리 수준에서 사용자 특성을 사용자 지정하는 기능은 Active Directory 또는 LDAP 디렉토리가 아닌 로컬 디렉토리에 대해서만 사용할 수 있습니다.

로컬 디렉토리를 생성하는 방식은 다음과 같은 시나리오에서 유용합니다.

n 엔터프라이즈 디렉토리에 속하지 않는 특정 사용자 유형에 대한 로컬 디렉토리를 생성할 수 있습니다. 예를 들어 일반적으로 엔터프라이즈 디렉토리에 속하지 않는 파트너용 로컬 디렉토리를 생성한후 해당 파트너에게 필요한 특정 애플리케이션에만 액세스할 수 있는 권한을 부여할 수 있습니다.

VMware, Inc. 37

n 사용자 집합마다 다른 사용자 특성 또는 인증 방법을 원할 경우 여러 로컬 디렉토리를 생성할 수 있습니다. 예를 들어 지역 및 시장 규모와 같은 사용자 특성을 갖는 유통업체용 로컬 디렉토리와 제품 범주 및 공급업체 유형과 같은 사용자 특성을 갖는 또 다른 공급업체용 로컬 디렉토리를 생성할 수 있습니다.

시스템 디렉토리 및 로컬 디렉토리에 대한 ID 제공자기본적으로 시스템 디렉토리는 시스템 ID 제공자라는 ID 제공자와 연결되어 있습니다. 암호(클라우드 디렉토리) 방법은 기본적으로 이 ID 제공자에 대해 사용되도록 설정되며, [모든 범위] 네트워크 범위 및 웹브라우저 디바이스 유형에 대한 default_access_policy_set 정책에 적용됩니다. 추가 인증 방법을 구성하고 인증 정책을 설정할 수 있습니다.

새 로컬 디렉토리를 생성할 때 이는 ID 제공자에 연결되지 않습니다. 디렉토리를 생성한 후에Embedded 유형의 새 ID 제공자를 생성하고 디렉토리를 이 제공자에 연결합니다. ID 제공자에 대해 암호(클라우드 디렉토리) 인증 방법을 사용하도록 설정합니다. 여러 로컬 디렉토리가 동일한 ID 제공자에연결될 수 있습니다.

시스템 디렉토리 또는 생성한 로컬 디렉토리에 대한 VMware Identity Manager 커넥터는 필요하지않습니다.

자세한 정보는 VMware Identity Manager 관리의 "VMware Identity Manager에서 사용자 인증구성"의 내용을 참조하십시오.

로컬 디렉토리 사용자의 암호 관리기본적으로 로컬 디렉토리의 모든 사용자는 Workspace ONE 포털 또는 애플리케이션에서 암호를 변경할 수 있습니다. 로컬 사용자의 암호 정책을 설정할 수 있습니다. 필요에 따라 로컬 사용자 암호를 재설정할 수도 있습니다.

사용자는 Workspace ONE 포털에 로그인될 때 상단 오른쪽 구석에서 해당 이름을 클릭하고 드롭다운메뉴에서 계정을 선택한 후 암호 변경 링크를 클릭하여 해당 암호를 변경할 수 있습니다. WorkspaceONE 애플리케이션에서 사용자는 삼중 막대 메뉴 아이콘을 클릭하고 암호를 선택하여 암호를 변경할 수있습니다.

암호 정책 설정 및 로컬 사용자 암호 재설정에 대한 자세한 내용은 VMware Identity Manager 관리의 "사용자 및 그룹 관리"를 참조하십시오.


n “로컬 디렉토리 생성,”(38 페이지)

n “로컬 디렉토리 설정 변경,”(42 페이지)

n “로컬 디렉토리 삭제,”(43 페이지)

n “시스템 관리자를 위한 인증 방법 구성,”(44 페이지)

로컬 디렉토리 생성로컬 디렉토리를 생성하려면 디렉토리의 사용자 특성을 지정하고, 디렉토리를 생성하고, ID 제공자로 식별합니다.


38 VMware, Inc.

글로벌 수준에서 사용자 특성 설정

로컬 디렉토리를 생성하기 전에 [사용자 특성] 페이지에서 글로벌 사용자 특성을 검토하고 필요한 경우사용자 지정 특성을 추가합니다.

사용자 특성(예: firstName, lastName, email 및 domain)은 사용자 프로파일에 속합니다.VMware Identity Manager 서비스에서 사용자 특성은 글로벌 수준에서 정의되고 로컬 디렉토리를 포함하여 서비스의 모든 디렉토리에 적용됩니다. 로컬 디렉토리 수준에서 해당 로컬 디렉토리의 사용자에대해 특성이 필수인지 또는 옵션인지를 재정의할 수 있으나 사용자 지정 특성을 추가할 수는 없습니다. 특성이 필수이면 사용자를 생성할 때 값을 제공해야 합니다.

사용자 지정 특성을 생성할 때는 다음 단어를 사용할 수 없습니다.

표 5‑1. 사용자 지정 특성 이름으로 사용할 수 없는 단어

active addresses costCenter

department displayName division

emails employeeNumber 사용 권한

externalId 그룹 id

ims locale manager

meta name nickName

organization 암호 phoneNumber

photos preferredLanguage profileUrl

역할 timezone title

userName userType x509Certificate

참고 디렉토리 수준에서 사용자 특성을 재정의하는 기능은 Active Directory 또는 LDAP 디렉토리가아닌 로컬 디렉토리에만 적용됩니다.

프로시저


2 설정을 클릭하고 사용자 특성 탭을 클릭합니다.

3 사용자 특성 목록을 검토하고 필요한 경우 다른 특성을 더 추가합니다.

참고 이 페이지에서는 필수 특성을 선택할 수 있지만 로컬 디렉토리 수준에서 로컬 디렉토리의 특성을 선택하는 것이 좋습니다. 이 페이지에서 특성이 필수로 표시되면 Active Directory 또는 LDAP디렉토리를 포함하여 서비스의 모든 디렉토리에 적용됩니다.


후속 작업

로컬 디렉토리를 생성합니다.

로컬 디렉토리 생성

글로벌 사용자 특성을 검토 및 설정한 후에 로컬 디렉토리를 생성합니다.

프로시저

1 관리 콘솔에서 ID 및 액세스 관리 탭을 클릭한 다음 디렉토리 탭을 클릭합니다.

5장 로컬 디렉토리 사용

VMware, Inc. 39

2 디렉토리 추가를 클릭하고 드롭다운 메뉴에서 로컬 사용자 디렉토리 추가를 선택합니다.

3 [디렉토리 추가] 페이지에서 디렉토리 이름을 입력하고 하나 이상의 도메인 이름을 지정합니다.

도메인 이름은 서비스의 모든 디렉토리에서 고유해야 합니다.

예:


5 [디렉토리] 페이지에서 새 디렉토리를 클릭합니다.


40 VMware, Inc.

6 사용자 특성 탭을 클릭합니다.

[ID 및 액세스 관리] > [설정] > [사용자 특성] 페이지의 모든 특성이 로컬 디렉토리에 대해 나열됩니다. 해당 페이지에서 필수로 표시된 특성은 로컬 디렉토리 페이지에서도 필수로 표시됩니다.

7 로컬 디렉토리에 대한 특성을 사용자 지정합니다.

필수 특성과 선택적 특성을 지정할 수 있습니다. 특성 표시 순서도 변경할 수 있습니다.

중요 특성 userName, firstName, lastName 및 email은 항상 로컬 디렉토리에 대해 필수입니다.

n 특성을 필수로 표시하려면 특성 이름 옆의 확인란을 선택합니다.

n 특성을 선택적으로 표시하려면 특성 이름 옆의 확인란을 선택 취소합니다.

n 특성 순서를 변경하려면 특성을 클릭하고 새 위치로 끌어다 놓습니다.

특성이 필수 특성이면 사용자를 생성할 때 특성 값을 지정해야 합니다.

예:


후속 작업

로컬 디렉토리를 디렉토리에서 사용자를 인증하는 데 사용할 ID 제공자에 연결합니다.

로컬 디렉토리를 ID 제공자에 연결

디렉토리의 사용자를 인증할 수 있도록 로컬 디렉토리를 ID 제공자에게 연결합니다. Embedded 유형의새 ID 제공자를 생성하고 ID 제공자에 대해 암호(로컬 디렉토리) 인증 방법을 사용하도록 설정합니다.

참고 기본 제공 ID 제공자는 사용하지 마십시오. 기본 제공 ID 제공자에 대해 암호(로컬 디렉토리) 인증 방법을 사용하도록 설정하는 것은 권장되지 않습니다.

프로시저

1 ID 및 액세스 관리 탭에서 ID 제공자 탭을 클릭합니다.

2 ID 제공자 추가를 클릭하고 기본 제공 IDP 생성을 선택합니다.


VMware, Inc. 41

3 다음 정보를 입력합니다.

옵션 설명

ID 제공자 이름 ID 제공자 이름을 입력합니다.

사용자 생성한 로컬 디렉토리를 선택합니다.

네트워크 이 ID 제공자에 액세스할 수 있는 네트워크를 선택합니다.

인증 방법 암호(로컬 디렉토리)를 선택합니다.

KDC 인증서 내보내기 AirWatch 관리 iOS 디바이스에 대해 모바일 SSO를 구성하지 않으면인증서를 다운로드할 필요가 없습니다.

4 추가를 클릭합니다.

ID 제공자가 생성되고 로컬 디렉토리와 연결됩니다. 나중에 ID 제공자에 대해 다른 인증 방법을 구성할수 있습니다. 인증에 대한 자세한 내용은 VMware Identity Manager 관리의 "VMware IdentityManager에서 사용자 인증 구성"을 참조하십시오.

여러 로컬 디렉토리에 대해 동일한 ID 제공자를 사용할 수 있습니다.

후속 작업

로컬 사용자 및 그룹을 생성합니다. 관리 콘솔의 사용자 및 그룹 탭에서 로컬 사용자 및 그룹을 생성합니다. 자세한 내용은 VMware Identity Manager 관리의 "사용자 및 그룹 관리"를 참조하십시오.

로컬 디렉토리 설정 변경로컬 디렉토리를 생성한 후에 언제든지 해당 설정을 수정할 수 있습니다.

다음과 같은 설정을 변경할 수 있습니다.

n 디렉토리 이름을 변경합니다.

n 도메인을 추가하거나 삭제하거나 이름을 바꿉니다.

n 도메인 이름은 서비스의 모든 디렉토리에서 고유해야 합니다.

n 도메인 이름을 변경하면 이전 도메인과 연결된 사용자가 새 도메인에 연결됩니다.

n 디렉토리에는 하나 이상의 도메인이 있어야 합니다.


42 VMware, Inc.

n 시스템 디렉토리에 도메인을 추가하거나 시스템 도메인을 삭제할 수는 없습니다.

n 새 사용자 특성을 추가하거나 기존 특성을 필수 또는 옵션으로 지정합니다.

n 로컬 디렉토리에 아직 사용자가 없으면 새 특성을 옵션 또는 필수로 추가하고, 기존 특성을 필수또는 옵션으로 변경할 수 있습니다.

n 로컬 디렉토리에 이미 사용자를 생성했으면 새 특성을 옵션 특성으로만 추가할 수 있으며 기존특성을 필수에서 옵션으로 변경할 수 있습니다. 사용자가 생성된 후에는 옵션 특성을 필수로 지정할 수 없습니다.

n 특성 userName, firstName, lastName 및 email은 항상 로컬 디렉토리에 대해 필수입니다.

n 사용자 특성이 VMware Identity Manager 서비스의 글로벌 수준에서 정의되면 새로 추가하는 모든 특성이 서비스의 모든 디렉토리에 나타납니다.

n 특성이 나타나는 순서를 변경합니다.

프로시저

1 ID 및 액세스 관리 탭을 클릭합니다.

2 [디렉토리] 페이지에서 편집하려는 디렉토리를 클릭합니다.

3 로컬 디렉토리 설정을 편집합니다.

옵션 작업

디렉토리 이름 변경 a 설정 탭에서 디렉토리 이름을 편집합니다.

b 저장을 클릭합니다.

도메인 추가, 삭제 또는 이름 바꾸기 a 설정 탭에서 도메인 목록을 편집합니다.

b 도메인을 추가하려면 녹색 더하기 아이콘을 클릭합니다.

c 도메인을 삭제하려면 빨간색 삭제 아이콘을 클릭합니다.

d 도메인 이름을 바꾸려면 텍스트 상자에서 도메인 이름을 편집합니다.

디렉토리에 사용자 특성 추가 a ID 및 액세스 관리 탭을 클릭하고 설정을 클릭합니다.

b 사용자 특성 탭을 클릭합니다.

c 사용할 다른 특성 추가 목록에서 특성을 추가하고 저장을 클릭합니다.

디렉토리에 대해 특성을 필수 또는 옵션으로 지정

a ID 및 액세스 관리 탭에서 디렉토리 탭을 클릭합니다.

b 로컬 디렉토리 이름을 클릭하고 사용자 특성 탭을 클릭합니다.

c 특성을 필수 특성으로 지정하려면 특성 옆의 확인란을 선택하고, 옵션 특성으로 지정하려면 이 확인란을 선택 취소합니다.

d 저장을 클릭합니다.

특성 순서 변경 a ID 및 액세스 관리 탭에서 디렉토리 탭을 클릭합니다.

b 로컬 디렉토리 이름을 클릭하고 사용자 특성 탭을 클릭합니다.

c 특성을 클릭한 후 새 위치로 드래그합니다.

d 저장을 클릭합니다.

로컬 디렉토리 삭제VMware Identity Manager 서비스에서 생성한 로컬 디렉토리를 삭제할 수 있습니다. 서비스를 처음설정할 때 기본적으로 생성되는 시스템 디렉토리는 삭제할 수 없습니다.

주의 디렉토리를 삭제하면 디렉토리의 모든 사용자도 서비스에서 삭제됩니다.

프로시저

1 ID 및 액세스 관리 탭을 클릭한 다음 디렉토리 탭을 클릭합니다.


VMware, Inc. 43

2 삭제하려는 디렉토리를 클릭합니다.

3 [디렉토리] 페이지에서 디렉토리 삭제를 클릭합니다.

시스템 관리자를 위한 인증 방법 구성관리자가 시스템 디렉토리에서 로그인하는 기본 인증 방법은 암호(로컬 디렉토리)입니다. 기본 액세스 정책은 관리자가 VMware Identity Manager 관리 콘솔 및 Workspace ONE 포털에 로그인할 수 있도록 폴백 방법으로 암호(로컬 디렉토리)를 사용하도록 구성됩니다.

시스템 관리자에게 사용 권한이 있는 특정 웹 및 데스크톱 애플리케이션에 대한 액세스 정책을 생성하는경우 폴백 인증 방법으로 암호(로컬 디렉토리)를 포함하도록 이러한 정책을 구성해야 합니다. 그러지 않으면 관리자가 애플리케이션에 로그인할 수 없습니다.


44 VMware, Inc.

Just-in-Time 사용자 프로비저닝 6Just-in-Time 사용자 프로비저닝을 사용하면 로그인할 때 타사 ID 제공자가 보낸 SAML 어설션을 사용하여 동적으로 VMware Identity Manager 서비스에서 사용자를 생성할 수 있습니다. Just-in-Time 사용자 프로비저닝은 타사 ID 제공자에서만 사용할 수 있습니다. VMware Identity Manager커넥터에는 사용할 수 없습니다.


n “Just-in-Time 사용자 프로비저닝 정보,”(45 페이지)

n “Just-in-Time 프로비저닝 준비,”(46 페이지)

n “Just-in-Time 사용자 프로비저닝 구성,”(48 페이지)

n “SAML 어설션에 대한 요구 사항,”(48 페이지)

n “Just-in-Time 사용자 프로비저닝 사용 안 함,”(49 페이지)

n “Just-in-Time 디렉토리 삭제,”(50 페이지)

n “오류 메시지,”(50 페이지)

Just-in-Time 사용자 프로비저닝 정보Just-in-Time 프로비저닝은 VMware Identity Manager 서비스에서 사용자를 프로비저닝하는 또다른 방법을 제공합니다. Active Directory 인스턴스에서 사용자를 동기화하는 대신, Just-in-Time프로비저닝을 사용하면 사용자 로그인 시 ID 제공자가 보낸 SAML 어설션을 기준으로 사용자가 동적으로 만들어지고 업데이트됩니다.

이 시나리오에서 VMware Identity Manager는 SAML SP(서비스 제공자) 역할을 합니다.

Just-in-Time 구성은 타사 ID 제공자에 대해서만 구성할 수 있습니다. 커넥터에 대해서는 사용할 수 없습니다.

Just-in-Time 구성을 사용할 경우 모든 사용자 생성 및 관리가 SAML 어설션을 통해 처리되고 타사ID 제공자가 인증을 처리하므로 온-프레미스에서 커넥터를 설치할 필요가 없습니다.

사용자 생성 및 관리

Just-in-Time 사용자 프로비저닝이 사용되도록 설정되면 사용자가 VMware Identity Manager 서비스 로그인 페이지로 이동한 후 도메인을 선택할 경우 사용자가 올바른 ID 제공자로 리디렉션됩니다. 사용자는 로그인한 후 인증되고, ID 제공자에 의해 SAML 어설션을 통해 VMware Identity Manager서비스로 다시 리디렉션됩니다. SAML 어설션의 특성은 서비스에서 사용자를 만드는 데 사용됩니다. 서비스에 정의된 사용자 특성과 일치하는 특성만 사용되고 다른 특성은 무시됩니다. 또한 해당 사용자는 특성을 기준으로 그룹에 추가되고 해당 그룹에 대해 설정된 사용 권한을 받습니다.

이후 로그인 시 SAML 어설션이 변경된 경우 사용자가 서비스에서 업데이트됩니다.

VMware, Inc. 45

Just-in-Time 프로비저닝된 사용자는 삭제할 수 없습니다. 사용자를 삭제하려면 Just-in-Time 디렉토리를 삭제해야 합니다.

모든 사용자 관리는 SAML 어설션을 통해 처리됩니다. 서비스에서 직접 이러한 사용자를 만들거나 업데이트할 수는 없습니다. Just-in-Time 사용자는 Active Directory에서 동기화할 수 없습니다.

SAML 어설션에 필요한 특성에 대한 자세한 정보는 “SAML 어설션에 대한 요구 사항,”(48 페이지)의 내용을 참조하십시오.

Just-in-Time 디렉토리

타사 ID 제공자의 경우 서비스에서 연결된 Just-in-Time 디렉토리가 있어야 합니다.

처음에 ID 제공자에 대해 Just-in-Time 프로비저닝을 사용하도록 설정할 경우 새 Just-in-Time 디렉토리를 만들고 해당 디렉토리에 대해 하나 이상의 도메인을 지정합니다. 해당 도메인에 속하는 사용자는해당 디렉토리로 프로비저닝됩니다. 해당 디렉토리에 대해 여러 도메인이 구성되면 SAML 어설션에 도메인 특성이 포함되어야 합니다. 디렉토리에 대해 단일 도메인이 구성되면 SAML 어설션에 대해 도메인특성이 필요하지 않지만, 지정할 경우에는 해당 값이 도메인 이름과 일치해야 합니다.

Just-in-Time 유형의 디렉토리 1개만 Just-in-Time 프로비저닝을 사용하도록 설정된 ID 제공자와 연결될 수 있습니다.

Just-in-Time 프로비저닝 준비Just-in-Time 사용자 프로비저닝을 구성하기 전에 필요에 따라 그룹, 그룹 사용 권한, 사용자 특성 설정을 검토하고 변경합니다. 또한 Just-in-Time 디렉토리에 사용할 도메인을 식별합니다.

로컬 그룹 만들기

Just-in-Time 프로비저닝을 통해 프로비저닝된 사용자는 사용자 특성을 기준으로 그룹에 추가되고 해당 사용자가 속하는 그룹에서 리소스 사용 권한이 파생됩니다. Just-in-Time 프로비저닝을 구성하기 전에 로컬 그룹이 서비스에 있는지 확인합니다. 필요에 따라 하나 이상의 로컬 그룹을 만듭니다. 각 그룹에대해 그룹 멤버 자격의 규칙을 설정하고 사용 권한을 추가합니다.

프로시저

1 관리 콘솔에서 사용자 및 그룹 탭을 클릭합니다.

2 그룹 생성을 클릭하고 그룹의 이름 및 설명을 입력한 후 추가를 클릭합니다.

3 [그룹] 페이지에서 새 그룹을 클릭합니다.

4 그룹에 대한 사용자를 설정합니다.

a 왼쪽 창에서 이 그룹의 사용자를 선택합니다.

b 이 그룹의 사용자 수정을 클릭하고 그룹 멤버 자격에 대한 규칙을 설정합니다.

5 그룹에 사용 권한을 추가합니다.

a 왼쪽 창에서 사용 권한을 선택합니다.

b 사용 권한 추가를 클릭하고 애플리케이션과 각 애플리케이션에 대한 배포 방법을 선택합니다.

c 저장을 클릭합니다.


46 VMware, Inc.

사용자 특성 검토

[사용자 특성] 페이지의 모든 VMware Identity Manager 디렉토리에 대해 설정된 사용자 특성을 검토하고 필요한 경우에는 수정합니다. 사용자가 Just-in-Time 프로비저닝을 통해 프로비저닝된 경우에는 SAML 어설션을 사용하여 사용자를 생성합니다. [사용자 특성] 페이지에 나열된 특성과 일치하는SAML 어설션의 특성만 사용됩니다.

중요 [사용자 특성] 페이지에서 특성이 필수로 표시된 경우에는 SAML 어설션에 특성이 포함되어야 하며, 그렇지 않은 경우에는 로그인이 실패합니다.

사용자 특성을 변경할 때 테넌트에 있는 다른 디렉토리와 구성에 미치는 영향을 고려합니다. [사용자 특성] 페이지는 테넌트에 있는 모든 디렉토리에 적용됩니다.

참고 domain 특성을 필수로 표시할 필요는 없습니다.

프로시저


2 설정을 클릭하고 사용자 특성을 클릭합니다.

3 특성을 검토하고 필요한 경우에는 변경합니다.

6장 Just-in-Time 사용자 프로비저닝

VMware, Inc. 47

Just-in-Time 사용자 프로비저닝 구성VMware Identity Manager 서비스에서 ID 제공자를 만들거나 업데이트하는 동안 타사 ID 제공자에대한 Just-in-Time 사용자 프로비저닝을 구성합니다.

Just-in-Time 프로비저닝을 사용하도록 설정할 경우 새 Just-in-Time 디렉토리를 만들고 해당 디렉토리에 대해 하나 이상의 도메인을 지정합니다. 이러한 도메인에 속하는 사용자는 디렉토리에 추가됩니다.

하나 이상의 도메인을 지정해야 합니다. 도메인 이름은 VMware Identity Manager 서비스의 모든 디렉토리에서 고유해야 합니다. 여러 도메인을 지정하는 경우 SAML 어설션에 도메인 특성이 포함되어야합니다. 단일 도메인을 지정하는 경우 이 도메인이 도메인 특성 없이 SAML 어설션에 대한 도메인으로사용됩니다. 도메인 특성을 지정하면 해당 값이 도메인 중 하나와 일치해야 하며 그렇지 않을 경우 로그인이 실패합니다.

프로시저

1 VMware Identity Manager 서비스 관리 콘솔에 로그인합니다.

2 ID 및 액세스 관리 탭을 클릭하고 ID 제공자를 클릭합니다.

3 ID 제공자 추가를 클릭하거나 ID 제공자를 선택합니다.

4 Just-in-Time 사용자 프로비저닝 섹션에서 사용을 클릭합니다.

5 다음 정보를 지정합니다.

n 새 Just-in-Time 디렉토리 이름.

n 하나 이상의 도메인.

중요 도메인 이름은 테넌트의 모든 디렉토리에서 고유해야 합니다.

예:

6 페이지의 나머지 부분을 완료하고 추가 또는 저장을 클릭합니다. 자세한 정보는 “사용자를 인증하도록 타사 ID 제공자 인스턴스 구성,”(72 페이지)의 내용을 참조하십시오.

SAML 어설션에 대한 요구 사항타사 ID 제공자에 대해 Just-in-Time 사용자 프로비저닝을 사용하도록 설정된 경우에는 SAML 어설션을 기반으로 로그인할 때 VMware Identity Manager 서비스에서 사용자가 생성 또는 업데이트됩니다. ID 제공자가 보낸 SAML 어설션에는 몇 가지 특성이 포함되어야 합니다.

n SAML 어설션에는 userName 특성이 포함되어야 합니다.


48 VMware, Inc.

n SAML 어설션에는 VMware Identity Manager 서비스에서 필수로 표시된 모든 사용자 특성이포함되어야 합니다.

관리 콘솔에서 사용자 특성을 보거나 편집하려면 ID 및 액세스 관리 탭에서 설정을 클릭한 후 사용자특성을 클릭합니다.

중요 SAML 어설션에 있는 키가 특성 이름과 대/소문자까지 정확하게 일치하는지 확인합니다.

n Just-in-Time 디렉토리에 대해 여러 도메인을 구성하는 경우에는 SAML 어설션에 domain 특성이포함되어야 합니다. 특성 값은 디렉토리에 대해 구성된 도메인 중 하나와 일치해야 합니다. 값이 일치하지 않거나 도메인이 지정되지 않은 경우에는 로그인이 실패합니다.

n Just-in-Time 디렉토리에 대해 단일 도메인을 구성하는 경우에는 SAML 어설션에 domain 특성을지정하는 것은 선택 사항입니다.

domain 특성을 지정할 경우에는 값이 디렉토리에 대해 구성된 도메인과 일치하는지 확인합니다.SAML 어설션에 도메인 특성이 포함되어 있지 않으면 사용자는 디렉토리에 대해 구성된 도메인에연결됩니다.

n 사용자 이름 업데이트를 허용하려면 SAML 어설션에 ExternalId 특성을 포함시킵니다. 사용자는ExternalId로 식별합니다. 다음 로그인할 때 SAML 어설션에 다른 사용자 이름이 포함되어 있으면 사용자는 계속해서 올바르게 식별되고 로그인에 성공하며 Identity Manager 서비스에서 사용자 이름이 업데이트됩니다.

SAML 어설션의 특성은 다음과 같이 사용자를 생성하거나 업데이트하는 데 사용됩니다.

n Identity Manager 서비스에서 필수 또는 선택 사항인 특성이 사용됩니다([사용자 특성] 페이지에나열된 것과 같음).

n [사용자 특성] 페이지의 특성과 일치하지 않는 특성은 무시됩니다.

n 값이 없는 특성은 무시됩니다.

Just-in-Time 사용자 프로비저닝 사용 안 함Just-in-Time 사용자 프로비저닝을 사용하지 않도록 설정할 수 있습니다. 이 옵션을 사용하지 않도록설정하면 새로운 사용자가 생성되지 않으며 기존 사용자는 로그인할 때 업데이트되지 않습니다. 기존 사용자는 계속 ID 제공자를 통해 인증됩니다.

프로시저

1 관리 콘솔에서 ID 및 액세스 관리 탭을 클릭한 후 ID 제공자를 클릭합니다.

2 편집할 ID 제공자를 클릭합니다.

3 Just-in-Time 사용자 프로비저닝 섹션에서 사용 확인란을 선택 취소합니다.


VMware, Inc. 49

Just-in-Time 디렉토리 삭제Just-in-Time 디렉토리는 Just-in-Time 사용자 프로비저닝이 사용되도록 설정된 타사 ID 제공자와연결된 디렉토리입니다. 이 디렉토리를 삭제하면 디렉토리의 모든 사용자도 삭제되고 Just-in-Time 구성은 사용되지 않도록 설정됩니다. Just-in-Time ID 제공자는 단일 디렉토리만 갖고 있을 수 있으므로이 디렉토리를 삭제하면 ID 제공자를 더 이상 사용할 수 없습니다.

ID 제공자에 대해 Just-in-Time 구성을 다시 사용하도록 설정하려면 새 디렉토리를 만들어야 합니다.

프로시저


2 [디렉토리] 페이지에서 삭제하려는 디렉토리를 찾습니다.

유형 열에서 디렉토리 유형을 찾아 Just-in-Time 디렉토리를 식별할 수 있습니다.

3 디렉토리 이름을 클릭합니다.

4 디렉토리 삭제를 클릭합니다.

오류 메시지관리자 또는 최종 사용자에게 Just-in-Time 프로비저닝과 관련된 오류가 표시될 수 있습니다. 예를 들어 SAML 어설션에서 필수 특성이 누락된 경우에는 오류가 발생하며 사용자가 로그인할 수 없게 됩니다.

관리 콘솔에 다음과 같은 오류가 표시될 수 있습니다.

오류 메시지 솔루션

JIT 사용자 프로비저닝을 사용하도록 설정한 경우에는 하나 이상의 디렉토리를 ID 제공자와 연결해야 합니다.

ID 제공자와 연결된 디렉토리가 없습니다. Just-in-Time 프로비저닝을 사용하도록 설정된 ID 제공자에게 Just-in-Time 디렉토리를 연결해야 합니다.

1 관리 콘솔의 ID 및 액세스 관리 탭에서 ID 제공자를 클릭하고ID 제공자를 클릭합니다.

2 Just-in-Time 사용자 프로비저닝 섹션에서 디렉토리 이름과하나 이상의 도메인을 지정합니다.


Just-in-Time 디렉토리가 생성됩니다.

로그인 페이지에 다음과 같은 오류가 표시될 수 있습니다.


50 VMware, Inc.

오류 메시지 솔루션

사용자 특성 누락: name. 타사 ID 제공자가 보낸 SAML 어설션에서 필수 사용자특성이 누락되었습니다. [사용자 특성] 페이지에서 필수로 표시된 모든 특성을 SAML 어설션에 포함해야 합니다. 올바른 SAML 어설션을 보내도록 타사 ID 제공자 설정을 수정합니다.

도메인이 없어 추론할 수 없습니다. SAML 어설션에 도메인 특성이 포함되어 있지 않아 도메인을 확인할 수 없습니다. 다음과 같은 경우에 도메인 특성이 필요합니다.n Just-in-Time 디렉토리에 여러 도메인이 구성된 경우.

n [사용자 특성] 페이지에서 도메인이 필수 특성으로 표시된 경우.

도메인 특성이 지정된 경우에는 값이 디렉토리에 지정된도메인 중 하나와 일치해야 합니다.

올바른 SAML 어설션을 보내도록 타사 ID 제공자 설정을수정합니다.

특성 이름: name, 값: value. SAML 어설션에 있는 특성이 테넌트의 [사용자 특성] 페이지에 있는 특성과 일치하지 않아 무시됩니다.

JIT 사용자를 생성하거나 업데이트하지 못했습니다. 서비스에서 사용자를 생성할 수 없습니다. 가능한 원인은다음과 같습니다.n SAML 어설션에서 필수 특성이 누락되었습니다.

[사용자 특성] 페이지에서 특성을 검토하고 SAML어설션에 필수로 표시된 특성이 모두 포함되어 있는지확인합니다.

n 사용자의 도메인을 확인할 수 없습니다.

SAML 어설션에서 도메인 특성을 지정하고 값이Just-in-Time 디렉토리에 구성된 도메인 중 하나와일치하는지 확인합니다.


VMware, Inc. 51


52 VMware, Inc.

VMware Identity Manager 에서사용자 인증 구성 7

VMware Identity Manager는 여러 인증 방법을 지원합니다. 단일 인증 방법을 구성하고 연결된 2단계 인증을 설정할 수 있습니다. 또한 RADIUS 및 SAML 프로토콜에 외부 인증 방법을 사용할 수 있습니다.

VMware Identity Manager 서비스에서 사용하는 ID 제공자 인스턴스는 SAML 2.0 어설션을 사용하여 서비스와 통신하는 네트워크 내부 페더레이션 기관을 만듭니다.

초기에 VMWare Identity Manager 서비스를 배포할 때는 커넥터가 이 서비스의 초기 ID 제공자가 됩니다. 사용자 인증 및 관리에는 기존 Active Directory 인프라가 사용됩니다.

다음 인증 방법이 지원됩니다. 관리 콘솔에서 이러한 인증 방법을 구성할 수 있습니다.

인증 방법 설명

암호(온-프레미스 배포)

Active Directory가 구성된 후 다른 구성이 없이 VMware Identity Manager는 ActiveDirectory 암호 인증을 지원합니다. 이 방법은 사용자를 직접 Active Directory에 대해 인증합니다.

데스크톱용 Kerberos Kerberos 인증은 도메인 사용자에게 해당 애플리케이션 포털에 대한 단일 로그인 액세스를제공합니다. 사용자는 네트워크에 로그인한 후 애플리케이션 포털에 다시 로그인할 필요가없습니다. Windows 통합 인증이 있는 데스크톱에 대한 Kerberos 인증과 ActiveDirectory 및 AirWatch 간에 신뢰 관계가 설정된 경우 iOS 9 모바일 디바이스에 대한 기본 제공 Kerberos 인증의 두 가지 Kerberos 인증 방법을 구성할 수 있습니다.

인증서(온-프레미스배포)

클라이언트가 자신의 데스크톱 및 모바일 디바이스에서 인증서를 사용하여 인증하거나 스마트 카드 어댑터를 인증에 사용할 수 있도록 인증서 기반 인증을 구성할 수 있습니다.

인증서 기반 인증은 사용자가 소유한 항목과 사용자가 알고 있는 내용을 기반으로 합니다.X.509 인증서는 공용 키 인프라 표준을 사용하여 인증서 내에 포함된 공용 키가 사용자에게속하는지 확인합니다.

RSA SecurID(온-프레미스 배포)

RSA SecurID 인증이 구성된 경우 VMware Identity Manager는 RSA SecurID 서버에서 인증 에이전트로 구성됩니다. RSA SecurID 인증에서는 사용자가 토큰 기반 인증 시스템을 사용해야 합니다. RSA SecurID는 엔터프라이즈 네트워크 외부에서VMware Identity Manager에 액세스하는 사용자를 위한 인증 방법입니다.

RADIUS(온-프레미스배포)

RADIUS 인증은 2단계 인증 옵션을 제공합니다. VMware Identity Manager 서비스에액세스할 수 있는 RADIUS 서버를 설정합니다. 사용자가 사용자 이름 및 암호를 사용하여로그인할 경우 인증을 위해 액세스 요청이 RADIUS 서버에 제출됩니다.

RSA 어댑티브 인증(온-프레미스 배포)

RSA 인증은 사용자 이름 및 암호만으로 Active Directory에 대해 인증하는 것보다 더 강력한 다단계 인증을 제공합니다. RSA 어댑티브 인증이 사용하도록 설정된 경우 리스크 정책에 지정된 리스크 표시가 RSA 정책 관리 애플리케이션에 설정됩니다. 어댑티브 인증의VMware Identity Manager 서비스 구성은 필요한 인증 프롬프트를 결정하는 데 사용됩니다.

모바일 SSO(iOS용) iOS용 모바일 SSO 인증은 AirWatch 관리 iOS 디바이스의 Single Sign-On 인증에 사용됩니다. 모바일 SSO(iOS용) 인증에서는 Identity Manager 서비스의 일부인 KDC(키배포 센터)를 사용합니다. 이 인증 방법을 사용하도록 설정하려면 먼저 VMware IdentityManager 서비스에서 KDC 서비스를 초기화해야 합니다.

VMware, Inc. 53

인증 방법 설명

모바일SSO(Android용)

Android용 모바일 SSO 인증은 AirWatch 관리 Android 디바이스의 Single Sign-On인증에 사용됩니다. VMware Identity Manager 서비스와 AirWatch 간에 인증을 위해AirWatch에서 인증서를 검색하는 프록시 서비스가 설정됩니다.

암호(AirWatchConnector)

사용자 암호 인증을 위해 AirWatch Cloud Connector를 VMware Identity Manager서비스와 통합할 수 있습니다. AirWatch 디렉토리의 사용자를 동기화하도록 VMwareIdentity Manager 서비스를 구성합니다.

VMware Verify 2단계 인증이 필요한 경우 VMware Verify를 두 번째 인증 방법으로 사용할 수 있습니다.첫 번째 인증 방법은 사용자 이름과 암호이고, 두 번째 인증 방법은 VMware Verify 요청승인 또는 코드입니다.

VMware Verify는 타사 클라우드 서비스를 사용하여 이 기능을 사용자 디바이스에 전달합니다. 이를 위해 이름, 이메일 및 전화 번호와 같은 사용자 정보가 서비스에 저장되지만 기능전달 이외의 용도로는 사용되지 않습니다.

암호(로컬 디렉토리) 암호(로컬 디렉토리) 방법은 시스템 디렉토리와 함께 사용되는 시스템 IDP ID 제공자에 대해기본적으로 사용되도록 설정됩니다. 이 방법은 기본 액세스 정책에 적용됩니다.

인증 방법을 구성한 후에는 디바이스 유형별로 사용할 인증 방법을 지정하는 액세스 정책 규칙을 만듭니다. 구성한 인증 방법, 기본 액세스 정책 규칙, 네트워크 범위 및 ID 제공자 인스턴스에 따라 사용자가 인증됩니다. “사용자에게 적용하기 위한 인증 방법 관리,”(74 페이지)의 내용을 참조하십시오.


n “VMware Identity Manager에 대한 Kerberos 구성,”(54 페이지)

n “VMware Identity Manager의 SecurID 구성,”(58 페이지)

n “VMware Identity Manager에 대한 RADIUS 구성,”(60 페이지)

n “VMware Identity Manager에서 RSA 어댑티브 인증 구성,”(62 페이지)

n “VMware Identity Manager와 함께 사용할 인증서 또는 스마트 카드 어댑터 구성,”(65 페이지)

n “2단계 인증을 위한 VMware Verify 구성,”(68 페이지)

n “기본 제공 ID 제공자 구성,”(69 페이지)

n “추가 Workspace ID 제공자 구성,”(71 페이지)

n “사용자를 인증하도록 타사 ID 제공자 인스턴스 구성,”(72 페이지)

n “사용자에게 적용하기 위한 인증 방법 관리,”(74 페이지)

VMware Identity Manager 에 대한 Kerberos 구성Kerberos 인증은 도메인에 로그인한 사용자가 추가 인증 없이 해당 애플리케이션 포털에 액세스할 수있도록 합니다.

사용자 브라우저 및 Identity Manager 서비스 간에 안전한 상호 작용을 유지하고 AirWatch에서 관리되는 iOS 9 모바일 디바이스에 대해 원터치 Single Sign-In을 수행할 수 있도록 하기 위해 Windows통합 인증이 있는 데스크톱의 Identity Manager 서비스에서 Kerberos 인증 프로토콜을 구성할 수 있습니다. iOS 9 디바이스의 Kerberos 인증에 대한 자세한 정보는 “AirWatch 관리 iOS 디바이스에대한 모바일 Single Sign-On 인증 구현,”(122 페이지)의 내용을 참조하십시오.


54 VMware, Inc.

통합 Windows 인증을 사용하여 데스크톱에 대해 Kerberos 구현

데스크톱에 대해 Kerberos 인증을 설정하려면 사용자 브라우저와 Identity Manager 서비스 사이의상호 작용을 보호할 수 있게 Kerberos 프로토콜을 허용하여 통합 Windows 인증을 사용하도록 설정합니다.

데스크톱에 대해 Kerberos 인증을 사용하도록 설정된 경우, Identity Manager 서비스에서는 ActiveDirectory의 도메인 서비스로 구현된 KDC(키 배포 센터)에서 배포한 Kerberos 티켓을 사용하여 사용자 데스크톱 자격 증명을 검증합니다. Kerberos 기능이 배포에서 작동하도록 직접 Active Directory를 구성할 필요는 없습니다.

사용자가 로그인할 때 최종 사용자 웹 브라우저에서 Kerberos 자격 증명을 보내도록 구성해야 합니다. “Kerberos에 대해 브라우저 구성,”(56 페이지)의 내용을 참조하십시오.

Windows 통합 인증이 있는 데스크톱에 대해 Kerberos 인증 구성

데스크톱에 대해 Kerberos 인증을 제공하도록 VMware Identity Manager 서비스를 구성하려면 도메인에 가입하여 VMware Identity Manager 커넥터에서 Kerberos 인증을 사용하도록 설정해야 합니다.

프로시저

1 관리 콘솔의 [ID 및 액세스 관리] 탭에서 설정을 선택합니다.

2 [커넥터] 페이지에서, Kerberos 인증을 위해 구성 중인 커넥터의 경우 도메인 가입을 클릭합니다.

3 [도메인 가입] 페이지에서 Active Directory 도메인에 대한 정보를 입력합니다.

옵션 설명

도메인 Active Directory의 FQDN(정규화된 도메인 이름)을 입력합니다. 입력하는 도메인 이름은 커넥터 서버와 동일한 Windows 도메인이어야 합니다.

도메인 사용자

Active Directory의 계정(시스템을 해당 Active Directory 도메인에 가입시킬 수 있는 권한을 가진 계정)에 대한 사용자 이름을 입력합니다.

도메인 암호 AD 사용자 이름과 연결된 암호를 입력합니다. 이 암호는 VMware Identity Manager에서 저장하지 않습니다.

저장을 클릭합니다.

[도메인 가입] 페이지가 새로 고쳐지고 사용자가 현재 도메인에 가입되었음을 나타내는 메시지가 표시됩니다.

4 커넥터의 [작업자] 열에서 인증 어댑터를 클릭합니다.

5 KerberosIdpAdapter를 클릭합니다.

ID 관리자 로그인 페이지로 리디렉션됩니다.

6 KerberosldpAdapter 행에서 편집을 클릭하고 Kerberos 인증 페이지를 구성합니다.

옵션 설명

이름 이름은 필수입니다. 기본 이름은 KerberosIdpAdapter입니다. 이 이름은 변경할 수 있습니다.

디렉토리 UID특성

사용자 이름을 포함하는 계정 특성을 입력합니다.

Windows인증 사용

사용자 브라우저와 VMware Identity Manager 간에서 인증 상호 작용을 확장하려면 이 옵션을 선택합니다.

7장 VMware Identity Manager 에서 사용자 인증 구성

VMware, Inc. 55

옵션 설명

NTLM 사용 사용 중인 Active Directory 인프라에서 NTLM 인증을 사용할 경우에만 이 옵션을 선택하여NTLM(NT LAN Manager) 프로토콜 기반 인증을 사용하도록 설정합니다.

리디렉션 사용

라운드 로빈 DNS 및 로드 밸런서가 Kerberos 지원을 하지 않는 경우 이 옵션을 선택합니다.인증 요청이 리디렉션 호스트 이름으로 리디렉션됩니다. 이 옵션을 선택한 경우 리디렉션 호스트이름 텍스트 상자에 리디렉션 호스트 이름을 입력합니다. 일반적으로 서비스의 호스트 이름입니다.


후속 작업

인증 방법을 기본 액세스 정책에 추가합니다. [ID 및 액세스 관리] > [관리] > [정책] 페이지로 이동하고기본 정책 규칙을 편집하여 Kerberos 인증 방법을 올바른 인증 순서대로 규칙에 추가합니다.

Kerberos에 대해 브라우저 구성

Kerberos가 사용되도록 설정되면 사용자가 로그인할 때 Kerberos 자격 증명을 서비스로 전송하도록웹 브라우저를 구성해야 합니다.

Firefox, Internet Explorer 및 Chrome 웹 브라우저를 Windows가 실행되는 컴퓨터의 IdentityManager 서비스에 Kerberos 자격 증명을 전송하도록 구성할 수 있습니다. 모든 브라우저에는 추가구성이 필요합니다.

웹 인터페이스에 액세스하도록 Internet Explorer 구성

배포에 대해 Kerberos가 구성된 경우, 그리고 Internet Explorer를 사용하여 웹 인터페이스에 액세스할 수 있는 권한을 사용자에게 부여할 경우 Internet Explorer 브라우저를 구성해야 합니다.

Kerberos 인증은 Windows 운영 체제에서 VMware Identity Manager와 함께 작동합니다.

참고 다른 운영 체제에서는 이 Kerberos 관련 단계를 구현하지 마십시오.

필수 조건

각 사용자에 대해 Internet Explorer 브라우저를 구성하거나 Kerberos를 구성한 후 사용자에게 지침을 제공하십시오.

프로시저

1 도메인의 사용자로 Windows에 로그인하는지 확인합니다.

2 Internet Explorer에서 자동 로그인을 사용하도록 설정합니다.

a 도구 > 인터넷 옵션 > 보안을 선택합니다.

b 사용자 지정 수준을 클릭합니다.

c 인트라넷 영역에서만 자동으로 그인을 선택합니다.

d 확인을 클릭합니다.

3 커넥터 가상 장치의 이 인스턴스가 로컬 인트라넷 영역에 속하는지 확인합니다.

a Internet Explorer를 사용하여 VMware Identity Manager 로그인URL(https://myconnectorhost.domain/authenticate/)에 액세스합니다.

b 브라우저 창 상태 표시줄의 오른쪽 하단 모서리에서 영역을 찾습니다.

영역이 로컬 인트라넷인 경우 Internet Explorer구성이 완료되었습니다.


56 VMware, Inc.

4 영역이 로컬 인트라넷이 아닌 경우 VMware Identity Manager 로그인 URL을 인트라넷 영역에추가합니다.

a 도구 > 인터넷 옵션 > 보안 > 로컬 인트라넷 > 사이트를 선택합니다.

b 인트라넷 네트워크를 자동으로 감지를 선택합니다.

이 옵션을 선택하지 않은 경우 항목을 인트라넷 영역에 추가하는 이 옵션을 선택하는 것으로 충분합니다.

c (선택 사항) 인트라넷 네트워크를 자동으로 감지를 선택한 경우 모든 대화상자가 닫힐 때까지 확인을 클릭합니다.

d [로컬 인트라넷] 대화상자에서 고급을 클릭합니다.

[로컬 인트라넷]이라는 두 번째 대화상자가 표시됩니다.

e 영역에 이 웹 사이트 추가 텍스트 상자에 VMware Identity Manager URL을 입력합니다.

https://myconnectorhost.domain/authenticate/

f 추가 > 닫기 > 확인을 클릭합니다.

5 Internet Explorer가 Windows 인증을 신뢰할 수 있는 사이트에 전달할 수 있는지 확인합니다.

a [인터넷 옵션] 대화상자에서 고급 탭을 클릭합니다.

b 통합된 Windows 인증 사용을 선택합니다.

이 옵션은 Internet Explorer를 다시 시작한 경우에만 적용됩니다.

c 확인을 클릭합니다.

6 웹 인터페이스에 로그인하여 액세스 권한을 확인합니다.

Kerberos 인증이 성공하면 테스트 URL이 웹 인터페이스로 이동합니다.

Kerberos 프로토콜은 이 Internet Explorer 브라우저 인스턴스와 VMware Identity Manager 간의 모든 상호 작용을 보안합니다. 이제 사용자는 Single Sign-On을 사용하여 Workspace ONE 포털에 액세스할 수 있습니다.

웹 인터페이스에 액세스하도록 Firefox 구성

배포에 대해 Kerberos가 구성된 경우, 그리고 Firefox를 사용하여 웹 인터페이스에 액세스할 수 있는권한을 사용자에게 부여할 경우 Firefox 브라우저를 구성해야 합니다.


필수 조건

각 사용자에 대해 Firefox 브라우저를 구성하거나 Kerberos를 구성한 후 사용자에게 지침을 제공하십시오.

프로시저

1 Firefox 브라우저의 URL 텍스트 상자에서 about:config를 입력하여 고급 설정을 액세스합니다.

2 고급 기능 사용 동의를 클릭합니다.

3 [기본 설정 이름] 열에서 network.negotiate-auth.trusted-uris를 두 번 클릭합니다.

4 텍스트 상자에 VMware Identity Manager URL을 입력합니다.

https://myconnectorhost.domain.com


6 [기본 설정 이름] 열에서 etwork.negotiate-auth.delegation-uris를 두 번 클릭합니다.


VMware, Inc. 57

7 텍스트 상자에 VMware Identity Manager URL을 입력합니다.

https://myconnectorhost.domain.com/authenticate/


9 Firefox 브라우저를 사용하여 로그인 URL에 로그인하여 Kerberos 기능을 테스트합니다. 예를 들어, https://myconnectorhost.domain.com/authenticate/입니다.

Kerberos 인증이 성공하면 테스트 URL이 웹 인터페이스로 이동합니다.

Kerberos 프로토콜은 이 Firefox 브라우저 인스턴스와 VMware Identity Manager 간의 모든 상호작용을 보안합니다. 이제 사용자는 Single Sign-On을 사용하여 Workspace ONE 포털에 액세스할수 있습니다.

웹 인터페이스에 액세스하도록 Chrome 브라우저 구성

배포에 대해 Kerberos가 구성된 경우 및 Chrome 브라우저를 사용하여 웹 인터페이스에 액세스할 수있는 권한을 사용자에게 부여할 경우 Chrome 브라우저를 구성해야 합니다.


참고 다른 운영 체제에서는 이 Kerberos 관련 단계를 구현하지 마십시오.

필수 조건

n Kerberos를 구성합니다.

n Chrome에서는 Internet Explorer 구성을 사용하여 Kerberos 인증을 사용하도록 설정하기 때문에 Chrome에서 Internet Explorer 구성을 사용할 수 있도록 Internet Explorer를 구성해야 합니다. Kerberos 인증을 위해 Chrome을 구성하는 방법에 대한 자세한 내용은 Google 설명서를참조하십시오.

프로시저

1 Chrome 브라우저를 사용하여 Kerberos 기능을 테스트합니다.

2 VMware Identity Manager(https://myconnectorhost.domain.com/authenticate/)에로그인합니다.

Kerberos 인증이 성공하면 테스트 URL이 웹 인터페이스와 연결됩니다.

모든 관련된 Kerberos 구성이 올바르면 상대 프로토콜(Kerberos)이 이 Chrome 브라우저 인스턴스와 VMware Identity Manager 간의 모든 상호 작용의 보안을 유지합니다. 사용자는 Single Sign-On을 사용하여 Workspace ONE 포털에 액세스할 수 있습니다.

VMware Identity Manager 의 SecurID 구성RSA SecurID 서버를 구성할 때 VMware Identity Manager 서비스 정보를 RSA SecurID 서버의인증 에이전트로 추가하고 VMware Identity Manager 서비스에서 RSA SecurID 서버 정보를 구성해야 합니다.

추가적인 보안을 제공하기 위해 SecurID를 구성하는 경우 네트워크가 VMware Identity Manager배포에 적절하게 구성되어 있는지 확인해야 합니다. 특히 SecurID의 경우, SecurID를 사용하여 네트워크 외부의 사용자를 인증하도록 적절한 포트가 열려 있는지 확인해야 합니다.

VMware Identity Manager 설치 마법사를 실행하고 Active Directory 연결을 구성했다면 RSASecurID 서버 준비에 필요한 정보를 얻을 수 있습니다. VMware Identity Manager를 위한 RSASecurID 서버를 준비한 후에는 관리 콘솔에서 SecurID를 사용하도록 설정합니다.


58 VMware, Inc.

n RSA SecurID 서버 준비(59 페이지)

VMware Identity Manager 장치에 대한 정보를 인증 에이전트로 사용하여 RSA SecurID 서버를 구성해야 합니다. 필요한 정보는 네트워크 인터페이스의 호스트 이름 및 IP 주소입니다.

n RSA SecurID 인증 구성(59 페이지)

VMware Identity Manager 장치가 RSA SecurID 서버에서 인증 에이전트로 구성된 후, RSASecurID 구성 정보를 커넥터에 추가해야 합니다.

RSA SecurID 서버 준비

VMware Identity Manager 장치에 대한 정보를 인증 에이전트로 사용하여 RSA SecurID 서버를 구성해야 합니다. 필요한 정보는 네트워크 인터페이스의 호스트 이름 및 IP 주소입니다.

필수 조건

n RSA Authentication Manager 버전 중 하나(RSA AM 6.1.2, 7.1 SP2 이상 또는 8.0 이상)가 엔터프라이즈 네트워크에 설치되어 작동하는지 확인합니다. VMware Identity Manager 서버는 AuthSDK_Java_v8.1.1.312.06_03_11_03_16_51(Agent API 8.1 SP1)을 사용합니다.이 항목은 이전 버전의 RSA Authentication Manager(RSA SecurID 서버)만 지원합니다.RSA Authentication Manager(RSA SecurID 서버)의 설치 및 구성에 대한 자세한 내용은RSA 설명서를 참조하십시오.

프로시저

1 지원되는 버전의 RSA SecurID 서버에서 VMware Identity Manager 커넥터를 인증 에이전트로 추가합니다. 다음 정보를 입력합니다.

옵션 설명

호스트 이름 VMware Identity Manager의 호스트 이름입니다.

IP 주소 VMware Identity Manager의 IP 주소입니다.

대체 IP 주소 커넥터의 트래픽이 NAT(네트워크 주소 변환) 디바이스를 통해 RSASecurID 서버에 도달하는 경우 장치의 개인 IP 주소를 입력합니다.

2 압축된 구성 파일을 다운로드하고 sdconf.rec 파일을 추출합니다.

VMware Identity Manager에서 RSA SecurID를 구성할 때 나중에 이 파일을 업로드하도록 준비하십시오.

후속 작업

관리 콘솔로 이동하고 [ID 및 액세스 관리] 탭( [설정] 페이지)에서 커넥터를 선택하고,[AuthAdapters] 페이지에서 SecurID를 구성합니다.

RSA SecurID 인증 구성

VMware Identity Manager 장치가 RSA SecurID 서버에서 인증 에이전트로 구성된 후, RSASecurID 구성 정보를 커넥터에 추가해야 합니다.

필수 조건

n RSA Authentication Manager(RSA SecurID 서버)가 설치되고 제대로 구성되어 있는지 확인합니다.

n RSA SecurID 서버에서 압축된 파일을 다운로드하고 서버 구성 파일을 추출합니다.

프로시저



VMware, Inc. 59

2 [커넥터] 페이지에서 RSA SecurID로 구성 중인 커넥터의 작업자 링크를 선택합니다.

3 인증 어댑터를 클릭한 다음 SecurIDldpAdapter를 클릭합니다.


4 [인증 어댑터] 페이지의 SecurIDldpAdapter 행에서 편집을 클릭합니다.

5 [SecurID 인증 어댑터] 페이지를 구성합니다.

RSA SecurID 서버에서 사용된 정보와 생성된 파일은 SecurID 페이지를 구성할 때 필요합니다.

옵션 작업

이름 이름은 필수입니다. 기본 이름은 SecurIDldpAdapter입니다. 이 이름은 변경할 수 있습니다.

SecurID 사용

SecurID 인증을 사용하도록 설정하려면 이 확인란을 선택합니다.

허용된 인증시도 횟수

RSA SecurID 토큰을 사용하여 로그인할 경우 최대 로그인 시도 실패 횟수를 입력합니다. 기본값은 5회입니다.

참고 둘 이상의 디렉토리가 구성되어 있고 추가 디렉토리를 사용하여 RSA SecurID 인증을구성하는 경우 각 RSA SecurID 구성에 대해 동일한 값을 사용하여 허용된 인증 시도 횟수를구성합니다. 이 값이 동일하지 않은 경우 SecurID 인증이 실패합니다.

커넥터 주소 커넥터 인스턴스의 IP 주소를 입력합니다. 커넥터 장치를 인증 에이전트로 RSA SecurID 서버에 추가할 때 사용한 값과 입력한 값이 일치해야 합니다. RSA SecurID 서버에 대체 IP 주소 프롬프트에 할당된 값이 있는 경우 해당 값을 커넥터 IP 주소로 입력합니다. 대체 IP 주소가 할당되지 않은 경우 IP 주소 프롬프트에 할당된 값을 입력합니다.

에이전트 IP주소

RSA SecurID 서버에서 IP 주소 프롬프트에 할당된 값을 입력합니다.

서버 구성 RSA SecurID 서버 구성 파일을 업로드합니다. 먼저 RSA SecurID 서버에서 압축된 파일을다운로드하고 기본 이름이 sdconf.rec인 서버 구성 파일을 추출해야 합니다.

노드 암호 노드 암호 필드를 비워 두면 노드 암호가 자동으로 생성됩니다. RSA SecurID 서버에서 노드암호 파일을 지우고 노드 암호 파일을 의도적으로 업로드하지 않는 것이 좋습니다. RSASecurID 서버의 노드 암호 파일과 서버 커넥터 인스턴스의 노드 암호 파일은 항상 일치해야 합니다. 한 위치에서 노드 암호를 변경한 경우 다른 위치에서도 변경해야 합니다.


후속 작업

인증 방법을 기본 액세스 정책에 추가합니다. [ID 및 액세스 관리] > [관리] > [정책] 페이지로 이동하고기본 정책 규칙을 편집하여 SecurID 인증 방법을 규칙에 추가합니다. “사용자에게 적용하기 위한 인증방법 관리,”(74 페이지)의 내용을 참조하십시오.

VMware Identity Manager 에 대한 RADIUS 구성사용자가 RADIUS(Remote Authentication Dial-In User Service) 인증을 사용하도록VMware Identity Manager를 구성할 수 있습니다. VMware Identity Manager 서비스에서RADIUS 서버 정보를 구성합니다.

RADIUS 지원에서 다양한 대체 2단계 토큰 기반 인증 옵션을 제공합니다. RADIUS와 같은 2단계 인증솔루션은 별도 서버에 설치된 인증 관리자와 작동하기 때문에 RADIUS 서버를 구성하고 ID 관리자 서비스에 액세스할 수 있도록 해야 합니다.

사용자가 Workspace ONE 포털에 로그인하고 RADIUS 인증이 사용되도록 설정된 경우 브라우저에특별한 로그인 대화상자가 표시됩니다. 사용자는 로그인 대화상자에 자신의 RADIUS 인증 사용자 이름및 암호를 입력합니다. RADIUS 서버에서 액세스 암호를 요청할 경우 ID 관리자 서비스에서 두 번째 암호를 입력하라는 대화상자를 표시합니다. 현재 RADIUS 암호 요청에 대한 지원은 텍스트 입력을 요청하는것으로 제한됩니다.


60 VMware, Inc.

사용자가 대화상자에 자격 증명을 입력한 후 RADIUS 서버가 SMS 문자 메시지나 이메일 또는 일부 다른 대역 외 메커니즘을 사용한 텍스트를 코드와 함께 사용자 휴대폰으로 전송할 수 있습니다. 사용자는 이텍스트 및 코드를 로그인 대화상자에 입력하여 인증을 완료할 수 있습니다.

RADIUS 서버가 Active Directory에서 사용자를 가져올 수 있는 기능을 제공할 경우 최종 사용자에게RADIUS 인증 사용자 이름 및 암호를 입력하라는 메시지가 표시되기 전에 먼저 Active Directory 자격증명을 제공하라는 메시지가 표시될 수 있습니다.

RADIUS 서버 준비

RADIUS 서버를 설정한 후 VMware Identity Manager 서비스의 RADIUS 요청을 수락하도록RADIUS 서버를 구성합니다.

RADIUS 서버 설정에 대한 자세한 내용은 RADIUS 벤더의 설정 가이드를 참조하십시오. RADIUS 구성 정보는 기록해 두십시오. 서비스에서 RADIUS를 구성할 때 이 정보를 사용하게 됩니다.VMware Identity Manager 구성에 필요한 RADIUS 정보의 유형을 확인하려면 “VMwareIdentity Manager에서 RADIUS 인증 구성,”(61 페이지)(으)로 이동합니다.

고가용성에 사용될 보조 Radius 인증 서버를 설정할 수 있습니다. 기본 RADIUS 서버가 RADIUS 인증에 대해 구성된 서버 시간 제한 내에 응답하지 않으면 요청이 보조 서버로 라우팅됩니다. 기본 서버가응답하지 않으면 보조 서버가 이후의 모든 인증 요청을 수신합니다.

VMware Identity Manager 에서 RADIUS 인증 구성

VMware Identity Manager 관리 콘솔에서 RADIUS 인증을 사용하도록 설정하고 RADIUS 설정을구성합니다.

필수 조건

인증 관리자 서버에서 RADIUS 소프트웨어를 설치 및 구성합니다. RADIUS 인증의 경우 벤더의 구성설명서를 참조합니다.

서비스에서 RADIUS를 구성하려면 다음 RADIUS 서버 정보를 알고 있어야 합니다.

n RADIUS 서버의 IP 주소 또는 DNS 이름.

n 인증 포트 번호. 인증 포트는 일반적으로 1812입니다.

n 인증 유형. 인증 유형에는 PAP(암호 인증 프로토콜), CHAP(Challenge Handshake 인증 프로토콜), MSCHAP1, MSCHAP2(Microsoft Challenge Handshake 인증 프로토콜 버전 1 및2)가 포함됩니다.

n RADIUS 프로토콜 메시지에서 암호화 및 암호 해독에 사용된 RADIUS 공유 암호.

n RADIUS 인증에 필요한 특정한 시간 초과 및 재시도 값

프로시저


2 [커넥터] 페이지에서 RADIUS 인증을 위해 구성 중인 커넥터의 작업자 링크를 선택합니다.

3 인증 어댑터를 클릭한 다음 RadiusAuthAdapter를 클릭합니다.


4 편집을 클릭하여 [인증 어댑터] 페이지에서 이 필드를 구성합니다.

옵션 작업

이름 이름은 필수입니다. 기본 이름은 RadiusAuthAdapter입니다. 이 이름은 변경할 수 있습니다.

Radius 어댑터 사용

RADIUS 인증을 사용하도록 설정하려면 이 확인란을 선택합니다.


VMware, Inc. 61

옵션 작업

허용된 인증시도 횟수

RADIUS를 사용하여 로그인할 경우 최대 로그인 시도 실패 횟수를 입력합니다. 기본값은 5회입니다.

Radius 서버에 대한 시도횟수

총 재시도 횟수를 지정합니다. 기본 서버가 응답하지 않을 경우 서비스는 다시 재시도하기 전에구성된 시간 동안 대기합니다.

Radius 서버호스트 이름/주소

RADIUS 서버의 호스트 이름 또는 IP 주소를 입력합니다.

인증 포트 Radius 인증 포트 번호를 입력합니다. 일반적으로 1812입니다.

계정 포트 포트 번호에 0을 입력합니다. 지금은 계정 포트가 사용되지 않습니다.

인증 유형 RADIUS 서버에서 지원하는 인증 프로토콜을 입력합니다. PAP, CHAP, MSCHAP1 또는MSCHAP2입니다.

공유 암호 RADIUS 서버와 VMware Identity Manager 서비스 간에 사용되는 공유 암호를 입력합니다.

서버 시간 초과(초)

RADIUS 서버 시간 초과(초)를 입력합니다. RADIUS 서버가 응답하지 않을 경우 해당 시간 초과 후 재시도를 전송합니다.

영역 접두사 (선택 사항) 사용자 계정 위치를 영역이라고 합니다.

영역 접두사 문자열을 지정할 경우 사용자 이름이 RADIUS 서버에 전송될 때 이름 시작 부분에이 문자열이 배치됩니다. 예를 들어, 사용자 이름을 jdoe로 입력하고 영역 접두사 DOMAIN-A\를 지정한 경우 사용자 이름 DOMAIN-A\jdoe가 RADIUS 서버에 전송됩니다. 이 필드를구성하지 않은 경우 입력한 사용자 이름만 전송됩니다.

영역 접미사 (선택 사항) 영역 접미사를 지정한 경우 사용자 이름 끝에 이 문자열이 배치됩니다. 예를 들어,접미사가 @myco.com인 경우 사용자 이름 [email protected]이 RADIUS 서버에 전송됩니다.

로그인 페이지 암호 힌트

사용자가 올바른 Radius 암호를 입력하도록 안내하기 위해 사용자 로그인 페이지의 메시지에표시할 텍스트 문자열을 입력합니다. 예를 들어, 처음에는 AD 암호, 그 다음에는 SMS 암호를사용하여 이 필드를 구성한 경우 로그인 페이지 메시지는 다음과 같습니다. AD 암호를 먼저 입력한 다음 SMS 암호를 입력하십시오. 기본 텍스트 문자열은 RADIUS 암호입니다.

5 고가용성을 위해 보조 RADIUS 서버를 사용하도록 설정할 수 있습니다.

4단계에서 설명한 대로 보조 서버를 구성합니다.


후속 작업

RADIUS 인증 방법을 기본 액세스 정책에 추가합니다. [ID 및 액세스 관리] > [관리] > [정책] 페이지로이동하고 기본 정책 규칙을 편집하여 RADIUS 인증 방법을 규칙에 추가합니다. “사용자에게 적용하기위한 인증 방법 관리,”(74 페이지)의 내용을 참조하십시오.

VMware Identity Manager에서 RSA 어댑티브 인증 구성RSA 어댑티브 인증은 사용자 이름 및 암호만으로 Active Directory에 대해 인증하는 것보다 더 강력한다단계 인증을 제공하도록 구현할 수 있습니다. 어댑티브 인증은 사용자의 로그인 시도를 모니터링하고위험 수준 및 정책에 따라 인증합니다.

어댑티브 인증을 사용하도록 설정한 경우 RSA 정책 관리 애플리케이션에 설정된 위험 정책에 지정된 위험 표시기와 VMware Identity Manager의 어댑티브 인증 서비스 구성이 사용자 이름 및 암호로 사용자를 인증할지 여부 또는 사용자를 인증하기 위해 추가 정보가 필요한지 여부를 결정하는 데 사용됩니다.


62 VMware, Inc.

인증에 지원되는 RSA 어댑티브 인증 방법

VMware Identity Manager 서비스에서 지원되는 RSA 어댑티브 인증의 강력한 인증 방법은 전화,이메일 또는 SMS 문자 메시지와 보안 질문을 통한 대역 외 인증입니다. 제공될 수 있는 RSA 어댑티브인증 방법을 서비스에서 사용되도록 설정합니다. RSA 어댑티브 인증 정책에 따라 사용되는 보조 인증 방법이 결정됩니다.

대역 외 인증은 사용자 이름 및 암호 외에 추가 확인이 전송되도록 하는 프로세스입니다. 사용자는 RSA어댑티브 인증 서버에 등록할 때 서버 구성에 따라 이메일 주소나 전화 번호 또는 둘 다를 제공합니다. 추가 확인이 필요하면 RSA 어댑티브 인증 서버는 제공된 채널을 통해 일회용 암호를 전송합니다. 사용자는사용자 이름 및 원래 암호 외에 이 암호도 입력합니다.

보안 질문 기능은 사용자가 RSA 어댑티브 인증 서버에 등록할 때 몇 가지 질문에 답변하도록 요구합니다. 답변할 등록 질문 수와 로그인 페이지에 나타나는 보안 질문 수를 구성할 수 있습니다.

RSA 어댑티브 인증 서버에 사용자 등록

사용자는 인증을 위해 어댑티브 인증을 사용하려면 RSA 어댑티브 인증 데이터베이스에 프로비저닝되어야 합니다. 사용자는 해당 사용자 이름 및 암호를 사용하여 처음 로그인할 때 RSA 어댑티브 인증 데이터베이스에 추가됩니다. 서비스에서 RSA 어댑티브 인증을 구성한 방식에 따라 사용자는 로그인할 때 이메일 주소, 전화 번호, 문자 메시지 서비스 번호(SMS)를 제공하도록 요구되거나 보안 질문에 대한 답변을설정하도록 요구될 수 있습니다.

참고 RSA 어댑티브 인증은 사용자 이름에서 국제 문자를 허용하지 않습니다. 사용자 이름에서 다중바이트 문자를 허용하려면 RSA 지원 서비스에 문의하여 RSA 어댑티브 인증 및 RSA 인증 관리자를 구성하십시오.

Identity Manager에서 RSA 어댑티브 인증 구성

서비스에 대해 RSA 어댑티브 인증을 구성하려면 RSA 어댑티브 인증을 사용하도록 설정합니다. 이를 위해 먼저 적용할 어댑티브 인증 방법을 선택하고 Active Directory 연결 정보 및 인증서를 추가합니다.

필수 조건

n RSA 어댑티브 인증이 보조 인증에 사용할 인증 방법으로 올바르게 구성되어 있습니다.

n SOAP 끝점 주소 및 SOAP 사용자 이름에 대한 세부 정보.

n 사용 가능한 Active Directory 구성 정보 및 Active Directory SSL 인증서.

프로시저


2 [커넥터] 페이지의 [작업자] 열에서 구성 중인 커넥터의 링크를 선택합니다.

3 인증 어댑터를 클릭한 다음 RSAAAldpAdapter를 클릭합니다.

Identity Manager 인증 어댑터 페이지로 리디렉션됩니다.

4 RSAAAldpAdapter 옆에 있는 편집 링크를 클릭합니다.

5 작업 환경에 적합한 설정을 선택합니다.

참고 별표(*)는 필수 필드를 나타냅니다. 다른 필드는 선택 사항입니다.

옵션 설명

*이름 이름은 필수입니다. 기본 이름은 RSAAAldpAdapter입니다. 이 이름은변경할 수 있습니다.

RSA AA 어댑터 사용 RSA 어댑티브 인증을 사용하도록 설정하려면 이 확인란을 선택합니다.


VMware, Inc. 63

옵션 설명

*SOAP 끝점 RSA 어댑티브 인증 어댑터 및 서비스 간 통합을 위한 SOAP 끝점 주소를 입력합니다.

*SOAP 사용자 이름 SOAP 메시지에 서명하는 데 사용되는 사용자 이름 및 암호를 입력합니다.

RSA 도메인 어댑티브 인증 서버의 도메인 주소를 입력합니다.

OOB 이메일 사용 이메일 메시지를 통해 최종 사용자에게 일회용 암호를 전송하는 대역 외인증을 사용하도록 설정하려면 이 확인란을 선택합니다.

OOB SMS 사용 SMS 문자 메시지를 통해 최종 사용자에게 일회용 암호를 전송하는 대역외 인증을 사용하도록 설정하려면 이 확인란을 선택합니다.

SecurID 사용 SecurID를 사용하도록 설정하려면 이 확인란을 선택합니다. RSA 토큰및 암호를 입력하라는 메시지가 표시됩니다.

본인 확인 질문 사용 인증을 위해 등록 및 보안 질문을 사용하려면 이 확인란을 선택합니다.

*등록 질문 수 인증 어댑터 서버에 등록할 때 사용자가 설정해야 하는 질문 수를 입력합니다.

*보안 질문 수 사용자가 로그인하기 위해 올바르게 답변해야 하는 보안 질문 수를 입력합니다.

*허용된 인증 시도 횟수 인증이 실패하기 전에 로그인을 시도하는 사용자에게 보안 질문을 표시하는 횟수를 입력합니다.

디렉토리 유형 지원되는 유일한 디렉토리는 Active Directory입니다.

서버 포트 Active Directory 포트 번호를 입력합니다.

서버 호스트 Active Directory 호스트 이름을 입력합니다.

SSL 사용 디렉토리 연결을 위해 SSL을 사용하는 경우 이 확인란을 선택합니다.[디렉토리 인증서] 필드에 Active Directory SSL 인증서를 추가합니다.

DNS 서비스 위치 사용 DNS 서비스 위치가 디렉토리 연결에 사용되는 경우 이 확인란을 선택합니다.

기본 DN 계정 검색을 시작할 DN을 입력합니다. 예를 들어OU=myUnit,DC=myCorp,DC=com을 입력합니다.

바인딩 DN 사용자를 검색할 수 있는 계정을 입력합니다. 예를 들어CN=binduser,OU=myUnit,DC=myCorp,DC=com을 입력합니다.

바인딩 암호 바인딩 DN 계정의 암호를 입력합니다.

검색 특성 사용자 이름을 포함하는 계정 특성을 입력합니다.

디렉토리 인증서 보안 SSL 연결을 설정하려면 이 텍스트 상자에 디렉토리 서버 인증서를추가합니다. 여러 서버가 있는 경우 CA(인증 기관)의 루트 인증서를 추가합니다.


후속 작업

[ID 및 액세스 관리] > [관리] 탭에서 기본 제공 ID 제공자의 RSA 어댑티브 인증 인증 방법을 사용하도록 설정합니다. “기본 제공 ID 제공자 구성,”(69 페이지)의 내용을 참조하십시오.

인증 방법으로 RSA 어댑티브 인증을 기본 액세스 정책에 추가합니다. [ID 및 액세스 관리] > [관리] >[정책] 페이지로 이동하고 기본 정책 규칙을 편집하여 어댑티브 인증을 추가합니다. “사용자에게 적용하기 위한 인증 방법 관리,”(74 페이지)의 내용을 참조하십시오.


64 VMware, Inc.

VMware Identity Manager 와 함께 사용할 인증서 또는 스마트 카드 어댑터 구성

클라이언트가 자신의 데스크톱 및 모바일 디바이스에서 인증서를 사용하여 인증하거나 스마트 카드 어댑터를 인증에 사용할 수 있도록 x509 인증서 인증을 구성할 수 있습니다. 인증서 기반 인증은 사용자가갖고 있는 항목(개인 키 또는 스마트 카드) 및 사람들이 알고 있는 내용(개인 키에 대한 암호 또는 스마트카드 PIN)을 기반으로 합니다. X.509 인증서는 PKI(공용 키 인프라) 표준을 사용하여 인증서 내에 포함된 공용 키가 사용자에게 속하는지 확인합니다. 스마트 카드 인증을 사용하여 사용자는 스마트 카드를컴퓨터와 연결하고 PIN을 입력합니다.

스마트 카드 인증서는 사용자 컴퓨터의 로컬 인증서 저장소로 복사됩니다. 일부 예외를 제외하고, 로컬 인증서 저장소의 인증서를 이 사용자 컴퓨터에서 실행되는 모든 브라우저에서 사용할 수 있으므로 이를 브라우저의 VMware Identity Manager 인스턴스에서 사용할 수 있습니다.

참고 인증서 인증이 구성되고 서비스 장치가 로드 밸런서 뒤에 설정된 경우 VMware IdentityManager Connector가 로드 밸런서에서 SSL 패스스루를 사용하여 구성되고 로드 밸런서에서 SSL을종료하도록 구성되지 않았는지 확인합니다. 이 구성을 통해 커넥터와 클라이언트 간에 SSL 핸드셰이크가수행되어 인증서가 커넥터로 전달됩니다. 로드 밸런서가 로드 밸런서에서 SSL을 종료하도록 구성되어 있으면 두 번째 커넥터를 다른 로드 밸런서 뒤에 배포하여 인증서 인증을 지원할 수 있습니다.

두 번째 커넥터를 추가하는 것과 관련된 내용은 VMware Identity Manager Installation andConfiguration 가이드를 참조하십시오.

인증서 인증을 위한 사용자 계정 이름 사용

Active Directory에서 인증서 매핑을 사용할 수 있습니다. 인증서 및 스마트 카드 로그인에서는 ActiveDirectory의 UPN(사용자 계정 이름)을 사용하여 사용자 계정의 유효성을 검사합니다.VMware Identity Manager 서비스에서 인증을 시도하는 사용자의 Active Directory 계정에는 인증서의 UPN에 해당하는 유효한 UPN이 있어야 합니다.

인증서에 UPN이 없을 경우 VMware Identity Manager 가 이메일 주소를 사용하여 사용자 계정을검증하도록 구성할 수 있습니다.

또한 대체 UPN 유형을 사용하도록 설정할 수도 있습니다.

인증에 필요한 CA(인증 기관)

인증서 인증을 사용한 로그인을 사용하도록 설정하려면 루트 인증서와 중간 인증서를VMware Identity Manager에 업로드해야 합니다.

인증서가 사용자 컴퓨터의 로컬 인증서 저장소에 복사됩니다. 일부 예외를 제외하고, 로컬 인증서 저장소의 인증서를 이 사용자 컴퓨터에서 실행되는 모든 브라우저에서 사용할 수 있으므로 이를 브라우저의VMware Identity Manager 인스턴스에서 사용할 수 있습니다.

스마트 카드 인증의 경우 사용자가 VMware Identity Manager 인스턴스에 대한 연결을 시작할 때VMware Identity Manager 서비스는 신뢰할 수 있는 CA(인증 기관)의 목록을 브라우저에 전송합니다. 브라우저가 사용 가능한 사용자 인증서에 대해 신뢰할 수 있는 CA의 목록을 검사하고 적합한 인증서를 선택한 다음 스마트 카드 PIN을 입력하라는 메시지를 사용자에게 표시합니다. 사용할 수 있는 유효한사용자 인증서가 여러 개인 경우 브라우저에서 인증서를 선택하라는 메시지를 사용자에게 표시합니다.

사용자가 인증할 수 없다면 루트 CA와 중간 CA가 제대로 설정되지 않았거나 루트 CA와 중간 CA가 서버에 업로드된 후 서비스를 다시 시작하지 않은 경우입니다. 이러한 경우 브라우저는 설치된 인증서를 표시할 수 없고, 사용자는 올바른 인증서를 선택할 수 없으며, 인증서 인증은 실패합니다.


VMware, Inc. 65

인증서 해지 검사 사용

인증서가 해지된 사용자가 인증하지 못하도록 인증서 해지 검사를 구성할 수 있습니다. 인증서는 사용자가 조직을 떠나거나 스마트 카드를 분실하거나 부서를 다른 부서로 이동할 경우 해지되기도 합니다.

CRL(인증서 해지 목록) 및 OCSP(온라인 인증서 상태 프로토콜)가 포함된 인증서 해지 검사는 지원됩니다. CRL은 인증서를 발행한 CA에서 게시한 해지된 인증서 목록입니다. OCSP는 인증서의 해지 상태를 가져오기 위해 사용하는 인증서 검증 프로토콜입니다.

동일한 인증서 인증 어댑터 구성에서 CRL 및 OCSP를 둘 다 구성할 수 있습니다. 두 가지 유형의 인증서 해지 검사를 구성하고 [OCSP 실패 시 CRL 사용] 확인란을 선택한 경우, OCSP가 먼저 검사되고OCSP가 실패한 경우 해지 검사가 CRL로 폴백됩니다. CRL이 실패한 경우 해지 검사가 OCSP로 폴백되지 않습니다.

CRL 검사를 사용하여 로그인

인증서 해지를 사용하도록 설정한 경우 VMware Identity Manager 서버는 CRL을 읽어서 사용자 인증서의 해지 상태를 확인합니다.

인증서가 해지된 경우 인증서를 통한 인증이 실패합니다.

OCSP 인증서 검사를 사용하는 상태에서 로그인

OCSP(온라인 인증서 상태 프로토콜) 해지 검사를 구성한 경우 VMware Identity Manager 는OCSP 응답자에게 요청을 전송하여 특정 사용자 인증서의 해지 상태를 확인합니다.VMware Identity Manager 서버는 OCSP 서명 인증서를 사용하여 OCSP 응답자로부터 받은 응답이 올바른지 확인합니다.

인증서가 해지된 경우 인증이 실패합니다.

OSCP 응답자로부터 응답을 받지 못하거나 응답이 올바르지 않은 경우 CRL 검사로 폴백되도록 인증을구성할 수 있습니다.

VMware Identity Manager 에 대한 인증서 인증 구성

VMware Identity Manager 관리 콘솔에서 인증서 인증을 사용하도록 설정하고 구성합니다.

필수 조건

n 사용자가 제공한 인증서를 서명한 CA에서 루트 인증서와 중간 인증서를 가져옵니다.

n (선택 사항) 인증서 인증을 위한 유효한 인증서 정책의 OID(개체 식별자) 목록.

n 해지 검사의 경우 CRL의 파일 위치 및 OCSP 서버의 URL.

n (선택 사항) OCSP 응답 서명 인증서 파일 위치.

n 인증 전에 동의 양식이 표시되는 경우, 동의 양식 컨텐츠.

프로시저


2 [커넥터] 페이지에서, 구성 중인 커넥터의 작업자 링크를 선택합니다.

3 인증 어댑터를 클릭한 다음 CertificateAuthAdapter를 클릭합니다.


66 VMware, Inc.

4 [인증서 인증 어댑터] 페이지를 구성합니다.

참고 별표(*)는 필수 필드를 나타냅니다. 다른 필드는 선택 사항입니다.

옵션 설명

*이름 이름은 필수입니다. 기본 이름은 CertificateAuthAdapter입니다. 이이름은 변경할 수 있습니다.

인증서 어댑터 사용 인증서 인증을 사용하도록 설정하려면 확인란을 선택합니다.

*루트 및 중간 CA 인증서 업로드할 인증서 파일을 선택합니다. DER 또는 PEM으로 인코딩된 여러 루트 CA 및 중간 CA 인증서를 선택할 수 있습니다.

업로드된 CA 인증서 업로드된 인증서 파일이 양식의 [업로드된 CA 인증서] 섹션에 나열됩니다.

인증서에 UPN이 없는 경우 이메일사용

UPN(사용자 계정 이름)이 인증서에 없는 경우 이 확인란을 선택하여emailAddress 특성을 주체 대체 이름 확장으로 사용하여 사용자의 계정을 검사합니다.

수락된 인증서 정책 인증서 정책 확장에서 수락된 개체 ID 목록을 생성합니다.

인증서 발급 정책에 대한 OID(개체 ID 번호)를 입력합니다. 다른 값 추가를 클릭하여 추가 OID를 추가합니다.

인증서 해지 사용 인증서 해지 검사를 사용하도록 설정하려면 이 확인란을 선택합니다. 해지 검사는 사용자 인증서를 해지한 사용자의 인증을 방지합니다.

인증서의 CRL 사용 인증서를 발급한 CA에서 게시한 CRL(인증서 해지 목록)을 사용하여 인증서 상태(해지됨 또는 해지 안됨)를 확인하려면 이 확인란을 선택합니다.

CRL 위치 CRL을 검색할 서버 파일 경로 또는 로컬 파일 경로를 입력합니다.

OCSP 해지 사용 OCSP(온라인 인증서 상태 프로토콜) 인증서 검증 프로토콜을 사용하여인증서의 해지 상태를 가져오려면 이 확인란을 선택합니다.

OCSP 실패 시 CRL 사용 CRL 및 OCSP를 둘 다 구성한 경우, 이 확인란을 선택하여 OCSP 검사를 사용할 수 없는 경우 CRL 사용으로 폴백할 수 있습니다.

OCSP Nonce 전송 OCSP 요청의 고유한 식별자를 응답으로 전송하려면 이 확인란을 선택합니다.

OCSP URL OCSP 해지를 사용하도록 설정한 경우 해지 검사를 위한 OCSP 서버주소를 입력합니다.

OCSP 응답자의 서명 인증서 응답자에 대한 OCSP 인증서 경로(/path/to/file.cer)를 입력합니다.

인증 전에 동의 양식 사용 사용자가 인증서 인증을 사용하여 Workspace ONE 포털에 로그인하기 전에 표시할 동의 양식 페이지를 포함하려면 이 확인란을 선택합니다.

동의 양식 컨텐츠 동의 양식에 표시되는 텍스트를 이 텍스트 상자에 입력합니다.


후속 작업

n 인증서 인증 방법을 기본 액세스 정책에 추가합니다. [ID 및 액세스 관리] > [관리] > [정책] 페이지로 이동하고 기본 정책 규칙을 편집하여 인증서를 추가합니다. “사용자에게 적용하기 위한 인증 방법 관리,”(74 페이지)의 내용을 참조하십시오.

n 인증서 인증이 구성되고 서비스 장치가 로드 밸런서 뒤에 설정된 경우VMware Identity Manager connector가 로드 밸런서에서 SSL 패스스루를 사용하여 구성되고로드 밸런서에서 SSL을 종료하도록 구성되지 않았는지 확인합니다. 이 구성을 통해 커넥터와 클라이언트 간에 SSL 핸드셰이크가 수행되어 인증서가 커넥터로 전달됩니다.


VMware, Inc. 67

2단계 인증을 위한 VMware Verify 구성VMware Identity Manager 관리 콘솔에서 2단계 인증이 필요할 때 VMware Verify 서비스를 두번째 인증 방법으로 설정할 수 있습니다.

관리 콘솔의 기본 제공 ID 제공자에서 VMware Verify를 사용하도록 설정하고 VMware 지원에서 받은 VMware Verify 보안 토큰을 추가합니다.

사용자가 두 가지 인증 방법으로 인증하도록 액세스 정책 규칙에서 2단계 인증을 구성합니다.

사용자는 자신의 디바이스에 VMware Verify 애플리케이션을 설치하고 전화 번호를 제공하여VMware Verify 서비스에 해당 디바이스를 등록합니다. 디바이스 및 전화 번호 또한 관리 콘솔의 [사용자 및 그룹] 사용자 프로파일에 등록됩니다.

사용자는 처음에 암호 인증을 사용하여 로그인한 다음 디바이스에 표시되는 VMware Verify 암호를 입력하여 계정을 등록합니다. 초기 인증 후에 사용자는 다음 세 가지 방법 중 하나로 인증을 받을 수 있습니다.

n OneTouch 알림을 사용한 푸시 승인. 사용자는 한 번의 클릭으로 VMware Identity Manager에서의 액세스를 승인하거나 거부합니다. 사용자는 전송된 메시지에서 [승인] 또는 [거부]를 클릭합니다.

n TOTP(시간 기반 일회용 암호) 암호. 일회용 암호가 20초 간격으로 생성됩니다. 사용자는 로그인 화면에서 이 암호를 입력합니다.

n 문자 메시지. 전화 SMS는 등록된 전화 번호로 일회용 확인 코드 문자 메시지를 보내는 데 사용됩니다. 사용자는 로그인 화면에서 이 확인 코드를 입력합니다.

VMware Verify는 타사 클라우드 서비스를 사용하여 이 기능을 사용자 디바이스에 전달합니다. 이를위해 이름, 이메일 및 전화 번호와 같은 사용자 정보가 서비스에 저장되지만 기능 전달 이외의 용도로는사용되지 않습니다.

VMware Verify 사용VMware Verify 서비스와의 2단계 인증을 사용하도록 설정하려면 VMware Verify 페이지에 보안 토큰을 추가하고 기본 제공 ID 제공자에서 VMware Verify를 사용하도록 설정해야 합니다.

필수 조건

VMware 또는 AirWatch 지원으로 지원 티켓을 생성하여 VMware Verify를 사용하도록 설정하는 보안 토큰을 수신합니다. 지원 팀 직원이 사용자의 요청을 처리하고 지원 티켓을 지침 및 보안 토큰으로 업데이트합니다. VMware Verify 페이지에 이 보안 토큰을 추가합니다.

(선택 사항) 디바이스의 VMware Verify 애플리케이션에 표시되는 로고 및 아이콘을 사용자 지정합니다. “VMware Verify 애플리케이션에 대한 브랜딩 사용자 지정,”(113 페이지)의 내용을 참조하십시오.

프로시저

1 관리 콘솔의 [ID 및 액세스 관리] 탭에서 관리 > ID 제공자를 선택합니다.

2 기본 제공이라는 ID 제공자를 클릭합니다.

3 VMware Verify 기어박스 아이콘을 클릭합니다.

4 다단계 인증 사용 확인란을 선택합니다.

5 VMware 또는 AirWatch 지원 팀에서 받은 보안 토큰을 [보안 토큰] 텍스트 상자에 붙여 넣습니다.



68 VMware, Inc.

후속 작업

VMware Verify 인증 방법을 규칙의 두 번째 인증 방법으로 추가하는 액세스 정책 규칙을 기본 액세스정책에 만듭니다. “사용자에게 적용하기 위한 인증 방법 관리,”(74 페이지)의 내용을 참조하십시오.

VMware Verify 로그인 페이지에 사용자 지정 밴딩을 적용합니다. “VMware Verify 애플리케이션에 대한 브랜딩 사용자 지정,”(113 페이지)의 내용을 참조하십시오.

VMware Verify에 최종 사용자 등록

2단계 인증에 VMware Verify 인증이 필요한 경우 사용자는 VMware Verify 애플리케이션을 설치하고 사용하여 자신의 디바이스를 등록합니다.

참고 VMware Verify 애플리케이션을 애플리케이션 스토어에서 다운로드할 수 있습니다.

VMware Verify 2단계 인증이 사용하도록 설정되면 사용자가 Workspace ONE 애플리케이션에 처음 로그인할 때 사용자 이름과 암호를 입력하도록 요구됩니다. 사용자 이름과 암호가 확인되면 VMwareVerify에 등록할 디바이스 전화 번호를 입력하라는 메시지가 나타납니다.

[등록]을 클릭하면 디바이스 전화 번호가 VMware Verify에 등록되고, 애플리케이션을 다운로드하지않은 경우 VMware Verify 애플리케이션을 다운로드하도록 요구됩니다.

애플리케이션이 설치되면 이전에 입력한 것과 동일한 전화 번호를 입력하고 일회용 등록 코드를 받을 알림 방법을 선택하라는 메시지가 나타납니다. 등록 코드는 [등록 PIN] 페이지에 입력됩니다.

디바이스 전화 번호가 등록된 후 사용자는 VMware Verify 애플리케이션에 표시된 시간 기반 일회용암호를 사용하여 Workspace ONE에 로그인할 수 있습니다. 이 암호는 디바이스에 생성되는 고유 번호이며 지속적으로 변경됩니다.

사용자는 둘 이상의 디바이스를 등록할 수 있습니다. VMware Verify 암호는 등록된 각 디바이스에 자동으로 동기화됩니다.

사용자 프로파일에서 등록된 전화 번호 제거

Workspace ONE 로그인 문제를 해결하기 위해 VMware Identity Manager 관리 콘솔에서 사용자프로파일에 있는 사용자 전화 번호를 제거할 수 있습니다.

프로시저

1 관리 콘솔에서 사용자 및 그룹을 클릭합니다.

2 [사용자] 페이지에서 재설정할 사용자 이름을 선택합니다.

3 [VMware Verify] 탭에서 VMware Verify 재설정을 클릭합니다.

전화 번호가 사용자 프로파일에서 제거되고 사용자 목록의 VMware Verify 전화 번호 열에 해당 없음이 표시됩니다. 전화 번호가 VMware Verify 서비스에서 등록 취소됩니다. 사용자가 WorkspaceONE 애플리케이션에 로그인하면 VMware Verify 서비스에 등록할 전화 번호를 다시 입력하라는 메시지가 나타납니다.

기본 제공 ID 제공자 구성하나의 기본 제공 ID 제공자를 관리 콘솔의 [ID 및 액세스 관리] > [ID 제공자] 페이지에서 사용할 수 있습니다. 추가 기본 제공 ID 제공자를 생성할 수 있습니다.

사용할 수 있는 기본 제공 ID 제공자는 커넥터가 필요하지 않은 서비스 인증 방법으로 구성될 수 있습니다. 커넥터에 구성된 인증 방법은 DMZ 이면에서 VMware Identity Manager 서비스에 아웃바운드전용 연결 모드로 배포되었습니다.

이 기본 제공 ID 제공자에서 구성하는 인증 방법은 추가하는 다른 기본 제공 ID 제공자에서 사용하도록설정할 수 있습니다. 추가하는 기본 제공 ID 제공자에서는 인증 방법을 구성할 필요가 없습니다.


VMware, Inc. 69

다음 인증 방법은 커넥터가 필요 없으며 기본 제공 ID 제공자에서 구성됩니다.

n iOS용 모바일 SSO

n 인증서(클라우드 배포)

n AirWatch 커넥터를 사용하는 암호

n 2단계 인증을 위한 VMware Verify

n Android용 모바일 SSO

n AirWatch와의 디바이스 규정 준수

n 암호(로컬 디렉토리)

참고 아웃바운드 전용 모드에서는 방화벽 포트를 열지 않아도 됩니다.

이러한 인증 방법이 기본 제공 ID 제공자에 구성되어 있고 사용자 및 그룹이 엔터프라이즈 디렉토리에 있는 경우 이러한 인증 방법을 사용하려면 먼저 사용자 및 그룹을 VMware Identity Manager 서비스로동기화해야 합니다.

인증 방법을 사용하도록 설정한 후에는 해당 인증 방법에 적용할 액세스 정책을 만듭니다.

기본 제공 ID 제공자 구성

커넥터가 필요하지 않은 인증 방법으로 기본 제공 ID 제공자를 구성합니다. 여기에서 구성하는 인증 방법은 작업 환경에 추가하는 다른 기본 제공 ID 제공자에서 사용하도록 설정할 수 있습니다.

프로시저

1 [ID 및 액세스 관리] 탭에서 관리 > ID 제공자로 이동합니다.

2 기본으로 표시된 ID 제공자를 선택하고 ID 제공자 세부 정보를 구성합니다.

옵션 설명

ID 제공자 이름 이 기본 ID 제공자 인스턴스의 이름을 입력합니다.

사용자 인증할 사용자를 선택합니다. 구성된 디렉토리가 나열됩니다.

네트워크 서비스에 구성된 기존 네트워크 범위가 나열됩니다. IP 주소를 기반으로사용자에 대해 네트워크 범위(인증을 위해 이 ID 제공자 인스턴스로 전송할 네트워크 범위)를 선택합니다.

인증 방법 인증 방법을 구성하려면 톱니 모양 아이콘을 클릭하고 인증 방법을 구성합니다. AirWatch를 VMware Identity Manager와 통합할 때 사용할 인증 방법을 선택할 수 있습니다.

디바이스 규정 준수(AirWatch 사용) 및 암호(AirWatch Connector)의 경우 AirWatch 구성 페이지에서 해당 옵션이 사용되도록 설정되어있는지 확인합니다.

3 인증 방법을 구성한 후에는 이 기본 제공 ID 제공자에서 사용할 인증 방법에 대한 확인란을 선택합니다.

4 기본 제공 Kerberos 인증을 사용하는 경우 iOS 디바이스 관리 프로파일의 AirWatch 구성에서 사용할 KDC 발급자 인증서를 다운로드합니다.


구성한 인증 방법은 추가 구성 없이도 추가하는 다른 기본 제공 ID 제공자에서 사용하도록 설정할 수 있습니다.


70 VMware, Inc.

커넥터가 아웃바운드 전용으로 설정되었을 때 기본 제공 ID 제공자 구성

VMware Identity Manager 클라우드 서비스에 대해 아웃바운드 전용 연결이 설정된 경우 커넥터에서구성한 인증 방법을 기본 제공 ID 제공자에서 사용하도록 설정합니다.

필수 조건

n 엔터프라이즈 디렉토리에 있는 사용자 및 그룹이 VMware Identity Manager 디렉토리에 동기화되어야 합니다.

n 인증을 위해 이 ID 제공자 인스턴스로 전송할 네트워크 범위 목록입니다.

n 기본 제공 ID 제공자의 인증 방법을 사용하도록 설정하려면 인증 방법이 커넥터에 구성되어 있는지확인합니다.

프로시저

1 [ID 및 액세스 관리] 탭에서 관리 > ID 제공자로 이동합니다.

2 기본으로 표시된 ID 제공자를 선택하고 ID 제공자 세부 정보를 구성합니다.

옵션 설명

ID 제공자 이름 이 기본 ID 제공자 인스턴스의 이름을 입력합니다.

사용자 인증할 사용자를 선택합니다. 구성된 디렉토리가 나열됩니다.

네트워크 서비스에 구성된 기존 네트워크 범위가 나열됩니다. IP 주소를 기반으로사용자에 대해 네트워크 범위(인증을 위해 이 ID 제공자 인스턴스로 전송할 네트워크 범위)를 선택합니다.

인증 방법 AirWatch를 VMware Identity Manager와 통합할 때 사용할 인증방법을 선택할 수 있습니다. 구성할 인증 방법에 대한 톱니 모양 아이콘을 클릭합니다.

디바이스 규정 준수(AirWatch 사용) 및 암호(AirWatch Connector)의 경우 AirWatch 구성 페이지에서 해당 옵션이 사용되도록 설정되어있는지 확인합니다.

커넥터 (선택 사항) 아웃바운드 전용 연결 모드로 구성된 커넥터를 선택합니다.

커넥터 인증 방법 커넥터에 구성된 인증 방법이 이 섹션에 나열됩니다. 인증 방법을 사용하도록 설정하려면 확인란을 선택합니다.

3 기본 제공 Kerberos 인증을 사용하는 경우 iOS 디바이스 관리 프로파일의 AirWatch 구성에서 사용할 KDC 발급자 인증서를 다운로드합니다.


추가 Workspace ID 제공자 구성초기에 VMware Identity Manager 커넥터가 구성될 때 해당 커넥터를 사용하여 사용자를 인증하면Workspace IDP가 ID 제공자로 만들어지고 암호 인증이 사용되도록 설정됩니다.

여러 다른 로드 밸런서 뒤에 추가 커넥터가 구성될 수 있습니다. 작업 환경에 둘 이상의 로드 밸런서가 포함되어 있으면 각 로드 밸런싱된 구성에서 인증을 위해 다른 Workspace ID 제공자를 구성할 수 있습니다. VMWare Identity Manager 설치 및 구성 가이드에서 "추가 커넥터 장치 설치" 항목을 참조하십시오.

다른 Workspace ID 제공자를 동일한 디렉토리에 연결할 수도 있고, 여러 디렉토리가 구성된 경우에는사용할 디렉토리를 선택할 수 있습니다.

프로시저


2 ID 제공자 추가를 클릭하고 Workspace IDP 생성을 선택합니다.


VMware, Inc. 71

3 ID 제공자 인스턴스 설정을 편집합니다.

옵션 설명

ID 제공자 이름 이 Workspace ID 제공자 인스턴스의 이름을 입력합니다.

사용자 이 Workspace ID 제공자를 사용하여 인증할 수 있는 사용자의VMware Identity Manager 디렉토리를 선택합니다.

커넥터 선택한 디렉토리에 연결되지 않은 커넥터가 나열됩니다. 디렉토리에 연결할 커넥터를 선택합니다.

네트워크 서비스에 구성된 기존 네트워크 범위가 나열됩니다.

사용자 IP 주소를 기반으로 사용자에 대해 네트워크 범위(인증을 위해 이ID 제공자 인스턴스로 전송할 네트워크 범위)를 선택합니다.


사용자를 인증하도록 타사 ID 제공자 인스턴스 구성VMware Identity Manager 서비스에서 사용자를 인증하는 데 사용할 타사 ID 제공자를 구성할 수 있습니다.

관리 콘솔을 사용하여 타사 ID 제공자 인스턴스를 추가하기 전에 다음 작업을 완료합니다.

n 타사 인스턴스가 SAML 2.0을 준수하는지, 서비스가 타사 인스턴스에 연결할 수 있는지 확인합니다.

n 관리 콘솔에서 ID 제공자를 구성할 때 추가할 적절한 타사 메타데이터 정보를 가져옵니다. 타사 인스턴스에서 가져오는 메타데이터 정보는 메타데이터에 대한 URL이거나 실제 메타데이터입니다.

n 이 ID 제공자에 대해 Just-in-Time 프로비저닝이 사용되도록 설정된 경우 SAML 어설션에 대한요구 사항을 고려합니다. ID 제공자가 보낸 SAML 어설션에는 특정 특성이 포함되어야 합니다. “SAML 어설션에 대한 요구 사항,”(48 페이지)의 내용을 참조하십시오.

ID 제공자 인스턴스 추가 및 구성

VMware Identity Manager 배포에 대해 ID 제공자 인스턴스를 추가 및 구성하여 고가용성을 제공하고, 추가 사용자 인증 방법을 지원하고, 사용자 IP 주소 범위를 기준으로 사용자 인증 프로세스를 보다 유연하게 관리하도록 할 수 있습니다.

필수 조건

n 인증을 위해 이 ID 제공자 인스턴스로 전송할 네트워크 범위를 구성합니다. “네트워크 범위 추가 또는 편집,”(74 페이지)의 내용을 참조하십시오.

n 타사 메타데이터 문서에 액세스합니다. 메타데이터 URL 또는 실제 메타데이터일 수 있습니다.

프로시저


2 ID 제공자 추가를 클릭하고 타사 IDP 생성을 선택합니다. ID 제공자 인스턴스 설정을 편집합니다.


72 VMware, Inc.

3 ID 제공자 인스턴스 설정을 편집합니다.

양식 항목 설명

ID 제공자 이름 이 ID 제공자 인스턴스의 이름을 입력합니다.

SAML 메타데이터 타사 IdP XML 기반 메타데이터 문서를 추가하여 ID 제공자와 신뢰를 설정합니다.

1 SAML 메타데이터 URL 또는 xml 컨텐츠를 텍스트 상자에 입력합니다.

2 프로세스 IdP 메타데이터룰 클릭합니다. IdP에서 지원하는 NameID 형식이 메타데이터에서 추출되어 이름 ID 형식 테이블에 추가됩니다.

3 이름 ID 값 열에서, 표시된 ID 형식에 매핑할 서비스의 사용자 특성을 선택합니다.사용자 지정 타사 이름 ID 형식을 추가하고 이를 서비스의 사용자 특성 값에 매핑할수 있습니다.

4 (선택사항) NameIDPolicy 응답 식별자 문자열 형식을 선택합니다.

Just-in-Time 프로비저닝

사용자가 처음 로그인할 때 Identity Manager 서비스에 사용자를 동적으로 만들도록Just-in-Time 프로비저닝을 구성합니다. JIT 디렉토리가 만들어지고 SAML 어설션의 특성이 서비스에서 사용자를 만드는 데 사용됩니다. 6장, “Just-in-Time 사용자프로비저닝,”(45 페이지)의 내용을 참조하십시오.

사용자 이 ID 제공자를 사용하여 인증할 수 있는 사용자의 디렉토리를 선택합니다.

네트워크 서비스에 구성된 기존 네트워크 범위가 나열됩니다.

사용자 IP 주소를 기반으로 사용자에 대해 네트워크 범위(인증을 위해 이 ID 제공자 인스턴스로 전송할 네트워크 범위)를 선택합니다.

인증 방법 타사 ID 제공자가 지원하는 인증 방법을 추가합니다. 인증 방법을 지원하는 SAML 인증 컨텍스트 클래스를 선택합니다.

단일 로그아웃 구성 사용자가 로그아웃할 때 ID 제공자 세션에서도 로그아웃되도록 단일 로그아웃을 사용하도록 설정합니다. 단일 로그아웃을 사용하지 않도록 설정하면 사용자가 로그아웃할 때해당 ID 제공자 세션이 계속 활성 상태를 유지합니다.

(선택 사항) ID 제공자가 SAML 단일 로그아웃 프로파일을 지원하는 경우 단일 로그아웃을 사용하도록 설정하고 리디렉션 URL 텍스트 상자를 비워 둡니다. ID 제공자가SAML 단일 로그아웃 프로파일을 지원하지 않을 경우 단일 로그아웃을 사용하도록 설정하고 사용자가 VMware Identity Manager에서 로그아웃할 때 리디렉션되는 ID제공자의 로그아웃 URL을 입력합니다.

리디렉션 URL을 구성했으며 사용자가 ID 제공자 로그아웃 URL로 리디렉션된 후에VMware Identity Manager 로그인 페이지로 다시 돌아오도록 하려면 ID 제공자 리디렉션 URL에 사용되는 매개 변수 이름을 입력합니다.

SAML 서명 인증서 VMware Identity Manager SAML 서비스 제공자 메타데이터에 대한 URL을 보려면 SP(서비스 제공자) 메타데이터를 클릭합니다. URL을 복사 및 저장합니다. 타사 ID제공자의 SAML 어설션을 편집하여 VMware Identity Manager 사용자를 매핑할경우 이 URL이 구성됩니다.

IdP 호스트 이름 [호스트 이름] 텍스트 상자가 표시될 경우 인증을 위해 ID 제공자가 리디렉션되는 호스트 이름을 입력합니다. 443 이외의 비표준 포트를 사용할 경우 호스트 이름을 호스트이름:포트로 설정할 수 있습니다. 예를 들면 myco.example.com:8443입니다.


후속 작업

n ID 제공자의 인증 방법을 서비스 기본 정책에 추가합니다. “정책 규칙에 인증 방법 적용,”(75 페이지)의 내용을 참조하십시오.

n 타사 ID 제공자의 구성을 편집하여 저장한 SAML 서명 인증서 URL을 추가합니다.


VMware, Inc. 73

사용자에게 적용하기 위한 인증 방법 관리VMware Identity Manager 서비스는 사용자가 구성하는 인증 방법, 기본 액세스 정책, 네트워크 범위 및 ID 제공자 인스턴스를 기반으로 사용자를 인증하려고 합니다.

사용자가 로그인하려고 하면 서비스가 기본 액세스 정책 규칙을 평가하여 적용할 정책의 규칙을 선택합니다. 인증 방법이 규칙에 나열된 순서대로 적용됩니다. 규칙의 인증 방법 및 네트워크 범위 요구 사항을 충족하는 첫 번째 ID 제공자 인스턴스가 선택됩니다. 사용자 인증 요청은 인증을 위해 ID 제공자 인스턴스로 전달됩니다. 인증이 실패하는 경우 규칙에서 구성된 다음 인증 방법이 적용됩니다.

디바이스 유형별 또는 특정 네트워크 범위에서 디바이스 유형별로 인증 방법을 사용하도록 지정하는 규칙을 추가할 수 있습니다. 예를 들어 특정 네트워크에서 iOS 디바이스를 사용하여 로그인하는 사용자에게RSA SecurID를 사용하여 인증하도록 요구하는 규칙을 구성할 수 있습니다. 그런 후 내부 네트워크 IP주소에서 임의 디바이스 유형을 사용하여 로그인하는 사용자에게는 암호를 사용하여 인증하도록 요구하는또 다른 규칙을 구성합니다.

네트워크 범위 추가 또는 편집

네트워크 범위를 만들어 사용자가 로그인할 수 있는 IP 주소를 정의합니다. 생성한 네트워크 범위를 특정ID 제공자 인스턴스 및 액세스 정책 규칙에 추가합니다.

ALL RANGES라고 하는 하나의 네트워크 범위가 기본값으로 생성됩니다. 이 네트워크 범위에는 인터넷에서 사용 가능한 모든 IP 주소(0.0.0.0 ~ 255.255.255.255)가 포함됩니다. 배포에 단일 ID 제공자인스턴스가 있는 경우 IP 주소 범위를 변경하고 다른 범위를 추가하여 특정 IP 주소를 기본 네트워크 범위에 포함하거나 제외할 수 있습니다. 특정한 용도에 적용할 수 있는 특정 IP 주소를 사용하여 다른 네트워크 범위를 생성할 수 있습니다.

참고 기본 네트워크 범위인 ALL RANGES 및 해당 설명("모든 범위의 네트워크")은 편집할 수 있습니다. [네트워크 범위] 페이지에서 편집 기능을 사용하여 이름 및 설명을 편집할 뿐 아니라 텍스트를 다른언어로 변경할 수도 있습니다.

필수 조건

n 네트워크 토폴로지를 기반으로 VMware Identity Manager 배포의 네트워크 범위를 정의합니다.

n 서비스에서 View가 사용 가능하게 설정되면 네트워크 범위 기준으로 View URL을 지정합니다.View 모듈이 사용되도록 설정된 경우 네트워크 범위를 추가하려면 네트워크 범위에 대해 HorizonClient 액세스 URL 및 포트 번호를 적어둡니다. 자세한 정보는 View 설명서를 참조하십시오.

VMware Identity Manager에서 리소스 설정의 "View 데스크톱 풀 및 애플리케이션에 액세스 제공" 장을 참조하십시오.

프로시저

1 관리 콘솔의 [ID 및 액세스 관리] 탭에서 설정 > 네트워크 범위를 선택합니다.

2 기존 네트워크 범위를 편집하거나 새 네트워크 범위를 추가합니다.

옵션 설명

기존 범위 편집 편집할 네트워크 범위 이름을 클릭합니다.

범위 추가 네트워크 범위 추가를 클릭하여 새 범위를 추가합니다.

3 [네트워크 범위 추가] 페이지를 편집합니다.


이름 네트워크 범위의 이름을 입력합니다.

설명 네트워크 범위에 대한 설명을 입력합니다.


74 VMware, Inc.


View 포드 View 모듈을 사용하도록 설정한 경우에만 View 포드 옵션이 표시됩니다.

클라이언트 액세스 URL 호스트. 네트워크 범위에 대한 올바른 Horizon Client 액세스 URL을 입력합니다.

클라이언트 액세스 포트. 네트워크 범위에 대한 올바른 Horizon Client 액세스 포트 번호를 입력합니다.

IP 범위 원하는 모든 IP 주소가 포함되고 원하지 않는 모든 IP 주소가 제외될 때까지 IP 범위를 편집 또는추가합니다.

후속 작업

n 각 네트워크 범위를 ID 제공자 인스턴스와 연결합니다.

n 네트워크 범위를 액세스 정책 규칙과 적절하게 연결합니다. 8장, “액세스 정책 관리,”(77 페이지)의 내용을 참조하십시오.

기본 액세스 정책 적용

VMware Identity Manager 서비스에는 Workspace ONE 포털과 해당 웹 애플리케이션에 대한 사용자 액세스를 제어하는 기본 액세스 정책이 포함되어 있습니다. 정책을 편집하여 필요에 따라 정책 규칙을 변경할 수 있습니다.

암호 인증 외의 인증 방법을 사용하도록 설정한 경우에는 기본 정책을 편집하여 사용 설정된 인증 방법을정책 규칙에 추가해야 합니다.

기본 액세스 정책의 각 규칙에서 애플리케이션 포털에 대한 사용자 액세스를 허용하려면 일련의 기준이충족되어야 합니다. 네트워크 범위를 적용하고 컨텐츠에 액세스할 수 있는 사용자의 유형을 선택하고 사용할 인증 방법을 선택합니다. 8장, “액세스 정책 관리,”(77 페이지)의 내용을 참조하십시오.

서비스가 수행하는 사용자 로그인 시도 횟수는 지정된 인증 방법에 따라 다릅니다. Kerberos 또는 인증서 인증의 경우에는 서비스가 단 1회의 인증만 시도합니다. 사용자 로그인에 성공하지 못한 경우 규칙의다음 인증 방법이 시도됩니다. Active Directory 암호 및 RSA SecurID 인증의 경우 실패한 최대 로그인 시도 횟수는 기본적으로 5회로 설정됩니다. 사용자가 5회의 로그인 시도에 실패한 경우 서비스는 목록의 다음 인증 방법을 사용하여 사용자 로그인을 시도합니다. 인증 방법이 모두 사용된 경우 서비스는 오류메시지를 표시합니다.

정책 규칙에 인증 방법 적용

기본 정책 규칙에는 암호 인증 방법만 구성되어 있습니다. 구성한 다른 인증 방법을 선택하고 인증 방법이인증에 사용되는 순서를 설정하려면 정책 규칙을 편집해야 합니다.

사용자가 로그인하기 전에 두 가지 인증 방법을 통해 자격 증명을 전달해야 하는 액세스 정책 규칙을 설정할 수 있습니다. “액세스 정책 설정 구성,”(77 페이지)의 내용을 참조하십시오.

필수 조건

조직에서 지원하는 인증 방법을 사용하도록 설정하고 구성합니다. 7장, “VMware Identity Manager에서 사용자 인증 구성,”(53 페이지)의 내용을 참조하십시오.

프로시저

1 관리 콘솔의 [ID 및 액세스 관리] 탭에서 관리 > 정책을 선택합니다.

2 편집할 기본 액세스 정책을 클릭합니다.


VMware, Inc. 75

3 [정책 규칙] 섹션에서 편집할 인증 방법을 클릭하거나 새 정책 규칙을 추가하려면 + 아이콘을 클릭합니다.

a 네트워크 범위가 올바른지 확인합니다. 새 규칙을 추가하는 경우 이 정책 규칙의 네트워크 범위를 선택합니다.

b ...이고 사용자가 다음 위치에서 컨텐츠에 액세스하는 경우 드롭다운 메뉴에서 이 규칙이 관리하는 디바이스 유형을 선택합니다.

c 인증 순서를 구성합니다. 사용해야 하는 인증 방법 드롭다운 메뉴에서 먼저 적용할 인증 방법을선택합니다.

사용자에게 두 가지 인증 방법을 통해 인증하도록 요구하려면 +를 클릭하고 드롭다운 메뉴에서또 다른 인증 방법을 선택합니다.

d (선택 사항) 추가 폴백 인증 방법을 구성하려면 앞의 인증 방법이 실패할 경우 드롭다운 메뉴에서 사용하도록 설정된 또 다른 인증 방법을 선택합니다.

여러 폴백 인증 방법을 규칙에 추가할 수 있습니다.

e 다음 시간 후에 재인증 드롭다운 메뉴에서 사용자가 다시 인증을 해야 하는 세션 길이를 선택합니다.

f (선택 사항) 사용자 인증이 실패할 때 표시되는 사용자 지정 액세스 거부 메시지를 만듭니다. 약650개 단어에 해당하는 4000자까지 사용할 수 있습니다. 사용자를 다른 페이지로 보내려면 링크 URL 텍스트 상자에 URL 링크 주소를 입력합니다. 링크 텍스트 텍스트 상자에 해당 링크로표시할 텍스트를 입력합니다. 이 텍스트 상자를 비워 두면 단어 계속이 표시됩니다.

g 저장을 클릭합니다.



76 VMware, Inc.

액세스 정책 관리 8사용자의 애플리케이션 포털에 보안 액세스를 제공하고 웹 및 데스크톱 애플리케이션을 실행하려면 애플리케이션 포털에 로그인하고 리소스를 사용하기 위해 충족해야 할 조건을 지정하는 규칙을 사용하여 액세스 정책을 구성합니다.

정책 규칙은 요청 IP 주소를 네트워크 범위에 매핑하고 사용자가 로그인에 사용할 수 있는 디바이스의 유형을 지정합니다. 규칙은 인증 방법과 인증이 유효한 시간 길이를 정의합니다.

VMware Identity Manager 서비스에는 서비스 전체에 대한 액세스를 제어하는 기본 정책이 포함되어있습니다. 이 정책에서는 세션 시간 초과가 8시간으로 설정되어 있고, 암호 인증 방법을 사용하여 모든디바이스 유형에서 모든 네트워크 범위에 대한 액세스를 허용하도록 설정되어 있습니다. 기본 정책을 편집할 수 있습니다.

참고 이 정책은 애플리케이션 세션이 지속되는 시간을 제어하지 않습니다. 사용자가 애플리케이션을 시작해야 하는 시간을 제어합니다.


n “액세스 정책 설정 구성,”(77 페이지)

n “웹 및 데스크톱 애플리케이션 관련 정책 관리,”(79 페이지)

n “웹 또는 데스크톱 애플리케이션별 정책 추가,”(81 페이지)

n “사용자 지정 액세스 거부 오류 메시지 구성,”(82 페이지)

n “액세스 정책 편집,”(83 페이지)

n “모바일 디바이스에서 영구 쿠키 사용,”(83 페이지)

액세스 정책 설정 구성정책에는 하나 이상의 액세스 규칙이 포함되어 있습니다. 각 규칙은 Workspace ONE 포털에 대한 사용자 액세스를 전체적으로 관리하거나 특정 웹 및 데스크톱 애플리케이션에 대한 사용자 액세스를 관리하기 위해 구성할 수 있는 설정으로 구성됩니다.

네트워크, 디바이스 유형, AirWatch 디바이스 등록 및 규정 준수 상태 또는 액세스하는 애플리케이션과같은 조건을 기반으로 사용자를 차단, 허용 또는 단계별 인증하는 작업을 하도록 정책 규칙을 구성할 수있습니다.

네트워크 범위

각 규칙에 대해 네트워크 범위를 지정하여 사용자 기반을 결정합니다. 네트워크 범위는 하나 이상의 IP범위로 구성됩니다. 액세스 정책 집합을 구성하기 전에 [ID 및 액세스 관리] 탭의 [설정] > [네트워크 범위] 페이지에서 네트워크 범위를 생성합니다.

VMware, Inc. 77

배포 환경에 있는 각 ID 제공자 인스턴스는 네트워크 범위를 인증 방법과 연결합니다. 정책 규칙을 구성하는 경우 기존 ID 제공자 인스턴스가 네트워크 범위를 포함하는지 확인합니다.

특정 네트워크 범위를 구성하여 사용자가 로그인하고 애플리케이션에 액세스할 수 있는 위치를 제한할 수있습니다.

디바이스 유형

규칙에서 관리하는 디바이스 유형을 선택합니다. 클라이언트 유형은 웹 브라우저, Workspace ONE 애플리케이션, iOS, Android, Windows 10, OS X 및 모든 디바이스 유형입니다.

컨텐츠에 액세스할 수 있는 디바이스 유형을 지정하고 해당 유형의 디바이스에서 시작된 모든 인증 요청이 정책 규칙을 사용하도록 규칙을 구성할 수 있습니다.

인증 방법

정책 규칙에서 인증 방법이 적용되는 순서를 설정합니다. 인증 방법은 나열된 순서대로 적용됩니다. 정책의 인증 방법 및 네트워크 범위 구성을 충족하는 첫 번째 ID 제공자 인스턴스가 선택됩니다. 사용자 인증요청이 인증을 위해 ID 제공자 인스턴스로 전달됩니다. 인증이 실패하면 목록의 다음 인증 방법이 선택됩니다.

사용자가 로그인하기 위해서는 두 가지 인증 방법을 통해 자격 증명을 전달하도록 액세스 정책 규칙을 구성할 수 있습니다. 하나 또는 두 개의 인증 방법이 실패하고 폴백 방법도 구성된 경우, 구성된 다음 인증방법에 대해 자격 증명을 입력하라는 메시지가 사용자에게 표시됩니다. 다음 두 시나리오에서는 이 인증체인의 작동 방법을 설명합니다.

n 첫 번째 시나리오에서는 사용자가 자신의 암호 및 Kerberos 자격 증명을 사용하여 인증하도록 액세스 정책 규칙이 구성되어 있습니다. 인증을 위해 암호 및 RADIUS 자격 증명을 요구하는 폴백 인증이 설정되어 있습니다. 사용자가 암호는 올바로 입력하지만, Kerberos 인증 자격 증명은 올바로 입력하지 못합니다. 사용자가 올바른 암호를 입력했기 때문에 폴백 인증 요청은 RADIUS 자격 증명에만 해당합니다. 사용자가 암호를 다시 입력할 필요가 없습니다.

n 두 번째 시나리오에서는 사용자가 자신의 암호 및 Kerberos 자격 증명을 사용하여 인증하도록 액세스 정책 규칙이 구성되어 있습니다. 인증을 위해 RSA SecurID 및 RADIUS를 요구하는 폴백 인증이 설정되어 있습니다. 사용자가 암호는 올바로 입력하지만, Kerberos 인증 자격 증명은 올바로 입력하지 못합니다. 폴백 인증 요청은 인증을 위해 RSA SecurID 자격 증명 및 RADIUS 자격 증명모두에 해당합니다.

인증 및 디바이스 규정 준수 확인을 요구하도록 액세스 정책 규칙을 구성하려면 기본 제공 ID 제공자 페이지에서 [AirWatch와의 디바이스 규정 준수]를 사용하도록 설정해야 합니다. “규정 준수 검사를 위한액세스 정책 규칙 구성,”(135 페이지)의 내용을 참조하십시오.

인증 세션 길이

각 규칙에 대해 이 인증이 유효한 시간을 설정합니다. 다음 시간 후에 재인증 값은 마지막 인증 이벤트 후사용자가 포털에 액세스하거나 특정 애플리케이션을 시작할 수 있는 최대 시간을 결정합니다. 예를 들어,웹 애플리케이션 규칙에서 값을 4로 지정하는 경우 사용자가 시간을 연장하는 다른 인증 이벤트를 시작하지 않는다면 4시간 동안 웹 애플리케이션을 시작할 수 있습니다.

사용자 지정 액세스 거부 오류 메시지

사용자가 잘못된 자격 증명, 잘못된 구성 또는 시스템 오류 때문에 로그인에 실패하면 액세스 거부 메시지가 표시됩니다. 기본 메시지는 유효한 인증 방법을 찾지 못했기 때문에 액세스가 거부되었습니다.입니다.

기본 메시지를 재정의하는 각 액세스 정책 규칙에 대해 사용자 지정 오류 메시지를 만들 수 있습니다. 사용자 지정 메시지에는 조치 메시지에 대한 텍스트 및 링크가 포함될 수 있습니다. 예를 들어 관리하려는모바일 디바이스의 정책 규칙에서 사용자가 등록되지 않은 디바이스에서 로그인하려고 하면 다음의 사용자 지정 오류 메시지를 생성할 수 있습니다. 이 메시지 끝에 나오는 링크를 클릭하여 회사 리소스에 액세스할

수 있게 디바이스를 등록합니다. 디바이스가 이미 등록된 경우 지원을 요청하십시오.


78 VMware, Inc.

기본 정책 예

다음 정책은 특정 정책이 할당되지 않은 앱 포털 및 웹 애플리케이션에 대한 액세스를 제어하도록 기본 정책을 구성하는 방법의 예입니다.

정책 규칙은 정책에 나열된 순서대로 평가됩니다. [정책 규칙] 섹션에서 규칙을 끌어서 놓으면 규칙 순서를 변경할 수 있습니다.

1 n 내부 네트워크의 경우 규칙에 대한 두 개의 인증 방법(Kerberos 및 암호 인증)이 폴백 방법으로 구성되어 있습니다. 내부 네트워크에서 애플리케이션 포털에 액세스하기 위해 서비스는 먼저Kerberos 인증을 사용하여 사용자 인증을 시도합니다. 이 방법이 규칙에 나열된 첫 번째 인증방법이기 때문입니다. 이 방법이 실패할 경우 사용자에게 Active Directory 암호를 입력하라는메시지가 표시됩니다. 사용자는 브라우저를 사용하여 로그인하고 이제 8시간의 세션 동안 사용자 포털에 대한 액세스 권한을 갖습니다.

n 외부 네트워크(모든 범위)에서 액세스할 경우 하나의 인증 방법 RSA SecurID만 구성되어 있습니다. 외부 네트워크에서 앱 포털에 액세스하려면 사용자가 SecurID를 사용하여 로그인해야합니다. 사용자는 브라우저를 사용하여 로그인하고 이제 4시간의 세션 동안 사용자 앱 포털에 대한 액세스 권한을 갖습니다.

2 기본 정책은 애플리케이션별 정책이 없는 모든 웹 및 데스크톱 애플리케이션에 적용됩니다.

웹 및 데스크톱 애플리케이션 관련 정책 관리카탈로그에 웹 및 데스크톱 애플리케이션을 추가할 때 애플리케이션 관련 액세스 정책을 생성할 수 있습니다. 예를 들어 웹 애플리케이션에 대해 어느 IP 주소가 애플리케이션에 대한 액세스 권한을 갖는지, 어느 인증 방법을 사용하는지, 재인증이 필요할 때까지 얼마 동안 유효한지를 지정하는 규칙으로 정책을 생성할 수 있습니다.

다음 웹 애플리케이션 관련 정책은 지정된 웹 애플리케이션에 대한 액세스를 제어하기 위해 생성할 수 있는 정책의 예를 제공합니다.

예 1 엄격한 웹 애플리케이션 관련 정책

이 예에서는 새 정책이 생성되어 중요한 웹 애플리케이션에 적용됩니다.

8장 액세스 정책 관리

VMware, Inc. 79

1 엔터프라이즈 네트워크 외부에서 서비스에 액세스하려면 사용자가 RSA SecurID로 로그인해야 합니다. 사용자가 브라우저를 사용하여 로그인하고 이제 기본 액세스 규칙에 제공된 대로 4시간의 세션동안 애플리케이션 포털에 액세스할 수 있습니다.

2 4시간 후 사용자가 중요한 웹 애플리케이션 정책 집합이 적용된 웹 애플리케이션을 실행하려고 합니다.

3 사용자 요청이 웹 브라우저 및 [모든 범위] 네트워크 범위에서 비롯되므로 서비스가 정책의 규칙을확인하고 [모든 범위] 네트워크 범위의 정책을 적용합니다.

사용자가 RSA SecurID 인증 방법을 사용하여 로그인했지만 세션이 만료되었습니다. 사용자가 재인증을 위해 리디렉션됩니다. 재인증은 사용자에게 또 하나의 4시간짜리 세션과 애플리케이션을 실행할 수 있는 기능을 제공합니다. 다음 4시간 동안 사용자는 재인증할 필요 없이 계속해서 애플리케이션을 실행할 수 있습니다.


80 VMware, Inc.

예 2 더욱 엄격한 웹 애플리케이션 관련 정책

더욱 중요한 웹 애플리케이션에 적용할 더욱 엄격한 규칙의 경우 1시간 후 모든 디바이스에서 SecurID를 사용한 재인증을 요청할 수 있습니다. 다음은 이러한 유형의 정책 액세스 규칙이 구현되는 방법에 대한예입니다.

1 사용자가 Kerberos 인증 방법을 사용하여 엔터프라이즈 네트워크 내부에서 로그인합니다.

이제 사용자는 예 1에서 설정한 대로 8시간 동안 애플리케이션 포털에 액세스할 수 있습니다.

2 사용자가 예 2 정책 규칙이 적용된 웹 애플리케이션을 즉시 실행하려고 하며 이를 위해서는 RSASecurID 인증이 필요합니다.

3 사용자가 [RSA SecurID 인증 로그인] 페이지로 리디렉션됩니다.

4 사용자가 로그인한 후 서비스가 애플리케이션을 실행하고 인증 이벤트를 저장합니다.

사용자는 계속해서 최대 1시간 동안 이 애플리케이션을 실행할 수 있지만 정책 규칙에 지정된 대로 1시간 후 재인증하도록 요청됩니다.

웹 또는 데스크톱 애플리케이션별 정책 추가특정 웹 및 데스크톱 애플리케이션에 대한 사용자 액세스를 관리하기 위해 애플리케이션별 정책을 만들수 있습니다.

필수 조건

n 배포에 적절한 네트워크 범위를 구성합니다. “네트워크 범위 추가 또는 편집,”(74 페이지)의 내용을 참조하십시오.

n 배포에 적절한 인증 방법을 구성합니다. 7장, “VMware Identity Manager에서 사용자 인증 구성,”(53 페이지)의 내용을 참조하십시오.

n 전체 서비스에 대한 사용자 액세스를 제어하기 위해 기본 정책을 편집하려는 경우 애플리케이션별 정책을 생성하기 전에 기본 정책을 구성합니다.


VMware, Inc. 81

n 웹 및 데스크톱 애플리케이션을 카탈로그에 추가합니다. 애플리케이션별 정책을 추가할 수 있으려면[카탈로그] 페이지에 하나 이상의 애플리케이션이 나열되어야 합니다.

프로시저


2 정책 추가를 클릭하고 새 정책을 추가합니다.

3 해당 텍스트 상자에 정책 이름과 설명을 추가합니다.

4 [적용 대상] 섹션에서 선택을 클릭하고 표시되는 페이지에서 이 정책과 연결된 애플리케이션을 선택합니다.

5 [정책 규칙] 섹션에서 +를 클릭하여 규칙을 추가합니다.

[정책 규칙 추가] 페이지가 나타납니다.

a 이 규칙에 적용할 네트워크 범위를 선택합니다.

b 이 규칙에 대해 애플리케이션에 액세스할 수 있는 디바이스의 유형을 선택합니다.

c 사용할 인증 방법을 적용되어야 할 순서대로 선택합니다.

d 애플리케이션 세션을 열어둘 수 있는 시간을 지정합니다.

e 저장을 클릭합니다.

6 필요한 경우 추가 규칙을 구성합니다.


사용자 지정 액세스 거부 오류 메시지 구성각 정책 규칙에 대해 잘못된 자격 증명 때문에 사용자가 로그인을 시도한 후 실패할 때 표시되는 사용자지정 액세스 거부 오류 메시지를 만들 수 있습니다.

사용자 지정 메시지에는 사용자가 해당 문제를 해결하도록 도와주기 위한 텍스트와 다른 URL에 대한 링크가 포함될 수 있습니다. 약 650개 단어에 해당하는 4000자까지 사용할 수 있습니다.

프로시저


2 편집할 액세스 정책을 클릭합니다.

3 정책 규칙 페이지를 열려면 편집할 규칙에 대한 [인증 방법] 열에서 인증 이름을 클릭합니다.

4 사용자 지정 오류 메시지 텍스트 상자에 오류 메시지를 입력합니다.

5 URL에 링크를 추가하려면 링크 텍스트 상자에 링크에 대한 설명을 입력하고 링크 URL에 해당URL을 입력합니다.

해당 링크는 사용자 지정 메시지 맨 끝에 표시됩니다. 링크 텍스트 상자에 텍스트를 추가하지 않고URL만 추가할 경우 표시되는 텍스트 링크는 다음과 같습니다.

계속합니다.


후속 작업

다른 정책 규칙에 대한 사용자 지정 오류 메시지를 만듭니다.


82 VMware, Inc.

액세스 정책 편집기본 액세스 정책을 편집하여 정책 규칙을 변경하고, 애플리케이션별 정책을 편집하여 애플리케이션을 추가 또는 제거하고 정책 규칙을 변경할 수 있습니다.

언제든지 애플리케이션별 액세스 정책을 제거할 수 있습니다. 기본 액세스 정책은 영구적입니다. 기본 정책은 제거할 수 없습니다.

필수 조건

n 배포에 적절한 네트워크 범위를 구성합니다. “네트워크 범위 추가 또는 편집,”(74 페이지)의 내용을 참조하십시오.

n 배포에 적절한 인증 방법을 구성합니다. 7장, “VMware Identity Manager에서 사용자 인증 구성,”(53 페이지)의 내용을 참조하십시오.

프로시저


2 편집할 정책을 클릭합니다.

3 이 정책이 웹 또는 데스크톱 애플리케이션에 적용되는 경우 애플리케이션 편집을 클릭하여 이 정책에서 애플리케이션을 추가 또는 삭제합니다.

4 [정책 규칙] 섹션의 [인증 방법] 열에서 편집할 규칙을 선택합니다.

기존 구성이 표시된 [정책 규칙 편집] 페이지가 표시됩니다.

5 인증 순서를 구성하려면 사용해야 하는 인증 방법 드롭다운 메뉴에서 먼저 적용할 인증 방법을 선택합니다.

6 (선택 사항) 첫 번째 인증이 실패한 경우 폴백 인증 방법을 구성하려면 다음 드롭다운 메뉴에서 사용되도록 설정된 다른 인증 방법을 선택합니다.

여러 폴백 인증 방법을 규칙에 추가할 수 있습니다.

7 저장을 클릭하고 정책 페이지에서 저장을 다시 클릭합니다.

편집된 정책 규칙은 즉시 적용됩니다.

후속 작업

정책이 애플리케이션별 액세스 정책인 경우에는 [카탈로그] 페이지에서 애플리케이션에 정책을 적용할 수도 있습니다. “웹 또는 데스크톱 애플리케이션별 정책 추가,”(81 페이지)의 내용을 참조하십시오.

모바일 디바이스에서 영구 쿠키 사용시스템 브라우저와 기본 애플리케이션 사이에서 Single Sign-In 기능을 제공하도록 영구 쿠키를 사용하도록 설정하고, 애플리케이션이 iOS 디바이스에서 Safari View Controller를 사용하고 Android 디바이스에서 Chrome 사용자 지정 탭을 사용하는 경우에는 기본 애플리케이션 사이에서 Signle Sign-In을 제공하는 영구 쿠키를 사용하도록 설정합니다.

영구 쿠키는 사용자가 VMware Identity Manager를 통해 관리되는 리소스에 액세스할 때 사용자 자격 증명을 다시 입력할 필요가 없도록 사용자의 로그인 세션 세부 정보를 저장합니다. 쿠키 시간 초과는iOS 및 Android 디바이스에 대해 설정하는 액세스 정책 규칙에서 구성할 수 있습니다.

참고 쿠키는 일반적인 브라우저 쿠키 도용과 사이트 간 스크립트 공격에 취약합니다.


VMware, Inc. 83

영구 쿠키 사용

영구 쿠키는 사용자가 iOS 또는 Android 모바일 디바이스에서 관리되는 리소스에 액세스할 때 사용자자격 증명을 다시 입력할 필요가 없도록 사용자의 로그인 세션 세부 정보를 저장합니다.

프로시저

1 관리 콘솔의 [ID 및 액세스 관리] 탭에서 설정 > 환경설정을 선택합니다.

2 영구 쿠키 사용을 선택합니다.


후속 작업

영구 쿠키 세션 시간 초과를 설정하려면 iOS 및 Android 디바이스 유형에 대한 액세스 정책 규칙에서재인증 값을 편집합니다.


84 VMware, Inc.

사용자 및 그룹 관리 9VMware Identity Manager 서비스의 사용자 및 그룹을 엔터프라이즈 디렉토리로 가져오거나VMware Identity Manager 관리 콘솔에서 로컬 사용자 및 그룹으로 생성합니다.

관리 콘솔의 [사용자 및 그룹] 페이지에서는 사용자 및 그룹 중심의 서비스 보기를 제공합니다. 사용자 및그룹 사용 권한, 그룹 가입 및 VMware Verify 전화 번호를 관리할 수 있습니다. 로컬 사용자의 경우암호 정책을 관리하고 있습니다.


n “사용자 및 그룹 유형,”(85 페이지)

n “사용자 이름 및 그룹 이름 정보,”(86 페이지)

n “사용자 관리,”(87 페이지)

n “그룹 생성 및 그룹 규칙 구성,”(88 페이지)

n “그룹 규칙 편집,”(90 페이지)

n “그룹에 리소스 추가,”(90 페이지)

n “로컬 사용자 생성,”(91 페이지)

n “암호 관리,”(93 페이지)

사용자 및 그룹 유형VMware Identity Manager 서비스의 사용자는 엔터프라이즈 디렉토리에서 동기화된 사용자,관리 콘솔에서 프로비저닝한 로컬 사용자 또는 Just-in-Time 프로비저닝으로 생성한 사용자일 수 있습니다.

VMware Identity Manager 서비스의 그룹은 엔터프라이즈 디렉토리에서 동기화된 그룹 및 관리 콘솔에서 생성한 로컬 그룹일 수 있습니다.

엔터프라이즈 디렉토리에서 가져온 사용자 및 그룹은 서버 동기화 일정에 따라VMware Identity Manager 디렉토리에서 업데이트됩니다. [사용자 및 그룹] 페이지에서 사용자 및그룹 계정을 볼 수 있습니다. 이러한 사용자 및 그룹은 편집하거나 삭제할 수 없습니다.

로컬 사용자 및 그룹을 생성할 수 있습니다. 로컬 사용자는 로컬 디렉토리에 추가됩니다. 로컬 사용자 특성 매핑 및 암호 정책을 관리합니다. 로컬 그룹을 생성하여 사용자의 리소스 사용 권한을 관리할 수 있습니다.

just-in-time 프로비저닝으로 생성된 사용자는 ID 제공자가 전송한 SAML 어설션을 기준으로, 사용자가 로그인할 때 동적으로 생성 및 업데이트됩니다. 모든 사용자 관리는 SAML 어설션을 통해 처리됩니다. Just-in-Time 프로비저닝을 사용하려면 6장, “Just-in-Time 사용자 프로비저닝,”(45 페이지)의 내용을 참조하십시오.

VMware, Inc. 85

사용자 이름 및 그룹 이름 정보VMware Identity Manager 서비스에서는 사용자 및 그룹이 해당 이름과 도메인으로 고유하게 식별됩니다. 따라서 같은 이름의 여러 사용자나 그룹이 다른 Active Directory 도메인에 있을 수 있습니다. 사용자 이름 및 그룹 이름은 도메인 내에서 고유해야 합니다.

사용자 이름

VMware Identity Manager 서비스는 같은 이름의 여러 사용자가 다른 Active Directory 도메인에존재하도록 지원합니다. 사용자 이름은 도메인 내에서 고유해야 합니다. 예를 들어 도메인eng.example.com에 사용자 jane이 있고 도메인 sales.example.com에 다른 사용자 jane이 있을수 있습니다.

사용자는 해당 사용자 이름과 도메인으로 고유하게 식별됩니다. VMware Identity Manager의userName 특성은 사용자 이름에 사용되고 일반적으로 Active Directory의 sAMAccountName 특성에 매핑됩니다. 도메인 특성은 도메인에 사용되고 일반적으로 Active Directory의 canonicalName특성에 매핑됩니다.

디렉토리 동기화 중 사용자 이름은 같으나 도메인이 다른 사용자는 성공적으로 동기화됩니다. 도메인 내에서 사용자 이름이 충돌하는 경우 첫 번째 사용자가 동기화되고 같은 사용자 이름의 후속 사용자에 대해오류가 발생합니다.

참고 사용자 도메인이 올바르지 않거나 누락된 VMware Identity Manager 디렉토리가 기존에 존재하는 경우 도메인 설정을 확인하고 디렉토리를 다시 동기화합니다. “올바른 도메인 정보에 디렉토리 동기화,”(87 페이지)의 내용을 참조하십시오.

관리 콘솔에서 사용자 이름과 도메인으로 사용자를 고유하게 식별할 수 있습니다. 예:

n [대시보드] 탭의 [사용자 및 그룹] 열에서 사용자는 사용자(도메인)로 나열됩니다. 예를 들어jane(sales.example.com)과 같습니다.

n [사용자 및 그룹] 탭의 [사용자] 페이지에서 [도메인] 열은 사용자가 속하는 도메인을 나타냅니다.

n 리소스 사용 권한 보고서와 같이 사용자 정보를 표시하는 보고서에는 [도메인] 열이 포함되어 있습니다.

최종 사용자는 사용자 포털에 로그인할 때 로그인 페이지에서 자신이 속하는 도메인을 선택합니다. 여러사용자가 같은 사용자 이름을 갖는 경우 각 사용자는 적절한 도메인을 사용하여 성공적으로 로그인할 수있습니다.

참고 이 정보는 Active Directory에서 동기화되는 사용자에게 적용됩니다. 타사 ID 제공자를 사용하고 Just-in-Time 사용자 프로비저닝을 구성한 경우 6장, “Just-in-Time 사용자 프로비저닝,”(45페이지)에서 자세한 정보를 참조하십시오. Just-in-Time 사용자 프로비저닝도 같은 사용자 이름을 갖는여러 사용자가 다른 도메인에 존재하도록 지원합니다.

그룹 이름

VMware Identity Manager 서비스는 같은 이름의 여러 그룹이 다른 Active Directory 도메인에 존재하도록 지원합니다. 그룹 이름은 도메인 내에서 고유해야 합니다. 예를 들어 도메인eng.example.com에 allusers라는 그룹이 있고 도메인 sales.example.com에 allusers라는 다른 그룹이 있을 수 있습니다.

그룹은 해당 그룹 이름과 도메인으로 고유하게 식별됩니다.


86 VMware, Inc.

디렉토리 동기화 중 이름은 같으나 도메인이 다른 그룹은 성공적으로 동기화됩니다. 도메인 내에서 그룹이름이 충돌하는 경우 첫 번째 그룹이 동기화되고 같은 그룹 이름의 후속 그룹에 대해 오류가 발생합니다.

관리 콘솔의 [사용자 및 그룹] 탭에 있는 [그룹] 페이지에서 Active Directory 그룹은 그룹 이름 및 도메인별로 나열됩니다. 이를 통해 이름이 같은 그룹 간을 구분할 수 있습니다.VMware Identity Manager 서비스에서 로컬로 생성되는 그룹은 그룹 이름별로 나열됩니다. 도메인은[로컬 사용자]로 나열됩니다.

올바른 도메인 정보에 디렉토리 동기화

사용자 도메인이 올바르지 않거나 누락된 VMware Identity Manager 디렉토리가 기존에 존재하는 경우 도메인 설정을 확인하고 디렉토리를 다시 동기화해야 합니다. 다른 Active Directory 도메인에서 이름이 같은 사용자나 그룹이 VMware Identity Manager 디렉토리에 성공적으로 동기화되고 사용자가로그인할 수 있도록 도메인 설정을 확인해야 합니다.

프로시저

1 관리 콘솔에서 ID 및 액세스 관리 > 디렉토리 페이지로 이동합니다.

2 동기화할 디렉토리를 선택한 다음 동기화 설정을 클릭하고 매핑된 특성 탭을 클릭합니다.

3 [매핑된 특성] 페이지에서 VMware Identity Manager 특성 domain이 Active Directory의 올바른 특성 이름에 매핑되어 있는지 확인합니다.

domain 특성은 일반적으로 Active Directory의 canonicalName 특성에 매핑됩니다.

도메인 특성은 [필수]로 표시되지 않습니다.

4 저장 및 동기화를 클릭하여 디렉토리를 동기화합니다.

사용자 관리관리 콘솔의 [사용자] 페이지에는 사용자 ID, 도메인, 사용자가 멤버로 있는 그룹, VMware Verify 전화 번호 및 사용자가 VMware Identity Manager에서 사용되도록 설정되어 있는지 여부를 비롯하여각 사용자에 대한 정보가 표시됩니다.

사용자 이름을 선택하여 자세한 사용자 정보를 확인합니다. 검토되는 세부 정보에는 사용자 프로파일, 그룹 가입, VMware Verify를 통해 사용하도록 설정된 디바이스 및 사용자 사용 권한이 포함됩니다.

사용자 프로파일

사용자 프로파일 페이지에는 사용자와 연결된 개인 데이터 및 할당된 역할(사용자 또는 관리자)이 표시됩니다. 외부 디렉토리에서 동기화되는 사용자 정보에는 주체 이름, 고유 이름 및 외부 ID 데이터도 포함될수 있습니다. 로컬 사용자의 프로파일 페이지에는 로컬 사용자 디렉토리에 있는 사용자에 대한 사용 가능한 사용자 특성이 표시됩니다.

외부 디렉토리에서 동기화되는 사용자에 대한 사용자 프로파일 페이지 데이터는 편집할 수 없습니다. 사용자의 역할을 변경할 수 있습니다.

로컬 사용자 프로파일 페이지에서 특성 정보를 편집하고, 로그인할 수 없게 사용자를 사용하지 않도록 설정하고, 사용자를 삭제할 수 있습니다.

그룹 가입

사용자가 속하는 그룹 목록이 [그룹] 페이지에 표시됩니다. 그룹의 이름을 클릭하여 해당 그룹에 대한 세부 정보 페이지를 표시할 수 있습니다.

VMware Verify에 등록됨

VMware Verify 페이지에는 VMware Verify에 등록된 사용자의 전화 번호와 등록된 디바이스가 표시됩니다. 계정을 마지막으로 사용한 시간도 확인할 수 있습니다.

9장 사용자 및 그룹 관리

VMware, Inc. 87

사용자 전화 번호를 제거할 수 있습니다. VMware Verify를 재설정하면 사용자는 Verify에서 등록하기위해 해당 전화 번호를 다시 입력해야 합니다. “사용자 프로파일에서 등록된 전화 번호 제거,”(69 페이지)의 내용을 참조하십시오.

애플리케이션 사용 권한

[사용 권한 추가]를 클릭하여 카탈로그에서 사용할 수 있는 리소스에 대한 사용 권한을 사용자에게 부여합니다. 그런 다음 애플리케이션이 Workspace ONE 포털에 추가되는 방식을 설정합니다.Workspace ONE 포털에 애플리케이션이 자동으로 표시되도록 하려면 배포를 [자동]으로 선택합니다.애플리케이션이 카탈로그 모음에서 Workspace ONE 포털로 추가되기 전에 사용자가 애플리케이션을활성화하도록 하려면 [사용자 활성화]를 선택합니다.

X 버튼이 있는 리소스 유형의 경우에는 X를 클릭하여 리소스에 대한 사용자의 액세스 권한을 제거할 수있습니다.

그룹 생성 및 그룹 규칙 구성그룹을 생성하고, 그룹에 멤버를 추가하고, 정의한 규칙에 따라 그룹을 채울 수 있도록 하는 그룹 규칙을생성할 수 있습니다.

각 사용자에게 개별적으로 사용 권한을 부여하지 않고 두 명 이상의 사용자에게 같은 리소스에 대한 사용권한을 동시에 부여하려면 그룹을 사용합니다. 한 사용자가 여러 그룹에 속할 수 있습니다. 예를 들어 판매 그룹과 관리 그룹을 생성할 경우 판매 관리자는 두 그룹 모두에 속할 수 있습니다.

그룹 멤버에 적용할 정책 설정을 지정할 수 있습니다. 그룹의 사용자는 사용자 특성에 대해 설정한 규칙으로 정의됩니다. 사용자의 특성 값이 정의된 그룹 규칙 값에서 변경되면 그룹에서 사용자가 제거됩니다.

프로시저

1 관리 콘솔의 [사용자 및 그룹] 탭에서 그룹을 클릭합니다.

2 그룹 추가를 클릭합니다.

3 그룹 이름과 그룹의 설명을 입력합니다. 다음을 클릭합니다.

4 그룹에 사용자를 추가하려면 사용자 이름 문자를 입력합니다. 텍스트를 입력하면 일치하는 이름 목록이 표시됩니다.

5 사용자 이름을 선택하고 +사용자 추가를 클릭합니다.

그룹에 멤버를 계속 추가합니다.

6 그룹에 사용자가 추가되면 다음을 클릭합니다.

7 [그룹 규칙] 페이지에서 그룹 멤버 자격이 부여되는 방식을 선택합니다. 드롭다운 메뉴에서 임의 또는 모두를 선택합니다.

옵션 작업

임의 그룹 멤버 자격 조건 중에 하나라도 충족되면 그룹 멤버 자격을 부여합니다. 이 작업은 OR 조건과 같이 작동합니다. 예를 들어 판매 그룹 및 마케팅 그룹 규칙에 대해 임의를 선택하면 판매 및 마케팅 직원에게 이 그룹에 대한 멤버 자격이 부여됩니다.

모두 그룹 멤버 자격 조건이 모두 충족되면 그룹 멤버 자격을 부여합니다. [모두]를 사용하면 AND 조건과 같이 작동합니다. 예를 들어 판매 그룹과이메일이 'western_region'으로 시작 규칙에 대해 다음 중 모두를 선택하면 서부 지역의 판매 직원에게만 이 그룹의 멤버 자격을 부여합니다.다른 지역의 판매 직원에게는 멤버 자격이 부여되지 않습니다.


88 VMware, Inc.

8 그룹에 하나 이상의 규칙을 구성합니다. 규칙은 중첩할 수 있습니다.

옵션 설명

특성 첫 번째 열 드롭다운 메뉴에서 이러한 특성 중 하나를 선택합니다. 생성하는 그룹에 기존 그룹을 추가하려면 [그룹]을 선택합니다. 그룹에서 생성하는 그룹의 멤버로 지정할 사용자를 관리하기 위해 다른 유형의 특성을 추가할 수 있습니다.

특성 규칙 다음 규칙은 선택한 특성에 따라 사용할 수 있습니다.n 이 그룹과 연결할 그룹 또는 디렉토리를 선택하려면 같음을 선택합니다. 텍스트 상자에 이름을 입력합니다. 입력할 때 사용 가능한 그룹또는 디렉토리 목록이 나타납니다.

n 제외할 그룹 또는 디렉토리를 선택하려면 같지 않음을 선택합니다.텍스트 상자에 이름을 입력합니다. 입력할 때 사용 가능한 그룹 또는디렉토리 목록이 나타납니다.

n 입력한 조건과 정확하게 일치하는 항목에 그룹 멤버 자격을 부여하려면 일치를 선택합니다. 예를 들어 조직에 중앙 전화 번호를 공유하는출장 부서가 있을 수 있습니다. 이 전화 번호를 공유하는 모든 직원에게 출장 예약 애플리케이션에 대한 액세스 권한을 부여하려면 "전화번호가 다음과 일치. (555) 555-1000"과 같은 규칙을 생성합니다.

n 입력한 조건과 정확하게 일치하지 않는 모든 디렉토리 서버 항목에그룹 멤버 자격을 부여하려면 일치하지 않음을 선택합니다. 예를 들어 부서 중 하나가 중앙 전화 번호를 공유하는 경우에는 "전화 번호가다음과 일치하지 않음. (555) 555-2000"과 같은 규칙을 생성하여해당 부서가 소셜 네트워킹 애플리케이션에 액세스하지 못하도록 제외할 수 있습니다. 다른 전화 번호가 지정된 디렉토리 서버 항목에서는 애플리케이션에 액세스할 수 있습니다.

n 입력한 조건으로 시작하는 디렉토리 서버 항목에 그룹 멤버 자격을부여하려면 다음으로 시작을 선택합니다. 예를 들어[email protected]과 같이 조직의 이메일 주소가부서 이름으로 시작하는 경우가 있습니다. 판매 직원 모두에게 애플리케이션에 대한 액세스 권한을 부여하려면 "이메일이 sales_로 시작"과 같은 규칙을 생성할 수 있습니다.

n 입력한 조건으로 시작하지 않는 모든 디렉토리 서버 항목에 그룹 멤버 자격을 부여하려면 다음으로 시작되지 않음을 선택합니다. 예를들어 인사 부서의 이메일 주소가 [email protected]형식으로 되어 있는 경우 "이메일이 hr_로 시작하지 않음"과 같은 규칙을 설정하면 인사부 직원의 애플리케이션 액세스를 거부할 수 있습니다. 다른 이메일 주소가 지정된 디렉토리 서버 항목에서는 애플리케이션에 액세스할 수 있습니다.

특성 임의 또는 모두 사용 (선택 사항) 특성 [임의] 또는 [모두]를 그룹 규칙의 일부로 포함하려면이 규칙을 마지막에 추가합니다.n 이 규칙의 그룹 멤버 자격에 대한 조건을 하나라도 충족하는 경우에그룹 멤버 자격을 부여하려면 임의를 선택합니다. [임의]를 사용하면규칙을 중첩할 수 있습니다. 예를 들어 [다음 중 모두: 판매 그룹, 캘리포니아 그룹] 규칙을 생성할 수 있습니다. [캘리포니아 그룹]에 대해 [다음 중 임의: 전화 번호가 415로 시작; 전화 번호가 510으로시작]을 지정할 수 있습니다. 그룹 멤버는 캘리포니아주의 판매 직원이며 전화 번호가 415 또는 510으로 시작해야 합니다.

n 이 규칙에 대해 모든 조건이 충족되도록 하려면 모두를 선택합니다.이 방법으로 규칙을 중첩할 수 있습니다. 예를 들어 "다음 중 임의:관리자 그룹; 고객 서비스 그룹" 규칙을 생성할 수 있습니다. [고객서비스 그룹]에 대해 [다음 중 모두: 이메일이 cs_로 시작; 전화 번호가 555로 시작]을 지정할 수 있습니다. 그룹 멤버는 관리자 또는고객 서비스 고객 지원 담당자일 수 있지만, 고객 서비스 고객 지원담당자는 이메일이 cs로 시작하고 전화 번호가 555로 시작해야 합니다.

9 (선택 사항) 특정 사용자를 제외하려면 텍스트 상자에 사용자 이름을 입력하고 사용자 제외를 클릭합니다.

10 다음을 클릭하고 그룹 정보를 검토합니다. 그룹 생성을 클릭합니다.


VMware, Inc. 89

후속 작업

그룹에게 사용 권한이 부여된 리소스를 추가합니다.

그룹 규칙 편집그룹 규칙을 편집하여 그룹 이름을 변경하고, 사용자를 추가 및 제거하고, 그룹 규칙을 변경할 수 있습니다.

프로시저

1 관리 콘솔에서 사용자 및 그룹 > 그룹을 클릭합니다.

2 편집할 그룹 이름을 클릭합니다.

3 그룹의 사용자 편집을 클릭합니다.

4 페이지를 클릭하여 이름, 그룹의 사용자 및 규칙을 변경합니다.


그룹에 리소스 추가사용자에게 리소스에 대한 사용 권한을 부여하는 가장 효과적인 방법은 그룹에 사용 권한을 추가하는 것입니다. 그룹의 모든 멤버가 그룹에 대해 사용 권한이 부여된 애플리케이션에 액세스할 수 있습니다.

필수 조건

애플리케이션이 [카탈로그] 페이지에 추가됩니다.

프로시저

1 관리 콘솔에서 사용자 및 그룹 > 그룹을 클릭합니다.

이 페이지에는 그룹 목록이 표시됩니다.

2 그룹에 리소스를 추가하려면 그룹 이름을 클릭합니다.

3 애플리케이션 탭을 클릭한 다음 사용 권한 추가를 클릭합니다.

4 드롭다운 메뉴에서 사용 권한을 부여할 애플리케이션 유형을 선택합니다.

드롭다운에 표시되는 애플리케이션 유형은 카탈로그에 추가되는 애플리케이션 유형을 기준으로 합니다.

5 그룹에 사용 권한을 부여할 애플리케이션을 선택합니다. 특정 애플리케이션을 검색하거나 애플리케이션 옆의 확인란을 선택하여 표시되는 모든 애플리케이션을 선택할 수 있습니다.

애플리케이션 사용 권한이 해당 그룹에 이미 부여된 경우 애플리케이션이 표시되지 않습니다.


애플리케이션이 [애플리케이션] 페이지에 표시되고 그룹의 사용자에게는 리소스에 대한 사용 권한이 즉시부여됩니다.


90 VMware, Inc.

로컬 사용자 생성VMware Identity Manager 서비스에서 로컬 사용자를 생성하여 엔터프라이즈 디렉토리에서 프로비저닝되지 않은 사용자를 추가 및 관리할 수 있습니다. 여러 로컬 디렉토리를 생성하고 각 디렉토리에 대한특성 매핑을 사용자 지정할 수 있습니다.

디렉토리를 생성하고, 특성을 선택하고, 해당 로컬 디렉토리에 대한 사용자 지정 특성을 생성합니다. 필수사용자 특성인 userName, lastName, firstName 및 email이 [ID 및 액세스 관리] > [사용자 특성]페이지의 글로벌 수준에서 지정됩니다. 로컬 디렉토리의 사용자 특성 목록에서 필요한 기타 특성을 선택하고, 사용자 지정 특성을 생성하여 로컬 디렉토리별로 사용자 지정 특성 집합을 가질 수 있습니다.VMware Identity Manager 설치 및 구성 가이드에서 "로컬 디렉토리 사용"을 참조하십시오.

사용자가 애플리케이션에 액세스할 수 있도록 하지만 엔터프라이즈 디렉토리에는 추가하지 않으려는 경우로컬 사용자를 생성합니다.

n 엔터프라이즈 디렉토리에 속하지 않는 특정 사용자 유형에 대한 로컬 디렉토리를 생성할 수 있습니다. 예를 들어 일반적으로 엔터프라이즈 디렉토리에 속하지 않는 파트너용 로컬 디렉토리를 생성한후 해당 파트너에게 필요한 특정 애플리케이션에만 액세스할 수 있는 권한을 부여할 수 있습니다.

n 사용자 집합마다 다른 사용자 특성 또는 인증 방법을 원할 경우 여러 로컬 디렉토리를 생성할 수 있습니다. 예를 들어 지역 및 시장 규모로 레이블이 지정된 사용자 특성을 갖는 유통업체용 로컬 디렉토리를 생성할 수 있습니다. 또한 제품 범주로 레이블이 지정된 사용자 특성을 갖는 공급업체용 로컬 디렉토리를 추가로 생성할 수 있습니다.

로컬 사용자가 엔터프라이즈 웹 사이트에 로그인하는 데 사용하는 인증 방법을 구성합니다. 로컬 사용자암호에 대해 암호 정책이 적용됩니다. 암호 제한 및 암호 관리 규칙을 정의할 수 있습니다.

사용자를 프로비저닝하면 해당 계정을 사용하도록 설정하기 위해 로그인 방법에 대한 정보를 포함하는 이메일 메시지가 전송됩니다. 로그인할 때 암호를 생성하면 해당 계정이 사용되도록 설정됩니다.

로컬 사용자 추가

한 번에 한 명의 사용자를 생성합니다. 사용자를 추가하는 경우, 사용할 로컬 사용자 특성으로 구성된 로컬 디렉토리 및 해당 사용자가 로그인하는 도메인을 선택합니다.

사용자 정보를 추가하는 것 외에, 사용자 역할을 사용자 또는 관리자로 선택합니다. 관리자 역할은 사용자가 관리 콘솔에 액세스하여 VMware Identity Manager 서비스를 관리하도록 허용합니다.

필수 조건

n 로컬 디렉토리가 생성됨

n 로컬 사용자에 대해 도메인이 식별됨

n 필수 사용자 특성이 로컬 디렉토리 [사용자 특성] 페이지에서 선택됨

n 암호 정책이 구성됨

n 새로 생성된 로컬 사용자에게 이메일 알림을 보내도록 [장치 설정] 탭에서 구성된 SMTP 서버

프로시저

1 관리 콘솔의 [사용자 및 그룹] 탭에서 사용자 추가를 클릭합니다.

2 사용자 추가 페이지에서 이 사용자의 로컬 디렉토리를 선택합니다.

구성할 사용자 특성을 표시하도록 페이지가 확장됩니다.

3 이 사용자가 할당된 도메인을 선택하고 필요한 사용자 정보를 모두 입력합니다.

4 이 사용자 역할이 관리자이면 [사용자] 텍스트 상자에서 관리자를 선택합니다.



VMware, Inc. 91

로컬 사용자가 생성됩니다. 로그인하여 해당 계정을 사용하도록 설정하고 암호를 생성하도록 요청하는 이메일이 사용자에게 전송됩니다. 이메일의 링크는 [암호 정책] 페이지에 설정된 값에 따라 만료됩니다. 기본값은 7일입니다. 이 링크가 만료되면 [암호 재설정]을 클릭하여 이메일 알림을 다시 전송합니다.

사용자가 구성된 그룹 특성 규칙에 따라 기존 그룹에 추가됩니다.

후속 작업

로컬 사용자 계정으로 이동하여 프로파일을 검토하고, 그룹에 사용자를 추가하고, 사용자에게 사용할 리소스에 대한 사용 권한을 부여합니다.

특정 액세스 정책에 따라 관리되는 리소스에 대해 사용 권한이 있는 관리자를 시스템 디렉토리에서 생성한 경우 애플리케이션 정책 규칙에 암호(로컬 디렉토리)가 폴백 인증 방법으로 포함되어야 합니다. 암호(로컬 디렉토리)가 구성되지 않은 경우 관리자는 애플리케이션에 로그인할 수 없습니다.

로컬 사용자를 사용하거나 사용하지 않도록 설정

로컬 사용자를 삭제하는 대신 사용하지 않도록 설정하여 해당 사용자가 포털 및 사용 권한이 부여된 리소스에 로그인 및 액세스하지 못하게 할 수 있습니다.

프로시저


2 [사용자] 페이지에서 사용자를 선택합니다.

[사용자 프로파일] 페이지가 나타납니다.

3 로컬 사용자의 상태에 따라 다음 중 하나를 수행합니다.

a 계정을 사용하지 않도록 설정하려면 [사용] 확인란을 선택 취소합니다.

b 계정을 사용하도록 설정하려면 [사용]을 선택합니다.

사용하지 않도록 설정된 사용자는 포털 또는 사용 권한이 부여된 리소스에 로그인할 수 없습니다. 로컬 사용자가 사용 권한이 부여된 리소스로 작업하고 있는 중에 사용되지 않도록 설정되면 세션이 시간 초과될때까지 리소스에 액세스할 수 있습니다.

로컬 사용자 삭제

로컬 사용자를 삭제할 수 있습니다.

프로시저


2 삭제할 사용자를 선택합니다.

[사용자 프로파일] 페이지가 나타납니다.

3 사용자 삭제를 클릭합니다.

4 확인 상자에서 확인을 클릭합니다.

사용자 목록에서 사용자가 제거됩니다.

삭제된 사용자는 사용 권한이 부여된 포털 또는 리소스에 로그인할 수 없습니다.


92 VMware, Inc.

암호 관리암호 정책을 생성하여 로컬 사용자 암호를 관리할 수 있으며, 로컬 사용자는 암호 정책 규칙에 따라 해당암호를 변경할 수 있습니다.

로컬 사용자는 Workspace ONE 포털의 이름별 드롭다운 메뉴의 [계정] 옵션에서 해당 암호를 변경할수 있습니다.

로컬 사용자에 대한 암호 정책 구성

로컬 사용자 암호 정책은 로컬 사용자 암호의 형식 및 만료에 대한 일련의 규칙 및 제한입니다. 암호 정책은 VMware Identity Manager 관리 콘솔에서 생성한 로컬 사용자에게만 적용됩니다.

암호 정책에는 암호 제한, 최대 암호 수명이 포함될 수 있으며, 암호 재설정의 경우 임시 암호의 최대 수명이 포함될 수 있습니다.

기본 암호 정책에서는 6자를 필요로 합니다. 암호 제한에는 강력한 암호 설정을 위해 대문자, 소문자, 숫자 및 특수 문자 조합을 포함할 수 있습니다.

프로시저

1 관리 콘솔에서 사용자 및 그룹 > 설정을 선택합니다.

2 암호 정책을 클릭하여 암호 제한 매개 변수를 편집합니다.

옵션 설명

암호의 최소 길이 최소 길이는 6자이지만 6자보다 많은 문자를 요구할 수 있습니다. 최소길이는 영문자, 숫자 및 특수 문자 결합의 최소 요구 사항을 충족해야 합니다.

소문자 소문자의 최소 수입니다. 소문자 a-z

대문자 대문자의 최소 수입니다. 대문자 A-Z

숫자(0-9) 숫자의 최소 수입니다. 기본 10자리(0-9)

특수 문자 비영숫자(예: & # % $ !)의 최소 수입니다.

연속된 동일 문자 인접해 있는 동일한 문자의 최대 수입니다. 예를 들어 1을 입력하는 경우암호 p@s$word는 허용되지만 p@$$word는 허용되지 않습니다.

암호 이력 선택할 수 없는 이전 암호 수입니다. 예를 들어 사용자가 최근 6개의 암호를 다시 사용할 수 없는 경우 6을 입력합니다. 이 기능을 사용하지 않도록 설정하려면 값을 0으로 설정합니다.

3 암호 관리 섹션에서 암호 수명 매개 변수를 편집합니다.

옵션 설명

임시 암호 수명 암호 재설정 또는 암호를 잊은 경우 링크가 유효한 시간입니다. 기본값은168시간입니다.

암호 수명 사용자가 변경해야 될 때까지 암호가 존재할 수 있는 최대 일수입니다.

암호 알림 암호 만료 알림이 전송되는 암호 만료 전 일 수입니다.

암호 알림 빈도 첫 번째 암호 만료 알림이 전송된 후에 알림이 전송되는 빈도입니다. 각 상자에는 암호 수명 정책을 설정하는 값이 포함되어야 합니다. 정책 옵션을 설정하지 않으려면 0을 입력합니다.



VMware, Inc. 93


94 VMware, Inc.

카탈로그 관리 10카탈로그는 사용자에게 사용 권한을 부여할 수 있는 모든 리소스가 포함된 저장소입니다. [카탈로그] 탭에서 바로 카탈로그에 애플리케이션을 추가합니다. 카탈로그에 추가된 애플리케이션을 보려면 관리 콘솔에서 카탈로그 탭을 클릭합니다.

[카탈로그] 페이지에서는 다음과 같은 작업을 수행할 수 있습니다.

n 카탈로그에 새 리소스를 추가합니다.

n 현재 사용자에게 사용 권한을 부여할 수 있는 리소스를 봅니다.

n 카탈로그에 있는 각 리소스에 대한 정보에 액세스합니다.

웹 애플리케이션은 [카탈로그] 페이지에서 바로 카탈로그에 추가할 수 있습니다.

다른 리소스 유형의 경우에는 관리 콘솔 외부에서 작업을 수행해야 합니다. 리소스 설정에 대한 자세한 정보는 VMware Identity Manager에서 리소스 설정을(를) 참조하십시오.

리소스 카탈로그에서 리소스를 보는 방법

웹 애플리케이션 관리 콘솔의 [카탈로그] 페이지에서 웹 애플리케이션 애플리케이션 유형을 선택합니다.

ThinApp 패키지로 캡처한 가상화된Windows 애플리케이션

관리 콘솔, [패키징된 애플리케이션 - ThinApp] 페이지에서 ThinApp 패키지를 카탈로그로 동기화합니다. 관리 콘솔의 [카탈로그] 페이지에서 ThinApp 패키지 애플리케이션유형을 선택합니다.

View 데스크톱 풀 관리 콘솔, [View 풀] 페이지에서 View 풀을 카탈로그로 동기화합니다. 관리 콘솔의 [카탈로그] 페이지에서 View 데스크톱 풀 애플리케이션 유형을 선택합니다.

View 호스팅된 애플리케이션

관리 콘솔, [View 풀] 페이지에서 View 호스팅된 애플리케이션을 카탈로그로 동기화합니다. 관리 콘솔의 [카탈로그] 페이지에서 View 호스팅된 애플리케이션을 애플리케이션 유형으로 선택합니다.

Citrix 기반 애플리케이션

관리 콘솔, [게시된 애플리케이션 - Citrix] 페이지에서 Citrix 기반 애플리케이션을 카탈로그로 동기화합니다. 관리 콘솔의 [카탈로그] 페이지에서 Citrix 게시된 애플리케이션 애플리케이션 유형을 선택합니다.


n “카탈로그에서 리소스 관리,”(95 페이지)

n “리소스를 범주로 그룹화,”(99 페이지)

n “카탈로그 설정 관리,”(100 페이지)

카탈로그에서 리소스 관리사용자에게 특정 리소스에 대한 사용 권한을 부여하려면 먼저 카탈로그에 해당 리소스를 채워야 합니다.카탈로그에 리소스를 채우는 데 사용하는 방법은 리소스 유형에 따라 달라집니다.

VMware, Inc. 95

사용자에게 사용 권한을 부여하고 배포하기 위해 카탈로그에 정의할 수 있는 리소스의 유형은 웹 애플리케이션, VMware ThinApp 패키지로 캡처된 Windows 애플리케이션, Horizon View 데스크톱 풀및 View 호스팅된 애플리케이션 또는 Citrix 기반 애플리케이션입니다.

View 데스크톱 및 애플리케이션 풀, Citrix 게시된 리소스 또는 ThinApp 패키징된 애플리케이션을 통합하고 사용하도록 설정하려면 [카탈로그] 탭에서 [데스크톱 애플리케이션 관리] 메뉴를 사용합니다.

이러한 리소스에 대한 정보, 요구 사항, 설치 및 구성은 VMware Identity Manager에서 리소스 설정의 내용을 참조하십시오.

웹 애플리케이션

관리 콘솔의 [카탈로그] 페이지에서 바로 카탈로그에 웹 애플리케이션을 채웁니다. [카탈로그] 페이지에표시된 웹 애플리케이션을 클릭하면 해당 애플리케이션에 대한 정보가 표시됩니다. 표시된 페이지에서는적절한 SAML 특성을 제공하여 VMware Identity Manager와 대상 웹 애플리케이션 사이의 SingleSign-On을 구성하는 등의 방법으로 웹 애플리케이션을 구성할 수 있습니다. 웹 애플리케이션이 구성되어 있으면 사용자 및 그룹에 해당 웹 애플리케이션에 대한 사용 권한을 부여할 수 있습니다. “카탈로그에웹 애플리케이션 추가,”(96 페이지)의 내용을 참조하십시오.

카탈로그에 웹 애플리케이션 추가

관리 콘솔에서 [카탈로그] 페이지를 사용하여 카탈로그에 직접 웹 애플리케이션을 추가할 수 있습니다.

VMware Identity Manager의 리소스 설정에서 카탈로그에 웹 애플리케이션을 추가하는 방법에 대한지침을 제공하는 웹 애플리케이션에 대한 액세스 제공 장을 참조하십시오.

다음 지침에서는 카탈로그에 이러한 유형의 리소스를 추가하는 작업과 관련된 단계를 대략적으로 설명합니다.

프로시저

1 관리 콘솔에서 카탈로그 탭을 클릭합니다.

2 + 애플리케이션 추가를 클릭합니다.


96 VMware, Inc.

3 리소스 유형에 따라 옵션을 클릭하고 애플리케이션의 위치를 지정합니다.

링크 이름리소스 유형 설명

웹 애플리케이션 ...클라우드 애플리케이션카탈로그에서


VMware Identity Manager에서는 카탈로그에 리소스로 추가할 수 있으며 클라우드 애플리케이션 카탈로그에서 사용할 수 있는 기본 웹 애플리케이션에 액세스할 수 있습니다.

웹 애플리케이션 ...새 항목 만들기


해당 양식을 채워 카탈로그에 리소스로 추가하려는 웹 애플리케이션에 대한애플리케이션 레코드를 만들 수 있습니다.

웹 애플리케이션 ...ZIP 또는 JAR 파일가져오기


이전에 구성한 웹 애플리케이션을 가져올 수 있습니다. 이 방법을 사용하여스테이징부터 프로덕션까지 배포를 롤아웃할 수 있습니다. 이러한 경우 스테이징 배포의 웹 애플리케이션을 ZIP 파일로 내보냅니다. 그런 후 프로덕션 배포에 ZIP 파일을 가져옵니다.

4 화면 지시에 따라 카탈로그에 리소스를 추가하는 과정을 완료하십시오.

카탈로그에 웹 애플리케이션 추가

카탈로그에 웹 애플리케이션을 추가하면 웹 애플리케이션을 간접적으로 가리키는 항목이 만들어집니다.이러한 항목은 웹 애플리케이션에 대한 URL을 포함하는 양식인 애플리케이션 레코드로 정의됩니다.

프로시저


2 애플리케이션 추가 > 웹 애플리케이션 ...클라우드 애플리케이션 카탈로그에서를 클릭합니다.

3 추가할 웹 애플리케이션의 아이콘을 클릭합니다.

애플리케이션 레코드가 카탈로그에 추가되고 [세부 정보] 페이지에 이미 지정된 이름 및 인증 프로파일이 표시됩니다.

4 (선택 사항) 조직의 필요에 맞게 [세부 정보] 페이지의 정보를 사용자 지정합니다.

페이지의 항목이 웹 애플리케이션에 관련된 정보로 채워집니다.

애플리케이션에 따라 일부 항목을 편집할 수 있습니다.


이름 애플리케이션의 이름입니다.

설명 사용자가 읽을 수 있는 애플리케이션에 대한 설명입니다.

아이콘 찾아보기를 클릭하여 애플리케이션의 아이콘을 업로드합니다. 최대 4MB까지 PNG, JPG 및 ICON파일 형식의 아이콘이 지원됩니다.

업로드된 아이콘은 80px X 80px 크기로 조정됩니다.

왜곡 현상을 방지하려면 높이 및 너비가 서로 똑같고 가능한 한 80px X 80px 크기에 가까운 아이콘을 업로드합니다.

범주 애플리케이션이 카탈로그 리소스의 범주 검색에 나타나게 하려면 드롭다운 메뉴에서 카탈로그를 선택합니다. 이전에 해당 범주를 만들었어야 합니다.


6 구성을 클릭하고 애플리케이션 레코드의 구성 세부 정보를 편집한 후 저장을 클릭합니다.

양식의 일부 항목이 웹 애플리케이션에 관련된 정보로 미리 채워집니다. 미리 채워진 일부 항목은 편집 가능하지만 다른 항목은 그렇지 않습니다. 요청되는 정보는 애플리케이션마다 다릅니다.

일부 애플리케이션의 경우 양식에 [애플리케이션 매개 변수] 섹션이 있습니다. 애플리케이션에 대해해당 섹션이 존재하고 이 섹션의 매개 변수에 기본값이 없으면 애플리케이션이 시작되도록 하기 위해값을 제공합니다. 기본값이 제공되면 해당 값을 편집할 수 있습니다.

10장 카탈로그 관리

VMware, Inc. 97

7 사용 권한, 라이센싱 및 프로비저닝 탭을 선택하고 해당 정보를 적절히 사용자 지정합니다.

탭 설명

사용 권한

사용자 및 그룹에 애플리케이션에 대한 사용 권한을 부여합니다. 처음에 애플리케이션을 구성할 때 또는 나중에 언제든지 사용 권한을 구성할 수 있습니다.

액세스정책

애플리케이션에 대한 사용자 액세스를 제어하기 위해 액세스 정책을 적용합니다.

라이센싱

승인 추적을 구성합니다. 보고서에서 라이센스 사용을 추적할 수 있도록 애플리케이션에 대한 라이센스정보를 추가합니다. [카탈로그] > [설정] 페이지에서 승인을 사용하도록 설정하고 구성해야 합니다. 승인 요청 처리기의 콜백 URI도 등록해야 합니다.

프로비저닝

웹 애플리케이션을 프로비저닝하여 VMware Identity Manager 서비스에서 특정 정보를 가져옵니다. 웹 애플리케이션에 대해 프로비저닝을 구성한 경우 사용자에게 애플리케이션에 대한 사용 권한을부여하면 사용자가 웹 애플리케이션에서 프로비저닝됩니다. 현재 Google Apps 및 Office 365에대해 프로비저닝 어댑터를 사용할 수 있습니다. 이러한 애플리케이션에 대한 구성 가이드를 보려면VMware Identity Manager 통합(https://www.vmware.com/support/pubs/vidm_webapp_sso.html)으로 이동하십시오.

View 데스크톱 및 호스팅된 애플리케이션 추가

카탈로그에 View 데스크톱 풀과 View 호스팅된 애플리케이션을 채우고 VMware Identity Manager배포를 Horizon View와 통합합니다.

[카탈로그] > [데스크톱 애플리케이션 관리] 메뉴에서 [View 애플리케이션]을 클릭하면 [View 풀] 페이지로 리디렉션됩니다. View 풀 사용을 선택하여 View 포드를 추가하고, View에 대해 디렉토리 동기화를 수행하고, 서비스에서 View 리소스의 사용자에 대한 사용 권한을 확장하는 데 사용할 서비스의 배포 유형을 구성합니다.

이러한 작업을 수행하고 나면 Horizon View에서 사용자에게 사용 권한을 부여한 View 데스크톱 및 호스팅된 애플리케이션을 카탈로그에서 리소스로 사용할 수 있습니다.

언제든지 페이지로 돌아가서 View 구성을 수정하거나 View 포드를 추가 또는 제거할 수 있습니다.

View와 VMware Identity Manager의 통합에 대한 자세한 정보는 "리소스 설정" 가이드에서 "View데스크톱에 대한 액세스 제공"을 참조하십시오.

Citrix 게시된 애플리케이션 추가

VMware Identity Manager를 사용하여 기존 Citrix 배포에 통합한 후 카탈로그에 Citrix 기반 애플리케이션을 채울 수 있습니다.

[카탈로그] > [데스크톱 애플리케이션 관리] 메뉴에서 [Citrix 게시된 애플리케이션]을 클릭하면 [게시된애플리케이션 - Citrix] 페이지로 리디렉션됩니다. VMware Identity Manager와 Citrix 서버 팜 사이의 동기화 빈도를 스케줄링하고 통신을 설정하려면 [Citrix 기반 애플리케이션 사용]을 선택합니다.

Citrix 게시된 애플리케이션과 VMware Identity Manager의 통합에 대한 자세한 정보는 "리소스 설정" 가이드에서 "Citrix 게시된 리소스에 대한 액세스 제공"을 참조하십시오.

ThinApp 애플리케이션 추가

VMware Identity Manager를 사용하면 중앙에서 ThinApp 패키지를 배포하고 관리할 수 있습니다.ThinApp 패키지를 저장하고 패키지를 VMware Identity Manager와 동기화하는 저장소를 찾으려면VMware Identity Manager를 사용하도록 설정해야 합니다.

다음과 같은 작업을 수행하여 카탈로그에 ThinApp 패키지로 캡처된 Windows 애플리케이션을 채웁니다.

1 사용자 액세스를 제공할 ThinApp 패키지가 아직 없는 경우에는 VMware Identity Manager와호환되는 ThinApp 패키지를 생성합니다. VMware ThinApp 설명서를 참조하십시오.

2 네트워크 공유를 생성하고 호환되는 ThinApp 패키지를 채웁니다.


98 VMware, Inc.

https://www.vmware.com/support/pubs/vidm_webapp_sso.html

3 VMware Identity Manager가 네트워크 공유의 패키지와 통합되도록 구성합니다.

[카탈로그] > [데스크톱 애플리케이션 관리] 메뉴에서 [ThinApp 애플리케이션]을 클릭하면 [패키징된애플리케이션 - ThinApp] 페이지로 리디렉션됩니다. [패키징된 애플리케이션 사용]을 선택합니다.ThinApp 저장소 위치를 입력하고 동기화 빈도를 구성합니다.

이러한 작업을 수행하고 나면 네트워크 공유에 추가한 ThinApp 패키지를 이제 카탈로그에서 리소스로사용할 수 있습니다.

VMware Identity Manager를 구성하여 ThinApp 패키지를 배포 및 관리하는 방법에 대한 자세한 정보는 "리소스 설정" 가이드에서 "VMware ThinApp 패키지에 대한 액세스 제공"을 참조하십시오.

리소스를 범주로 그룹화리소스를 논리적인 범주로 그룹화하면 사용자가 Workspace ONE 포털 작업공간에 필요한 리소스를 더쉽게 찾을 수 있습니다.

범주를 생성할 때는 조직의 구조, 리소스의 작업 기능 및 리소스의 유형을 고려해야 합니다. 리소스에 범주를 두 개 이상 할당할 수 있습니다. 예를 들어 텍스트 편집기라는 범주와 권장 리소스라는 범주를 생성할 수 있습니다. 카탈로그에 있는 모든 텍스트 편집기 리소스에 텍스트 편집기를 할당합니다. 또한 사용자에게 추천할 특정 텍스트 편집기 리소스에 권장 리소스를 할당합니다.

리소스 범주 만들기

리소스 범주를 만들기만 하고 즉시 적용하지 않거나 범주를 만들고 동시에 리소스에 적용할 수 있습니다.

프로시저


2 범주를 만들고 동시에 적용하려면 새 범주를 적용할 애플리케이션의 확인란을 선택합니다.

3 범주를 클릭합니다.

4 텍스트 상자에 새 범주 이름을 입력합니다.

5 범주 추가...를 클릭합니다.

새 범주가 만들어지지만 리소스에 적용되지는 않습니다.

6 선택한 리소스에 범주를 적용하려면 새 범주 이름에 대한 확인란을 선택합니다.

범주가 애플리케이션에 추가되고 [범주] 열에 나열됩니다.

후속 작업

범주를 다른 애플리케이션에 적용합니다. “리소스에 범주 적용,”(99 페이지)의 내용을 참조하십시오.

리소스에 범주 적용

범주를 만든 후에 해당 범주를 카탈로그의 리소스에 적용할 수 있습니다. 같은 리소스에 여러 범주를 적용할 수 있습니다.

필수 조건

범주를 만듭니다.

프로시저


2 범주를 적용할 모든 애플리케이션의 확인란을 선택합니다.


VMware, Inc. 99

3 범주를 클릭하고 적용할 범주의 이름을 선택합니다.

범주가 선택한 애플리케이션에 적용됩니다.

애플리케이션에서 범주 제거

애플리케이션에서 범주를 분리할 수 있습니다.

프로시저


2 범주를 제거할 애플리케이션의 확인란을 선택합니다.


애플리케이션에 적용되는 범주가 선택되어 있습니다.

4 애플리케이션에서 제거할 범주를 선택 취소하고 메뉴 상자를 닫습니다.

애플리케이션의 범주 목록에서 범주가 제거됩니다.

범주 삭제

카탈로그에서 범주를 영구적으로 제거할 수 있습니다.

프로시저



3 삭제할 범주 위로 마우스 커서를 가져갑니다. x가 나타납니다. x를 클릭합니다.

4 범주를 제거하려면 확인을 클릭합니다.

해당 범주가 더 이상 [범주] 드롭다운 메뉴나 이전에 적용된 애플리케이션의 레이블로 표시되지 않습니다.

카탈로그 설정 관리[카탈로그 설정] 페이지를 사용하면 카탈로그에서 리소스를 관리하고, SAML 인증서를 다운로드하고,사용자 포털을 사용자 지정하고, 글로벌 설정을 설정할 수 있습니다.

신뢰하는 애플리케이션을 사용하여 구성할 SAML 인증서 다운로드

웹 애플리케이션을 구성할 때 서비스에서 사용자 로그인을 수락할 수 있도록 조직의 SAML 서명 인증서를 복사하여 신뢰하는 애플리케이션으로 보내야 합니다. SAML 인증서는 서비스에서 WebEx 또는Google Apps와 같은 신뢰하는 애플리케이션으로 사용자 로그인을 인증하는 데 사용됩니다.

SAML 서명 인증서와 SAML 서비스 제공자 메타데이터를 서비스에서 복사하고 타사 ID 제공자의SAML 어설션을 편집하여 VMware Identity Manager 사용자를 매핑할 수 있습니다.

프로시저

1 관리 콘솔에 로그인합니다.

2 [카탈로그] 탭에서 설정 > SAML 메타데이터를 선택합니다.

3 표시되는 SAML 서명 인증서를 복사하여 저장합니다.

a [서명 인증서] 섹션에 있는 인증서 정보를 복사합니다.

b 인증서 정보는 나중에 타사 ID 제공자 인스턴스를 구성할 때 사용할 수 있도록 텍스트 파일로 저장합니다.


100 VMware, Inc.

4 SAML SP 메타데이터를 타사 ID 제공자 인스턴스에서 사용할 수 있도록 합니다.

a [SAML 인증서 다운로드] 페이지에서 SP(서비스 제공자) 메타데이터를 클릭합니다.

b 조직에 가장 적합한 방법을 사용하여 표시된 정보를 복사하고 저장합니다.

이 복사한 정보는 나중에 타사 ID 제공자를 구성할 때 사용합니다.

5 타사 ID 제공자 인스턴스에서 VMware Identity Manager로의 사용자 매핑을 확인합니다.

타사 ID 제공자를 구성할 때 타사 ID 제공자의 SAML 어설션을 편집하여VMware Identity Manager 사용자를 매핑합니다.

NameID 형식 사용자 매핑

urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress

SAML 어설션의 NameID 값이 VMware Identity Manager의 이메일 주소 특성에 매핑됩니다.

urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified

SAML 어설션의 NameID 값이 VMware Identity Manager의 사용자 이름 특성에 매핑됩니다.

후속 작업

이 작업을 위해 복사한 정보를 적용하여 타사 ID 제공자 인스턴스를 구성합니다.

도우미 애플리케이션 다운로드를 위한 프롬프트 사용 안 함

View 데스크톱, Citrix 게시된 애플리케이션 및 ThinApp 리소스의 경우에는 사용자의 컴퓨터 또는 디바이스에 다음과 같은 도우미 애플리케이션을 설치해야 합니다.

n View 데스크톱은 Horizon Client를 사용합니다.

n Citrix 게시된 애플리케이션에는 Citrix Receiver가 필요합니다.

n ThinApp 리소스에는 데스크톱용 VMware Identity Manager가 필요합니다.

사용자는 이러한 리소스 유형에서 애플리케이션을 처음 실행할 때 데스크톱 또는 디바이스로 도우미 애플리케이션을 다운로드하라는 요청을 받습니다. [카탈로그] > [설정] > [글로벌 설정] 페이지에서 리소스를시작할 때마다 이 프롬프트를 표시하는 기능을 완전히 사용하지 않도록 설정할 수 있습니다.

컴퓨터 또는 디바이스가 관리되며 사용자가 도우미 애플리케이션이 사용자의 로컬 이미지에 있는 것을 아는 경우에는 프롬프트가 표시되지 않도록 설정하는 것이 좋습니다.

프로시저

1 관리자 콘솔에서 [카탈로그] > [설정]을 선택합니다.

2 글로벌 설정을 선택합니다.

3 도우미 애플리케이션의 실행을 요청하지 않는 운영 체제를 선택합니다.


원격 애플리케이션에 액세스할 수 있는 클라이언트 만들기

특정 애플리케이션에 대한 사용자 액세스를 허용하기 위해 관리 콘솔 [카탈로그] > [설정] 페이지에서 단일 애플리케이션을 VMware Identity Manager에 등록할 수 있는 클라이언트를 만들 수 있습니다.

SDK에서는 OAuth 기반 인증을 사용하여 VMware Identity Manager에 연결합니다. 관리 콘솔에서클라이언트 ID 값과 clientSecret 값을 생성해야 합니다.


VMware, Inc. 101

단일 카탈로그 리소스에 대한 원격 액세스 만들기

특정 애플리케이션에 대한 사용자 액세스를 허용하기 위해 단일 애플리케이션을VMware Identity Manager 서비스에 등록할 수 있는 클라이언트를 만들 수 있습니다.

프로시저

1 관리 콘솔의 [카탈로그] 탭에서 설정 > 원격 애플리케이션 액세스를 선택합니다.

2 [클라이언트] 페이지에서 클라이언트 생성을 클릭합니다.

3 [클라이언트 생성] 페이지에서 애플리케이션에 대한 다음 정보를 입력합니다.

레이블 설명

액세스 유형 옵션은 [사용자 액세스 토큰] 또는 [서비스 클라이언트 토큰]입니다.

클라이언트 ID VMware Identity Manager에 등록할 소스의 고유한 클라이언트 ID를 입력합니다.

애플리케이션 Identity Manager를 선택합니다.

범위 해당 범위를 선택합니다. NAAPS를 선택하면 OpenID도 선택됩니다.

리디렉션 URI 등록된 리디렉션 URI를 입력합니다.

고급 섹션

공유 암호 공유 암호 생성을 클릭하여 이 서비스와 애플리케이션 리소스 서비스 간에 공유되는 암호를 생성합니다.

애플리케이션 설정에서 구성할 클라이언트 암호를 복사하여 저장합니다.

클라이언트 암호는 비밀을 유지해야 합니다. 배포된 애플리케이션에서 암호의 비밀을 유지할 수 없는 경우 해당 암호는 사용되지 않습니다. 공유 암호는 웹 브라우저 기반 애플리케이션에서 사용되지 않습니다.

새로 고침 토큰 발행 이 확인란의 선택을 취소합니다.

토큰 유형 Bearer 선택

토큰 길이 기본 설정인 32바이트를 유지합니다.

새로 고침 토큰 발행 새로 고침 토큰을 선택합니다.

액세스 토큰 TTL (선택 사항) 액세스 토큰 TTL(Time-To-Live) 설정을 변경합니다.

새로 고침 토큰 TTL (선택 사항)

사용자 권한 부여 [액세스를 위해 사용자 표시]를 선택하면 안 됩니다.


생성된 공유 암호와 함께 클라이언트 구성이 [OAuth2 클라이언트] 페이지에 표시됩니다.

후속 작업

리소스 구성 페이지에서 클라이언트 ID와 공유 암호를 입력합니다. 애플리케이션 설명서를 참조하십시오.

원격 액세스 템플릿 만들기

클라이언트 그룹이 VMware Identity Manager 서비스에 동적으로 등록되어 특정 애플리케이션에 대한 사용자 액세스를 허용할 수 있도록 템플릿을 만들 수 있습니다.

프로시저

1 관리 콘솔의 [카탈로그] 탭에서 설정 > 원격 애플리케이션 액세스를 선택합니다.

2 템플릿을 클릭합니다.

3 템플릿 생성을 클릭합니다.


102 VMware, Inc.

4 [템플릿 생성] 페이지에서 애플리케이션에 대한 다음 정보를 입력합니다.

레이블 설명

템플릿 ID 이 리소스의 고유한 식별자를 입력합니다.

애플리케이션 Identity Manager 선택

범위 해당 범위를 선택합니다. NAAPS를 선택하면 OpenID도 선택됩니다.

리디렉션 URI 등록된 리디렉션 URI를 입력합니다.

고급 섹션

토큰 유형 Bearer 선택

토큰 길이 기본 설정인 32바이트를 유지합니다.

새로 고침 토큰 발행 새로 고침 토큰을 선택합니다.

액세스 토큰 TTL (선택 사항)

새로 고침 토큰 TTL (선택 사항)

사용자 권한 부여 [액세스를 위해 사용자 표시]를 선택하면 안 됩니다.


후속 작업

리소스 애플리케이션에서 VMware Identity Manager 서비스 URL을 통합 인증을 지원하는 사이트로설정합니다.

Citrix 게시된 애플리케이션에서 ICA 속성 편집

VMware Identity Manager 배포의 개별 Citrix 게시된 애플리케이션 및 데스크톱에 대한 설정은 [카탈로그] > [설정] > [Citrix 게시된 애플리케이션] 페이지에서 편집할 수 있습니다.

[ICA 구성] 페이지는 개별 애플리케이션에 대해 구성되어 있습니다. 개별 애플리케이션에 대한 ICA 속성 텍스트 상자는 속성을 수동으로 추가할 때까지 비어 있습니다. 개별 Citrix 게시된 리소스의 애플리케이션 전송 설정인 ICA 속성을 편집하면 해당 설정이 글로벌 설정보다 우선적으로 적용됩니다.

[NetScaler 구성] 페이지에서는 사용자가 Citrix 기반 애플리케이션을 실행할 때 트래픽이 NetScaler를 통해 XenApp 서버로 라우팅되도록 적합한 설정을 사용하여 서비스를 구성할 수 있습니다.

[Citrix 게시된 애플리케이션] > [Netscaler ICA 구성] 탭에서 ICA 속성을 편집하면 설정이NetScaler를 통해 라우팅되는 애플리케이션 실행 트래픽에 적용됩니다.

ICA 속성 구성에 대한 자세한 정보는 설명서 센터에서 "NetScaler 구성" 항목과 "단일 Citrix 게시된 리소스에 대한 VMware Identity Manager 애플리케이션 전송 설정 편집" 항목을 참조하십시오.

ThinApp 경고 검토

[카탈로그], [설정] 메뉴의 ThinApp 애플리케이션 경고는 사용자를 [패키징된 애플리케이션 경고] 페이지로 리디렉션합니다.

ThinApp 패키지를 VMware Identity Manager와 동기화할 때 발견된 모든 오류가 페이지에 나열됩니다.


VMware, Inc. 103

리소스 사용에 대한 애플리케이션 승인 사용

애플리케이션을 사용하려면 먼저 조직의 승인을 받도록 애플리케이션에 대한 액세스를 관리할 수 있습니다. [카탈로그 설정] 페이지에서 [승인]을 사용하도록 설정하고 승인 요청을 수신하도록 URL을 구성합니다.

승인을 요구하는 애플리케이션을 카탈로그에 추가할 때는 라이센싱 옵션을 사용하도록 설정합니다. 라이센싱 옵션이 구성되면 Workspace ONE 카탈로그에서 애플리케이션을 보고 애플리케이션 사용을 요청합니다.

VMware Identity Manager는 조직의 구성된 승인 URL로 승인 요청 메시지를 전송합니다. 서버 워크플로 프로세스는 요청을 검토하고 승인 또는 거부된 메시지를 다시 전송합니다. 구성 단계에 대해서는VMware Identity Manager 가이드에서 애플리케이션 승인 관리를 참조하십시오.

VMware Identity Manager 리소스 사용량 및 리소스 사용 권한 보고서에서 사용 중인 승인된 애플리케이션 수를 확인할 수 있습니다.

승인 워크플로 설정 및 승인 엔진 구성

두 가지 유형의 승인 워크플로 옵션 중에서 선택할 수 있습니다. 콜아웃 REST URI를 등록하여 애플리케이션 관리 시스템을 VMware Identity Manager에 통합하거나 VMware Identity Manager 커넥터를 통해 통합할 수 있습니다.

필수 조건

REST API를 구성할 때 애플리케이션 관리 시스템이 구성되어야 하며, VMware Identity Manager에서 요청을 수신하는 콜아웃 REST API를 통해 URI를 사용할 수 있어야 합니다.

승인 워크플로 시스템이 온-프레미스 데이터 센터에 있는 경우 커넥터를 통해 REST API를 구성합니다.커넥터는 VMware Identity Manager 클라우드 서비스에서 온-프레미스 승인 애플리케이션으로 승인요청 메시지를 라우팅하고 응답 메시지를 다시 전달할 수 있습니다.

프로시저

1 관리 콘솔의 [카탈로그] 탭에서 설정 > 승인을 선택합니다.

2 승인 사용을 선택합니다.

3 [승인 엔진] 드롭다운 메뉴에서 사용할 REST API 승인 엔진(웹 서버를 통한 REST API 또는 커넥터를 통한 REST API)을 선택합니다.

4 다음 텍스트 상자를 구성합니다.

옵션 설명

URI 콜아웃 요청을 수신하는 REST API의 승인 요청 처리기 URI를 입력합니다.

사용자 이름 (선택 사항) REST API에서 액세스하기 위해 사용자 이름과 암호를 요구하는 경우 여기에 이름을 입력합니다. 인증이 필요 없는 경우에는 사용자 이름과 암호를 비워 둘 수 있습니다.


104 VMware, Inc.

옵션 설명

암호 (선택 사항) 사용자의 암호를 입력합니다.

PEM-형식 SSL 인증서 (선택 사항) REST API를 선택했으며 REST API가 SSL을 사용하고공용 SSL 인증서가 없는 서버에 있는 경우 PEM 형식의 REST APISSL 인증서를 여기에 붙여 넣습니다.

후속 작업

승인을 받아야 사용자가 사용할 수 있는 애플리케이션이 있는 경우 [카탈로그] 페이지로 이동하여 해당애플리케이션에 대해 [라이센싱] 기능을 구성합니다.


VMware, Inc. 105


106 VMware, Inc.

관리 콘솔 대시보드에서 작업 11관리 콘솔에서는 2개의 대시보드를 사용할 수 있습니다. [사용자 활동] 대시보드를 사용하여 사용자 및리소스 사용을 모니터링할 수 있습니다. [시스템 진단] 대시보드를 사용하여VMware Identity Manager 서비스의 상태를 모니터링할 수 있습니다.


n “대시보드에서 사용자 및 리소스 사용량 모니터링,”(107 페이지)

n “시스템 정보 및 상태 모니터링,”(108 페이지)

n “보고서 보기,”(108 페이지)

대시보드에서 사용자 및 리소스 사용량 모니터링사용자 활동 대시보드에는 사용자와 리소스에 대한 정보가 표시됩니다. 로그인한 사람, 사용 중인 애플리케이션, 애플리케이션 액세스 빈도를 확인할 수 있습니다. 사용자 및 그룹 활동과 리소스 사용량을 추적하는 보고서를 생성할 수 있습니다.

사용자 활동 대시보드에 표시되는 시간은 브라우저에 설정된 시간대를 기반으로 합니다. 대시보드는 1분마다 업데이트됩니다.

프로시저

n 헤더에는 해당 날짜에 로그인한 고유 사용자 수와 7일 동안의 일일 로그인 이벤트 수를 표시하는 타임라인이 표시됩니다. [오늘 로그인한 사용자] 숫자 주위에는 로그인한 사용자의 비율을 의미하는 원이 표시됩니다. [로그인] 슬라이딩 그래프는 해당 주의 로그인 이벤트를 표시합니다. 그래프에 있는점 중 하나를 가리키면 해당 날짜의 로그인 수를 볼 수 있습니다.

n [사용자 및 그룹] 섹션에는 VMware Identity Manager에 설정된 사용자 계정 및 그룹의 수가 표시됩니다. 최근에 로그인한 사용자가 가장 먼저 표시됩니다. 전체 보고서 보기를 클릭하면 일정 기간동안에 로그인한 사용자를 표시하는 감사 이벤트 보고서를 생성할 수 있습니다.

n [애플리케이션 인기도] 섹션에는 7일 동안 애플리케이션을 실행한 횟수를 애플리케이션 유형별로 구분한 막대 그래프가 표시됩니다. 특정한 날을 가리키면 사용 중인 애플리케이션의 유형과 해당 날짜에 실행된 수를 알려주는 도구 설명이 표시됩니다. 그래프 아래의 목록에는 특정 애플리케이션을 실행한 횟수가 표시됩니다. 오른쪽에 있는 화살표를 확장하면 하루, 한 주, 한 달 또는 12주 동안에 대한 이 정보를 볼 수 있습니다. 전체 보고서 보기를 클릭하면 애플리케이션, 리소스 유형 및 일정 시간동안의 사용자 활동을 나타내는 리소스 사용량 보고서를 생성할 수 있습니다.

n [애플리케이션 채택] 섹션에는 사용 권한이 있는 애플리케이션을 연 사람의 비율이 표시됩니다. 실제채택 및 사용 권한 수를 표시하는 도구 설명을 보려면 애플리케이션을 가리키십시오.

n 실행된 애플리케이션 원형 차트에는 실행된 리소스의 비율이 전체에 대한 백분율로 표시됩니다. 원형차트의 특정 섹션을 가리키면 리소스 유형별로 실제 값을 볼 수 있습니다. 오른쪽에 있는 화살표를 확장하면 하루, 한 주, 한 달 또는 12주 동안에 대한 이 정보를 볼 수 있습니다.

VMware, Inc. 107

n [클라이언트] 섹션에는 사용 중인 Identity Manager 데스크톱의 수가 표시됩니다.

시스템 정보 및 상태 모니터링VMware Identity Manager 시스템 진단 대시보드에는 사용자 환경에 있는VMware Identity Manager 장치의 상태에 대한 자세한 개요와 서비스에 대한 정보가 표시됩니다.VMware Identity Manager 데이터베이스 서버, 가상 시스템, 각 가상 시스템에서 사용할 수 있는 서비스 전체의 상태를 볼 수 있습니다.

시스템 진단 대시보드에서는 모니터링할 가상 시스템을 선택하고 설치된 VMware Identity Manager버전을 포함하여 가상 시스템 상의 서비스 상태를 확인할 수 있습니다. 데이터베이스 또는 가상 시스템에문제가 있는 경우에는 헤더 막대에 시스템 상태가 빨간색으로 표시됩니다. 문제를 확인하려면 빨간색으로표시된 가상 시스템을 선택합니다.

프로시저

n 사용자 암호 만료. VMware Identity Manager 장치 루트 및 원격 로그인 암호의 만료 날짜가 표시됩니다. 암호가 만료되면 [설정] 페이지로 이동하여 VA 구성을 선택합니다. 암호를 변경하려면 시스템 보안 페이지를 엽니다.

n 인증서. 인증서 발급자, 시작 날짜 및 종료 날짜가 표시됩니다. 인증서를 관리하려면 [설정] 페이지로이동하여 VA 구성을 선택합니다. 인증서 설치 페이지를 엽니다.

n 구성기 - 애플리케이션 배포 상태. 장치 구성기 서비스 정보가 표시됩니다. [웹 서버 상태]에는Tomcat 서버의 실행 여부가 표시됩니다. [웹 애플리케이션 상태]에는 [장치 구성기] 페이지에 액세스할 수 있는지 여부가 표시됩니다. 장치 버전에는 설치된 VMware Identity Manager 장치의 버전이 표시됩니다.

n Application Manager - 애플리케이션 배포 상태. VMware Identity Manager 장치 연결 상태가 표시됩니다.

n 커넥터 - 애플리케이션 배포 상태. 관리 콘솔 연결 상태가 표시됩니다. 연결 성공이 표시되면 관리 콘솔 페이지에 액세스할 수 있습니다.

n VMware Identity Manager FQDN. 사용자가 VMware Identity Manager 애플리케이션 포털에 액세스할 때 입력하는 FQDN(정규화된 도메인 이름)을 표시합니다. 로드 밸런서를 사용하는경우 VMware Identity Manager FQDN은 로드 밸런서를 가리킵니다.

n Application Manager - 통합 구성 요소. VMware Identity Manager 데이터베이스 연결, 감사 서비스 및 분석 연결 정보가 표시됩니다.

n 커넥터 - 통합 구성 요소. [커넥터 서비스 관리자] 페이지에서 관리되는 서비스에 관한 정보가 표시됩니다. ThinApp, View 및 Citrix 게시된 애플리케이션 리소스에 대한 정보가 표시됩니다.

n 모듈. VMware Identity Manager에서 사용하도록 설정된 리소스를 표시합니다. 해당 리소스의[커넥터 서비스 관리자] 페이지로 이동하려면 사용을 클릭합니다.

보고서 보기사용자 및 그룹 활동과 리소스 사용량을 추적하는 보고서를 생성할 수 있습니다. 이 보고서는 관리 콘솔의[대시보드] > [보고서] 페이지에서 볼 수 있습니다.

보고서를 쉼표로 구분된 값(csv) 파일 형식으로 내보낼 수 있습니다.


108 VMware, Inc.

표 11‑1. 보고서 유형

보고서 설명

최근 활동 최근 활동은 사용자가 전일, 지난 주, 지난 달, 지난 12주 사이에 WorkspaceONE 포털을 사용하는 동안 수행한 작업에 관한 보고서입니다. 활동에는 고유 사용자 로그인 수나 일반 로그인 수와 같은 사용자 정보와 실행한 리소스 수나 추가한 리소스 사용 권한과 같은 리소스 정보가 포함될 수 있습니다. 이벤트 표시를 클릭하면활동의 날짜, 시간 및 사용자 세부 정보를 볼 수 있습니다.

리소스 사용량 리소스 사용량은 사용자 수, 실행 수, 라이센스와 같은 각 리소스의 세부 정보를 카탈로그에 표시한 모든 리소스의 보고서입니다. 전일, 지난 주, 지난 달, 지난 12주의활동을 선택하여 볼 수 있습니다.

리소스 사용 권한 리소스 사용 권한은 리소스의 사용 권한이 부여된 사용자 수, 실행 수, 사용한 라이센스 수를 표시하는 리소스별 보고서입니다.

리소스 활동 리소스 활동 보고서는 모든 사용자에 대해 생성할 수도 있고 특정 사용자 그룹에 대해 생성할 수도 있습니다. 리소스 활동 정보에는 사용자 이름, 사용자에게 사용 권한이 부여된 리소스, 리소스에 마지막으로 액세스한 날짜, 사용자가 리소스에 액세스하는 데 사용한 디바이스의 유형과 같은 정보를 나열합니다.

그룹 멤버 자격 그룹 멤버 자격은 지정한 그룹의 멤버를 나열하는 목록입니다.

역할 할당 역할 할당에서는 API 전용 관리자 또는 관리자와 각각의 이메일 주소를 나열합니다.

사용자 사용자 보고서에서는 모든 사용자를 나열하고 사용자 이메일 주소, 역할 및 그룹 가입과 같이 각 사용자에 관련된 세부 정보를 제공합니다.

동시 사용자 동시 사용자 보고서에서는 한 번에 열린 사용자 세션 수와 날짜 및 시간을 표시합니다.

디바이스 사용량 디바이스 사용량 보고서에는 모든 사용자 또는 특정 사용자 그룹의 디바이스 사용량을 표시할 수 있습니다. 디바이스 정보는 사용자별로 나열되며 사용자의 이름, 디바이스 이름, 운영 체제 정보 및 마지막으로 사용한 날짜를 포함합니다.

감사 이벤트 감사 이벤트 보고서에는 지난 30일 동안의 사용자 로그인과 같이 지정한 사용자와관련된 이벤트가 나열됩니다. 감사 이벤트 세부 정보를 볼 수도 있습니다. 이 기능은문제 해결에 유용합니다. 감사 이벤트 보고서를 실행하려면 [카탈로그] > [설정] >[감사] 페이지에서 감사를 사용하도록 설정해야 합니다. “감사 이벤트 보고서 생성,”(109 페이지)의 내용을 참조하십시오.

감사 이벤트 보고서 생성

지정한 감사 이벤트의 보고서를 생성할 수 있습니다.

감사 이벤트 보고서는 문제 해결 방법으로 유용합니다.

필수 조건

감사를 사용하도록 설정해야 합니다. 사용하도록 설정되어 있는지 확인하려면 관리 콘솔에서 카탈로그 >설정 페이지로 이동하여 감사를 선택합니다.

프로시저

1 관리 콘솔에서 보고서 > 감사 이벤트를 선택합니다.

11장 관리 콘솔 대시보드에서 작업

VMware, Inc. 109

2 감사 이벤트 조건을 선택합니다.

감사이벤트조건 설명

사용자 이 텍스트 상자를 사용하면 감사 이벤트의 검색 범위를 특정 사용자가 생성한 것으로 좁힐 수 있습니다.

유형 이 드롭다운 목록을 사용하면 감사 이벤트의 검색 범위를 특정 감사 이벤트 유형으로 좁힐 수 있습니다.가능한 감사 이벤트 유형이 모두 드롭다운 목록에 표시되는 것은 아닙니다. 목록에는 배포에서 발생한이벤트 유형만 표시됩니다. LOGIN 및 LAUNCH와 같이 전부 대문자로 표시된 감사 이벤트 유형은 데이터베이스에 변경 사항을 생성하지 않는 액세스 이벤트입니다. 다른 감사 이벤트 유형은 데이터베이스에 변경 사항을 생성합니다.

작업 이 드롭다운 목록을 사용하면 검색 범위를 특정 작업으로 좁힐 수 있습니다. 이 목록에는 데이터베이스를 특정하게 변경하는 이벤트가 표시됩니다. [유형] 드롭다운 목록에서 액세스 이벤트를 선택한 경우는작업이 아닌 이벤트를 의미하므로 [작업] 드롭다운 목록에서 작업을 지정하지 마십시오.

개체 이 텍스트 상자를 사용하면 검색 범위를 특정 개체로 좁힐 수 있습니다. 개체의 예에는 그룹, 사용자 및디바이스가 있습니다. 개체는 이름 또는 ID 번호로 식별합니다.

날짜범위

이러한 텍스트 상자를 사용하면 검색 범위를 "___일 전에서 ___일 전까지" 형식의 날짜 범위로 좁힐 수있습니다. 최대 날짜 범위는 30일입니다. 예를 들어 90일 전에서 60일 전까지는 유효한 범위이지만,90일 전에서 45일 전까지는 최대 범위인 30일을 넘기 때문에 유효한 범위가 아닙니다.

3 표시를 클릭합니다.

지정한 조건에 따라 감사 이벤트 보고서가 표시됩니다.

참고 간혹 감사 하위 시스템을 다시 시작할 때 [감사 이벤트] 페이지에 오류 메시지가 표시되고 보고서가 렌더링되지 않을 수 있습니다. 보고서가 렌더링되지 않는 경우와 관련된 오류 메시지가 표시되면 몇 분 정도 기다린 후 다시 시도합니다.

4 감사 이벤트에 대한 자세한 정보를 보려면 감사 이벤트의 세부 정보 보기를 클릭합니다.


110 VMware, Inc.

사용자 지정 브랜딩 VMwareIdentity Manager 서비스 12

관리 콘솔, 사용자 및 관리자 로그인 화면, Workspace ONE 애플리케이션 포털의 웹 보기, 모바일 디바이스에 있는 Workspace ONE 애플리케이션의 웹 보기에 나타나는 로고, 글꼴 및 배경을 사용자 지정할 수 있습니다.

사용자 지정 도구를 사용하여 회사 색상, 로고 및 디자인의 모양과 느낌을 동일하게 구성할 수 있습니다.

n 브라우저 주소 탭 및 로그인 페이지는 [ID 및 액세스 관리] > [설정] > [사용자 지정 브랜딩] 페이지에서 사용자 지정합니다.

n [카탈로그] > [설정] > [사용자 포털 브랜딩] 페이지에서는 로고를 추가하고 사용자 웹 포털 모바일및 태블릿 보기를 사용자 지정합니다.


n “VMware Identity Manager에서 브랜딩 사용자 지정,”(111 페이지)

n “사용자 포털에 대한 브랜딩 사용자 지정,”(112 페이지)

n “VMware Verify 애플리케이션에 대한 브랜딩 사용자 지정,”(113 페이지)

VMware Identity Manager 에서 브랜딩 사용자 지정관리 콘솔 및 사용자 포털의 주소 표시줄에 회사 이름, 제품 이름 및 즐겨찾기를 추가할 수 있습니다. 로그인 페이지를 사용자 지정하여 회사 색상 및 로고 디자인과 일치하도록 배경색을 설정할 수도 있습니다.

회사 로고를 추가하려면 관리 콘솔에서 [카탈로그] > [설정] > [사용자 포털 브랜딩] 페이지로 이동합니다.

프로시저

1 관리 콘솔의 [ID 및 액세스 관리] 탭에서 설정 > 사용자 지정 브랜딩을 선택합니다.

2 양식의 다음 설정을 적절히 편집합니다.

참고 이 표에 표시되지 않는 설정은 사용되지 않는 것이므로 사용자 지정할 수 없습니다.

양식 필드 설명

이름 및 로고

회사 이름 [회사 이름] 옵션은 데스크톱 및 모바일 디바이스 둘 다에 적용됩니다. 회사 이름을 [브라우저] 탭에 나타나는 제목으로 추가할 수 있습니다.

기존 회사 이름 위에 새 회사 이름을 입력하여 이름을 변경합니다.

제품 이름 [제품 이름] 옵션은 데스크톱 및 모바일 디바이스 둘 다에 적용됩니다. 제품 이름은 [브라우저] 탭에서 회사 이름 다음에 표시됩니다.

기존 제품 이름 위에 새 제품 이름을 입력하여 이름을 변경합니다.

VMware, Inc. 111

양식 필드 설명

Favicon 즐겨찾기 아이콘은 브라우저 주소 표시줄에 표시되는 URL과 연결된 아이콘입니다.

Favicon 이미지의 최대 크기는 16 x 16픽셀입니다. 형식은 JPEG, PNG, GIF 또는ICO가 가능합니다.

업로드를 클릭하여 현재 Favicon을 대체하는 새 이미지를 업로드합니다. 변경 사항을적용할지 묻는 메시지가 표시됩니다. 변경 사항이 즉시 반영됩니다.

로그인 화면

로고 업로드를 클릭하여 로그인 화면에서 현재 로고를 대신할 새 로고를 업로드합니다. 확인을 클릭하면 변경 사항이 즉시 반영됩니다.

업로드에 권장되는 최소 이미지 크기는 350 x 100픽셀입니다. 350 x 100픽셀보다큰 이미지를 업로드하면 이미지 크기가 350 x 100픽셀 크기에 맞게 조정됩니다. 형식은 JPEG, PNG 또는 GIF가 가능합니다.

배경색 로그인 화면의 배경에 표시되는 색상입니다.

배경색을 변경하려면 기존 색상 코드 위에 6자리 16진수 색상 코드를 입력합니다.

상자 배경색 로그인 화면 상자 색을 사용자 지정할 수 있습니다.

기존 색상 코드 위에 6자리 16진수 색상 코드를 입력합니다.

로그인 버튼 배경색 로그인 버튼의 색을 사용자 지정할 수 있습니다.


로그인 버튼 텍스트 색 로그인 버튼에 표시되는 텍스트 색을 사용자 지정할 수 있습니다.


로그인 화면을 사용자 지정하는 경우 변경 사항을 저장하기 전에 미리 보기 창에서 변경 사항을 확인할 수 있습니다.


관리 콘솔 및 로그인 페이지에 대한 사용자 지정 브랜딩 업데이트 사항은 [저장]을 클릭한 후 5분 이내에적용됩니다.

후속 작업

다양한 인터페이스에서 브랜딩을 변경했을 때의 모양을 확인합니다.

최종 사용자 Workspace ONE 포털 및 모바일/태블릿 보기의 모양을 업데이트합니다. “사용자 포털에대한 브랜딩 사용자 지정,”(112 페이지)의 내용을 참조하십시오.

사용자 포털에 대한 브랜딩 사용자 지정로고를 추가하고, 배경색을 변경하고, 이미지를 추가하여 Workspace ONE 포털을 사용자 지정할 수있습니다.

프로시저

1 관리 콘솔 [카탈로그] 탭에서 설정 > 사용자 포털 브랜딩을 선택합니다.

2 양식의 설정을 적절히 편집합니다.


로고 마스트 헤드 로고를 관리 콘솔 및 Workspace ONE 포털의 웹 페이지 상단에 표시되는 배너로 추가합니다.

이미지의 최대 크기는 220 x 40픽셀입니다. 형식은 JPEG, PNG 또는 GIF가 가능합니다.

포털


112 VMware, Inc.


마스트 헤드 배경색 마스트 헤드의 배경색을 변경하려면 기존 색상 코드 위에 6자리 16진수 색상 코드를 입력합니다. 새 색상 코드를 입력하면 애플리케이션 포털 미리 보기 화면에서 배경색이 변경됩니다.

마스트 헤드 텍스트 색 마스트 헤드에 표시되는 텍스트의 색을 변경하려면 기존 색상 코드 위에 6자리 16진수색상 코드를 입력합니다.

배경색 웹 포털 화면의 배경에 표시되는 색상입니다.

배경색을 변경하려면 기존 색상 코드 위에 6자리 16진수 색상 코드를 새로 입력합니다.새 색상 코드를 입력하면 애플리케이션 포털 미리 보기 화면에서 배경색이 변경됩니다.

배경색을 강조하려면 배경 강조 표시를 선택합니다. 이 기능을 사용하도록 설정하면 여러 배경 이미지를 지원하는 브라우저가 시작 관리자 및 카탈로그 페이지에서 오버레이를표시합니다.

배경색에 미리 디자인된 삼각형 패턴을 설정하려면 배경 패턴을 선택합니다.

이름 및 아이콘 색 애플리케이션 포털 페이지에서 아이콘 아래에 표시되는 이름의 텍스트 색을 선택할 수있습니다.

글꼴 색을 변경하려면 기존 색상 코드 위에 16진수 색상 코드를 입력합니다.

레터링 효과 Workspace ONE 포털 화면에 표시되는 텍스트에 사용할 레터링 유형을 선택합니다.

이미지(선택 사항) 애플리케이션 포털 화면의 배경에 색상 대신 이미지를 추가하려면 이미지를 업로드하십시오.


사용자 지정 브랜딩 업데이트는 사용자 포털에서 24시간 간격으로 새로 고쳐집니다. 변경 내용을 더 빠르게 푸시하려면 관리자 권한으로 새 탭을 열고 다음 URL을 입력합니다. myco.example.com은 사용자의 도메인 이름으로 대체합니다. https://<myco.example.com>/catalog-portal/services/api/branding?refreshCache=true

후속 작업

다양한 인터페이스에서 브랜딩을 변경했을 때의 모양을 확인합니다.

VMware Verify 애플리케이션에 대한 브랜딩 사용자 지정2단계 인증을 위해 VMware Verify를 사용하도록 설정한 경우 회사 로고를 사용하여 로그인 페이지를사용자 지정할 수 있습니다.

필수 조건

VMware Verify가 사용되도록 설정되어 있습니다.

프로시저

1 관리 콘솔 [카탈로그] 탭에서 설정 > 사용자 포털 브랜딩을 선택합니다.

2 VMware Verify 섹션을 편집합니다.


로고 승인 요청 페이지에 표시되는 회사 로고를 업로드합니다.

이미지는 PNG 형식의 540 x 170픽셀로 크기가 128kB 이하여야 합니다.

아이콘 VMware Verify가 실행될 때 디바이스에 표시되는 아이콘을 업로드합니다.

이미지는 PNG 형식의 81 x 81픽셀로 크기가 128kB 이하여야 합니다.


12장 사용자 지정 브랜딩 VMware Identity Manager 서비스

VMware, Inc. 113


114 VMware, Inc.

AirWatch와 VMware IdentityManager 통합 13

AirWatch에서는 디바이스에 대해 Enterprise Mobility Management를 제공하고, VMwareIdentity Manager는 사용자의 Single Sign-On 및 ID 관리를 제공합니다.

AirWatch와 VMware Identity Manager가 통합되면 AirWatch에 등록된 디바이스의 사용자가 여러 암호를 입력하지 않고 사용 설정된 애플리케이션에 안전하게 로그인할 수 있습니다.

AirWatch가 VMware Identity Manager와 통합되어 있으면 AirWatch에 다음과 같은 통합을 구성할 수 있습니다.

n AirWatch 사용자 및 그룹을 VMware Identity Manager 서비스의 디렉토리에 동기화한 후AirWatch Cloud Connector를 통해 암호 인증을 설정하는 AirWatch 디렉토리.

n AirWatch와 VMware Identity Manager 모두에서 관리하며 사용 권한이 부여된 애플리케이션을 포함하는 통합 카탈로그에 대한 Single Sign-On.

n Kerberos 인증을 사용하는 iOS 9 디바이스에 대한 Single Sign-On.

n AirWatch에서 관리하는 iOS 9 디바이스가 규정을 준수하는지 확인하는 데 사용되는 액세스 정책규칙.


n “VMware Identity Manager와의 통합을 위한 AirWatch 설정,”(115 페이지)

n “VMware Identity Manager에서 AirWatch 인스턴스 설정,”(118 페이지)

n “AirWatch에 대한 통합 카탈로그 사용,”(119 페이지)

n “AirWatch Cloud Connector를 사용하여 인증 구현,”(120 페이지)

n “AirWatch 관리 iOS 디바이스에 대한 모바일 Single Sign-On 인증 구현,”(122 페이지)

n “Android 디바이스에 대한 모바일 Single Sign-On 인증 구현,”(129 페이지)

n “AirWatch 관리 디바이스에 대한 규정 준수 검사 사용,”(135 페이지)

VMware Identity Manager와의 통합을 위한 AirWatch 설정VMware Identity Manager 관리 콘솔에서 AirWatch 설정을 구성하기 전에 AirWatch 관리 콘솔이VMware Identity Manager와 통신하도록 설정을 구성합니다.

AirWatch와 VMware Identity Manager를 통합하려면 다음이 필요합니다.

n VMware Identity Manager를 구성하는 AirWatch의 조직 그룹이 고객이어야 합니다.

n VMware Identity Manager 서비스와의 통신용 REST API 관리 키 및 AirWatch CloudConnector 암호 인증용 REST 등록 사용자 API 키가 VMware Identity Manager가 구성된 동일한 조직 그룹에 생성되어야 합니다.

VMware, Inc. 115

n AirWatch의 API 관리 계정 설정 및 관리자 인증 인증서를 VMware Identity Manager 관리 콘솔의 AirWatch 설정에 추가해야 합니다.

n Active Directory 사용자 계정이 VMware Identity Manager가 구성된 동일한 조직 그룹에 설정되어야 합니다.

n 등록 후 최종 사용자가 VMware Identity Manager가 구성된 하위 조직 그룹에 배치된 경우AirWatch 등록 구성의 사용자 그룹 매핑을 사용하여 사용자와 각 디바이스를 해당 조직 그룹으로필터링해야 합니다.

AirWatch 관리 콘솔에서 다음이 설정됩니다.

n VMware Identity Manager 서비스와의 통신에 사용할 REST 관리자 API 키

n VMware Identity Manager에 대한 API 관리자 계정과 AirWatch에서 내보낸 후 VMwareIdentity Manager의 AirWatch 설정에 추가한 관리자 인증 인증서

n AirWatch Cloud Connector 암호 인증에 사용되는 REST 등록 사용자 API 키

AirWatch에서 REST API 키 만들기

VMware Identity Manager를 AirWatch와 통합하려면 AirWatch 관리 콘솔에서 REST 관리 API액세스 및 등록된 사용자 액세스를 사용하도록 설정해야 합니다. API 액세스를 사용하도록 설정하면 API키가 생성됩니다.

프로시저

1 AirWatch 관리 콘솔에서 [글로벌] > [고객 수준 조직 그룹]을 선택하고 그룹 및 설정 > 모든 설정 >시스템 > 고급 > API > Rest API로 이동합니다.

2 [일반] 탭에서 추가를 클릭하여 VMware Identity Manager 서비스에서 사용할 API 키를 생성합니다. 계정 유형은 관리자여야 합니다.

고유한 서비스 이름을 제공합니다. 설명(예: IDM용 AirWatchAPI)을 추가합니다.

3 등록 사용자 API 키를 생성하려면 추가를 다시 클릭합니다.

4 [계정 유형] 드롭다운 메뉴에서 등록 사용자를 선택합니다.

고유한 서비스 이름을 제공합니다. 설명(예: IDM용 UserAPI)을 추가합니다.

5 두 API 키를 복사하여 파일에 저장합니다.

VMware Identity Manager 관리 콘솔에서 AirWatch를 설정할 때 이러한 키를 추가합니다.


116 VMware, Inc.


AirWatch에서 관리자 계정 및 인증서 만들기

관리 API 키를 만든 후에 AirWatch 관리 콘솔에서 admin 계정을 추가하고 인증서 인증을 설정합니다.

REST API 인증서 기반 인증의 경우 AirWatch 관리 콘솔에서 사용자 수준 인증서가 생성됩니다. 사용되는 인증서는 AirWatch 관리 루트 인증서에서 생성된 자체 서명된 AirWatch 인증서입니다.

필수 조건

AirWatch REST 관리 API 키가 만들어져 있습니다.

프로시저

1 AirWatch 관리 콘솔에서 [글로벌] > [고객 수준 조직 그룹]을 선택한 후 계정 > 관리자 > 목록 보기로 이동합니다.

2 추가 > 관리자 추가를 클릭합니다.

3 [기본] 탭의 필수 텍스트 상자에 인증서 관리자 이름과 암호를 입력합니다.

4 [역할] 탭을 선택하고 현재 조직 그룹을 선택한 후 두 번째 텍스트 상자를 클릭하고 AirWatch 관리자를 선택합니다.

5 [API] 탭을 선택하고 [인증] 텍스트 상자에서 인증서를 선택합니다.

6 인증서 암호를 입력합니다. 암호는 [기본] 탭에서 관리자에 대해 입력한 암호와 같습니다.


새 관리자 계정 및 클라이언트 인증서가 만들어집니다.

8 [목록 보기] 페이지에서 생성한 관리자를 선택하고 [API] 탭을 다시 엽니다.

인증서 페이지에 인증서에 대한 정보가 표시됩니다.

13장 AirWatch와 VMware Identity Manager 통합

VMware, Inc. 117

9 [인증서 암호] 텍스트 상자에 설정한 암호를 입력하고 클라이언트 인증서 내보내기를 클릭한 후 파일을 저장합니다.

클라이언트 인증서가 .p12 파일 유형으로 저장됩니다.

후속 작업

VMware Identity Manager 관리 콘솔에서 AirWatch URL 설정을 구성합니다.

VMware Identity Manager에서 AirWatch 인스턴스 설정AirWatch 관리 콘솔과 VMware Identity Manager 관리 콘솔의 [ID 및 액세스 관리] 페이지에서 설정을 구성한 후에 AirWatch URL, API 키 값 및 인증서를 입력합니다. AirWatch 설정이 구성된 후에는 AirWatch 통합에서 사용할 수 있는 기능 옵션을 사용하도록 설정할 수 있습니다.

VMware Identity Manager에 AirWatch 설정 추가

AirWatch를 VMware Identity Manager와 통합하고 AirWatch 기능 통합 옵션을 사용하도록VMware Identity Manager의 AirWatch 설정을 구성합니다. AirWatch를 사용한 VMwareIdentity Manager 권한 부여를 위해 AirWatch API 키 및 인증서가 추가됩니다.

필수 조건

n 관리자가 AirWatch 관리 콘솔에 로그인하는 데 사용하는 AirWatch 서버 URL

n 설정 통합을 위해 VMware Identity Manager에서 AirWatch 서버로의 API 요청을 수행하는 데사용되는 AirWatch 관리 API 키

n API 호출을 하고 인증서 암호를 만드는 데 사용되는 AirWatch 인증서 파일 인증서 파일은 .p12 파일 형식이어야 합니다.

n AirWatch 등록 사용자 API 키

n AirWatch에서 사용되는 테넌트 식별자인 테넌트의 AirWatch 그룹 ID

프로시저

1 VMware Identity Manager 관리 콘솔의 [ID 및 액세스 관리] 탭에서 설정 > AirWatch를 클릭합니다.


118 VMware, Inc.

2 다음 필드에 AirWatch 통합 설정을 입력합니다.

필드 설명

AirWatch API URL AirWatch URL을 입력합니다. 예를 들어 https://myco.airwatch.com을 입력합니다.

AirWatch API 인증서 API 호출을 수행하는 데 사용되는 인증서 파일을 업로드합니다.

인증서 암호 인증서 암호를 입력합니다.

AirWatch 관리 API 키 관리자 API 키 값을 입력합니다. API 키 값의 예는FPseqCSataGcnJf8/Rvahzn/4jwkZENGkZzyc+jveeYs=입니다.

AirWatch 등록 사용자 API 키 등록된 사용자 API 키 값을 입력합니다.

AirWatch 그룹 ID API 키 및 관리자 계정이 만들어진 조직 그룹의 AirWatch 그룹 ID를입력합니다.


후속 작업

n AirWatch 카탈로그에 설정된 앱을 통합 카탈로그에 병합하려면 기능 옵션 [통합 카탈로그]를 사용하도록 설정합니다.

n [규정 준수 검사]를 사용하도록 설정하여 AirWatch 관리 디바이스가 AirWatch 규정 준수 정책을준수하는지 확인합니다.

“AirWatch 관리 디바이스에 대한 규정 준수 검사 사용,”(135 페이지)의 내용을 참조하십시오.

AirWatch에 대한 통합 카탈로그 사용AirWatch 인스턴스를 사용하여 VMware Identity Manager를 구성하면 최종 사용자가 VMwareIdentity Manager와 AirWatch 모두에서 사용 권한이 부여된 애플리케이션을 모두 볼 수 있도록 해주는 통합 카탈로그를 사용하도록 설정할 수 있습니다.

AirWatch가 통합 카탈로그에 통합되어 있지 않으면 최종 사용자는 VMware Identity Manager 서비스에서 사용 권한이 부여된 애플리케이션만 볼 수 있습니다.


VMware, Inc. 119

필수 조건

VMware Identity Manager에서 구성된 AirWatch입니다.

프로시저

1 관리 콘솔의 [ID 및 액세스 관리] 탭에서 설정 > AirWatch를 클릭합니다.

2 이 페이지의 [통합 카탈로그] 섹션에서 사용을 선택합니다.


후속 작업

AirWatch 최종 사용자에게 통합 카탈로그에 액세스하고 VMware Identity Manager를 통해Workspace ONE 포털을 보는 방법을 알려 줍니다.

AirWatch Cloud Connector를 사용하여 인증 구현AirWatch Cloud Connector를 VMware Identity Manager 서비스와 통합하여 사용자 암호 인증에 사용할 수 있습니다. VMware Identity Manager 서비스에서 VMware Identity Manager 커넥터에 배포하는 대신 AirWatch 디렉토리에서 사용자를 동기화하도록 구성할 수 있습니다.

AirWatch Cloud Connector 인증을 구현하려면 VMware Identity Manager 관리 콘솔의 기본[ID 제공자] 페이지에서 [AirWatch Cloud Connector 암호 인증]을 사용하도록 설정합니다.

참고 AirWatch Cloud Connector를 VMware Identity Manager에서 인증에 사용하려면AirWatch 버전 8.3 이상에서 구성되어 있어야 합니다.

사용자 이름과 암호 인증이 AirWatch Cloud Connector 배포에 통합되어 있습니다. VMwareIdentity Manager에서 지원하는 다른 인증 방법을 사용하여 사용자를 인증하려면 VMware IdentityManager 커넥터가 구성되어 있어야 합니다.

사용자 특성 매핑 관리

AirWatch 디렉토리와 VMware Identity Manager 디렉토리 사이의 사용자 특성 매핑을 구성할 수있습니다.

VMware Identity Manager 관리 콘솔에서 [ID 및 액세스 관리] > [설정] > [사용자 특성] 페이지에는 AirWatch 디렉토리 특성에 매핑할 수 있는 기본 디렉토리 특성이 나열됩니다. 필수 특성은 별표가표시됩니다. 프로파일에 필수 특성이 누락된 사용자는 VMware Identity Manager 서비스와 동기화되지 않습니다.

표 13‑1. 기본 AirWatch 디렉토리 특성 매핑

VMware Identity Manager 사용자 특성 이름 AirWatch 사용자 특성에 대한 기본 매핑

userPrincipalName userPrincipalName

distinguishedName distinguishedName

employeeID employeeID

도메인 도메인

disabled(외부 사용자 사용 안 함) disabled

phone telephoneNumber

lastName lastname*

firstName firstname*

이메일 Email*

userName username*


120 VMware, Inc.

AirWatch 디렉토리에서 VMware Identity 디렉토리로 사용자 및 그룹 동기화

AirWatch 관리 콘솔에서 AirWatch 디렉토리의 조직 그룹 인스턴스와 VMware Identity Manager간에 연결을 설정하도록 VMware Identity Manager 설정을 구성합니다. 이 연결은 VMwareIdentity Manager 서비스에서 생성한 디렉토리에 사용자 및 그룹을 동기화하는 데 사용됩니다.

VMware Identity Manager 디렉토리는 암호 인증을 위해 AirWatch Cloud Connector에서 사용될 수 있습니다.

사용자와 그룹은 처음부터 VMware Identity Manager 디렉토리에 수동으로 동기화됩니다.AirWatch 동기화 일정은 사용자 및 그룹이 VMware Identity Manager 디렉토리와 동기화되는 시간을 결정합니다.

사용자나 그룹이 AirWatch 서버에서 추가 또는 삭제되면 변경 사항이 VMware Identity Manager서비스에 즉시 반영됩니다.

필수 조건

n VMware Identity Manager 로컬 관리자 이름 및 암호.

n AirWatch 디렉토리에서 매핑할 ID 특성 값. “사용자 특성 매핑 관리,”(120 페이지)의 내용을 참조하십시오.

프로시저

1 AirWatch 관리 콘솔의 [그룹 및 설정], [모든 설정] 페이지에서 [글로벌] > [고객 수준 조직 그룹]을 선택한 후 시스템 > 엔터프라이즈 통합 >VMware Identity Manager로 이동합니다.

2 [서버] 섹션에서 구성을 클릭합니다.

참고 구성 버튼은 같은 조직 그룹에 대해 [디렉토리 서비스]도 구성되어 있는 경우에만 사용할 수있습니다. [구성] 버튼이 보이지 않으면 올바른 조직 그룹에 있지 않은 것입니다. 조직 그룹은 [글로벌] 드롭다운 메뉴에서 변경할 수 있습니다.

3 VMware Identity Manager 설정을 입력합니다.

옵션 설명

URL 테넌트 VMware URL을 입력합니다. 예:https://myco.identitymanager.com

관리자 이름 VMware Identity Manager 로컬 관리자 이름을 입력합니다.

관리자 암호 VMware Identity Manager 로컬 관리자 암호를 입력합니다.


5 사용자 지정 매핑을 사용하도록 설정하여 AirWatch에서 VMware Identity Manager 서비스로사용자 특성 매핑을 구성합니다.

6 연결 테스트를 클릭하여 설정이 올바른지 확인합니다.

7 모든 사용자와 그룹을 VMware Identity Manager 서비스로 동기화하려면 지금 동기화를 클릭합니다.

참고 시스템 로드의 제어를 위해 수동 동기화는 이전 동기화를 수행한 후 4시간이 지난 경우에만수행할 수 있습니다.

AirWatch 디렉토리가 VMware Identity Manager 서비스에 생성되고 사용자와 그룹이 VMwareIdentity Manager의 디렉토리에 동기화됩니다.


VMware, Inc. 121

후속 작업

VMware Identity Manager 관리 콘솔의 [사용자 및 그룹] 탭을 검토하여 사용자 및 그룹 이름이 동기화되는지 확인합니다.

AirWatch 업그레이드 후에 VMware Identity Manager 업데이트

AirWatch를 새 버전으로 업그레이드하는 경우 VMware Identity Manager 서비스의 AirWatch 구성 옵션을 통해 통합 카탈로그 및 사용자 암호 인증을 업데이트해야 합니다.

AirWatch를 업그레이드한 후에 이러한 옵션을 저장하면 VMware Identity Manager 서비스의AirWatch 설정이 새 버전의 AirWatch로 업데이트됩니다.

프로시저

1 AirWatch를 업그레이드한 후에 VMware Identity Manager 관리 콘솔에 로그인합니다.

2 [ID 및 액세스 관리] 탭에서 설정 > AirWatch를 클릭합니다.

3 페이지를 아래로 스크롤하여 통합 카탈로그 섹션으로 이동한 후 저장을 클릭합니다.

4 AirWatch를 통한 사용자 암호 인증 섹션으로 스크롤한 후 저장을 클릭합니다.

AirWatch 구성이 VMware Identity Manager 서비스의 새 버전으로 업데이트됩니다.

AirWatch 관리 iOS 디바이스에 대한 모바일 Single Sign-On 인증구현

iOS 디바이스 인증의 경우 VMware Identity Manager는 Identity Manager 서비스에 기본 제공되는 ID 제공자를 사용하여 모바일 SSO 인증에 대한 액세스를 제공합니다. 이 인증 방법에서는 커넥터 또는 타사 시스템을 사용하지 않고 KDC(키 배포 센터)를 사용합니다. 관리 콘솔에서 Kerberos를 사용하도록 설정하기 전에 VMware Identity Manager 기본 제공 ID 제공자에서 KDC 서비스를 시작해야합니다.

AirWatch 관리 iOS 9 디바이스에 대한 모바일 SSO 인증을 구현하려면 다음 구성 단계가 필요합니다.

참고 모바일 SSO 인증은 iOS 9 이상을 실행하는 iOS 디바이스에서 지원됩니다.

n VMware Identity Manager 장치에서 KDC(키 배포 센터)를 초기화합니다. "설치" 가이드에서"iOS 디바이스에서 Kerberos 인증 사용 준비" 장을 참조하십시오.

n Active Directory 인증서 서비스를 사용하는 경우 Active Directory 인증서 서비스에서Kerberos 인증서 배포를 위한 CA(인증 기관) 템플릿을 구성합니다. 그런 다음 Active DirectoryCA(인증 기관)를 사용하도록 AirWatch를 구성합니다. AirWatch 관리 콘솔에서 인증서 템플릿을추가합니다. iOS용 모바일 SSO를 구성할 발급자 인증서를 다운로드합니다.

n AirWatch 인증 기관을 사용하는 경우에는 [VMware Identity Manager 통합] 페이지에서 인증서를 사용하도록 설정합니다. iOS용 모바일 SSO를 구성할 발급자 인증서를 다운로드합니다.

n VMware Identity Manager 관리 콘솔에서 기본 제공 ID 제공자를 구성한 후 iOS용 모바일SSO 인증을 사용하도록 설정하고 구성합니다.

n AirWatch 관리 콘솔에서 iOS 디바이스 프로파일을 구성하고 단일 로그인을 사용하도록 설정합니다.


122 VMware, Inc.

AirWatch에서 Active Directory CA(인증 기관) 구성

AirWatch 관리 iOS 9 모바일 디바이스에 대한 Single Sign-On 인증을 설정하려면 ActiveDirectory와 AirWatch 간에 신뢰 관계를 설정하고 VMware Identity Manager에서 iOS용 모바일SSO 인증 방법을 사용하도록 설정하면 됩니다.

Active Directory 인증서 서비스에서 Kerberos 인증서 배포에 대해 CA(인증 기관) 및 인증서 템플릿을 구성한 후에 AirWatch를 사용하여 인증에 사용되는 인증서를 요청하고 AirWatch 관리 콘솔에CA(인증 기관)를 추가합니다.

프로시저

1 AirWatch 관리 콘솔 주 메뉴에서 장치 > 인증서 > 인증 기관으로 이동합니다.


3 [인증 기관] 페이지에서 다음을 구성합니다.

참고 이 양식을 작성하기 전에 Microsoft AD CS가 기관 유형으로 선택되어 있는지 확인합니다.

옵션 설명

이름 새 CA(인증 기관)의 이름을 입력합니다.

기관 유형 Microsoft ADCS를 선택했는지 확인합니다.

프로토콜 프로토콜로 ADCS를 선택합니다.

서버 호스트 이름 서버의 URL을 입력합니다. https://{servername.com}/certsrv.adcs/형식으로 호스트 이름을 입력합니다. 사이트는 설정 방식에 따라 http 또는 https일 수 있습니다. URL에는 후행 /가 포함되어야 합니다.

참고 URL을 테스트할 때 연결이 실패하면 주소에서 http:// 또는https://를 제거하고 연결을 다시 테스트합니다.

기관 이름 ADCS 끝점이 연결되는 CA(인증 기관)의 이름을 입력합니다. 이 이름은 CA(인증 기관) 서버에서 CA(인증 기관) 애플리케이션을 실행하여찾을 수 있습니다.

인증 서비스 계정을 선택했는지 확인합니다.

사용자 이름 및 암호 AirWatch에서 인증서를 요청하고 발급하기 위한 충분한 액세스 권한이있는 AD CS 관리자 계정의 사용자 이름 및 암호를 입력합니다.


후속 작업

AirWatch에서 인증서 템플릿을 구성합니다.

Active Directory CA(인증 기관) 사용을 위한 AirWatch 구성

CA(인증 기관) 템플릿은 Kerberos 인증서 배포에 적합하게 구성해야 합니다. AD CS(ActiveDirectory 인증서 서비스)에서는 기존 Kerberos 인증 템플릿을 복제하여 iOS Kerberos 인증에 사용할 새 CA(인증 기관) 템플릿을 구성할 수 있습니다.

AD CS에서 Kerberos 인증 템플릿을 복제할 때, [새 템플릿] 대화상자의 [속성]에서 다음 정보를 구성해야 합니다.


VMware, Inc. 123

그림 13‑1. 새 템플릿 대화상자의 Active Directory 인증서 서비스 속성

n 일반 탭. 템플릿 표시 이름과 템플릿 이름을 입력합니다. 예: iOSKerberos. 이 이름은 인증서 템플릿 스냅인, 인증서 스냅인, 인증 기관 스냅인에 표시되는 표시 이름입니다.

n 주체 이름 탭. 요청에서 공급 라디오 버튼을 선택합니다. 주체 이름은 AirWatch에서 인증서를 요청할 때 AirWatch에서 제공합니다.

n 확장 탭. 애플리케이션 정책을 정의합니다.

n [애플리케이션 정책]을 선택하고 [편집]을 클릭하여 새 애플리케이션 정책을 추가합니다. 이 정책의 이름을 Kerberos Client Authentication이라고 지정합니다.

n 다음과 같이 OID(개체 식별자)를 추가합니다. 1.3.6.1.5.2.3.4. 이를 변경하면 안 됩니다.

n [애플리케이션 정책 설명] 목록에서 Kerberos Client Authentication 정책과 Smart CardAuthentication 정책을 제외한 모든 정책을 삭제합니다.

n 보안 탭. 인증서를 사용할 수 있는 사용자 목록에 AirWatch 계정을 추가합니다. 계정에 대한 사용권한을 설정합니다. 보안 주체가 인증서 템플릿의 사용 권한을 포함한 인증서 템플릿의 모든 특성을수정하도록 허용하려면 [모든 권한]을 설정합니다. 그렇지 않은 경우에는 조직의 요구 사항에 따라사용 권한을 설정합니다.

변경 사항을 저장합니다. Active Directory CA(인증 기관)에서 사용하는 템플릿의 목록에 템플릿을 추가합니다.

AirWatch에서 CA(인증 기관)를 구성하고 인증서 템플릿을 추가합니다.

AirWatch에서 인증서 템플릿 추가

사용자 인증서를 생성하는 데 사용되는 CA(인증 기관)를 연결하는 인증서 템플릿을 추가합니다.

필수 조건

AirWatch에서 CA(인증 기관)를 구성합니다.

프로시저

1 AirWatch 관리 콘솔에서 시스템 > 엔터프라이즈 통합 > 인증 기관으로 이동합니다.

2 템플릿 요청 탭을 선택하고 추가를 클릭합니다.

3 인증서 템플릿 페이지에서 다음을 구성합니다.

옵션 설명

이름 AirWatch에서 새 요청 템플릿의 이름을 입력합니다.

CA(인증 기관) 드롭다운 메뉴에서 만들어진 CA(인증 기관)를 선택합니다.

템플릿 발급 AD CS에서 만든 것과 정확히 동일하게 Microsoft CA 인증서 템플릿이름을 입력합니다. 예를 들어 iOSKerberos를 입력합니다.


124 VMware, Inc.

옵션 설명

주체 이름 CN= 다음에 {EnrollmentUser}를 입력합니다. 여기서 {} 텍스트 상자는AirWatch 조회 값입니다. 여기에 입력한 텍스트는 인증서의 주체로, 인증서를 받은 사람을 확인하는 데 사용될 수 있습니다.

개인 키 길이 이 개인 키 길이는 AD CS에 사용되는 인증서 템플릿의 설정과 일치합니다. 일반적으로 2048입니다.

개인 키 유형 서명 및 암호화 확인란을 선택합니다.

SAN 유형 주체 대체 이름으로 사용자 계정 이름을 선택합니다. 값은{EnrollmentUser}여야 합니다. 디바이스 규정 준수 검사가 Kerberos 인증으로 구성된 경우 UDID를 포함하도록 두 번째 SAN 유형을 설정해야합니다. SAN 유형 DNS를 선택합니다. 값은 UDID={DeviceUid}여야 합니다.

자동 인증서 갱신 이 템플릿을 사용하는 인증서가 만료일 전에 자동으로 갱신되도록 하려면이 확인란을 선택합니다.

자동 갱신 기간(일) 자동 갱신(일)을 지정합니다.

인증서 해지 사용 해당 디바이스가 등록 취소되거나 삭제될 경우 또는 해당 프로파일이 제거될 경우 인증서를 자동으로 해지하려면 이 확인란을 선택합니다.

개인 키 게시 이 확인란을 선택하여 개인 키를 게시합니다.

개인 키 대상 디렉토리 서비스 또는 사용자 지정 웹 서비스


후속 작업

ID 제공자 관리 콘솔에서 iOS용 모바일 SSO 인증 방법으로 기본 제공 ID 제공자를 구성합니다.


VMware, Inc. 125

Active Directory CA(인증 기관) 및 인증서 템플릿을 사용하여 AirWatch에서Apple iOS 프로파일 구성

AirWatch에서 Apple iOS 디바이스 프로파일을 만들고 배포하여 ID 제공자 설정을 디바이스에 푸시합니다. 이 프로파일에는 디바이스가 VMware ID 제공자에 연결하는 데 필요한 정보와 디바이스가 인증하는 데 사용하는 인증서가 포함되어 있습니다. 각 앱에 대해 인증을 요구하지 않고 원활한 액세스가 가능하도록 Single Sign-On을 사용하도록 설정합니다.

필수 조건

n iOS용 모바일 SSO는 VMware Identity Manager에서 구성됩니다.

n iOS Kerberos CA(인증 기관) 파일이 AirWatch 관리 콘솔에서 액세스할 수 있는 컴퓨터에 저장되어 있습니다.

n 사용자의 CA(인증 기관) 및 인증서 템플릿이 AirWatch에 제대로 구성되어 있습니다.

n iOS 디바이스에서 iOS용 모바일 SSO 인증을 사용하는 URL 및 애플리케이션 번들 ID 목록.

프로시저

1 AirWatch 관리 콘솔에서 디바이스 >프로파일 및 리소스 > 프로파일로 이동합니다.

2 추가 > 프로파일 추가를 선택하고 Apple iOS를 선택합니다.

3 이름으로 iOSKerberos를 입력하고 일반 설정을 구성합니다.

4 왼쪽 탐색 창에서 자격 증명 > 구성을 선택하여 자격 증명을 구성합니다.

옵션 설명

자격 증명 소스 드롭다운 메뉴에서 정의된 인증서 기관을 선택합니다.

CA(인증 기관) 드롭다운 메뉴의 목록에서 인증 기관을 선택합니다.

인증서 템플릿 드롭다운 메뉴에서 인증 기관을 참조하는 요청 템플릿을 선택합니다. 이는 AirWatch의 [인증서 템플릿 추가]에서 만들어진 인증서 템플릿입니다.

5 페이지 오른쪽 아래 모서리의 +를 다시 클릭하고 두 번째 자격 증명을 만듭니다.

6 자격 증명 소스 드롭다운 메뉴에서 업로드를 선택합니다.

7 자격 증명 이름을 입력합니다.

8 업로드를 클릭하여 [ID 및 액세스 관리] > [관리] > [ID 제공자] > [기본 제공 ID 제공자] 페이지에서 다운로드한 KDC 서버 루트 인증서를 업로드합니다.

9 왼쪽 탐색 창에서 Single Sign-On을 선택하고 구성을 클릭합니다.

10 연결 정보를 입력합니다.

옵션 설명

계정 이름 Kerberos를 입력합니다.

Kerberos 계정 이름 +를 클릭하고 {EnrollmentUser}를 선택합니다.

영역 VMware Identity Manager 장치에서 KDC를 초기화할 때 사용한 영역 이름을 입력합니다. 예: EXAMPLE.COM

갱신 인증서 드롭다운 메뉴에서 Certificate#1을 선택합니다. 이는 처음에 자격 증명에서 구성된 Active Directory CA 인증서입니다.


126 VMware, Inc.

옵션 설명

URL 접두사 HTTP를 통한 Kerberos 인증에 이 계정을 사용하기 위해 일치해야 하는 URL 접두사를 입력합니다.

VMware Identity Manager 서버 URL을 https://myco.example.com으로 입력합니다.

애플리케이션 이 로그온을 사용하도록 허용되는 애플리케이션 ID 목록을 입력합니다.iOS 기본 제공 Safari 브라우저를 사용하여 Single Sign-On을 수행하려면 첫 번째 애플리케이션 번들 ID를 com.apple.mobilesafari로 입력합니다. 애플리케이션 번들 ID를 계속 입력합니다. 나열된 애플리케이션은 SAML 인증을 지원해야 합니다.

11 저장 및 게시를 클릭합니다.

iOS 프로파일이 사용자 디바이스에 성공적으로 푸시되면 사용자는 자격 증명을 입력하지 않고도 iOS용모바일 SSO 인증 방법을 사용하여 VMware Identity Manager에 로그온할 수 있습니다.

후속 작업

또 다른 프로파일을 만들어 원하는 다른 기능을 구성합니다(예: AirWatch에서 iOS 디바이스 홈 페이지또는 앱 카탈로그에 푸시하는 웹 앱용 아이콘을 만들기 위한 웹 클립).

Kerberos 인증을 위한 AirWatch 인증 기관 사용

기본 제공 Kerberos 인증을 사용하여 AirWatch 관리 iOS 9 모바일 디바이스에 Single Sign-On을설정하려는 경우 Active Directory CA(인증 기관) 대신에 AirWatch 인증 기관을 사용할 수 있습니다. AirWatch 관리 콘솔에서 AirWatch 인증 기관을 사용하도록 설정하고 VMware IdentityManager 서비스에 사용할 CA 발급자 인증서를 내보낼 수 있습니다.

AirWatch 인증 기관은 SCEP(단순 인증서 등록 프로토콜)를 따르도록 설계되었으며 SCEP를 지원하는 AirWatch 관리 디바이스에서 사용됩니다. AirWatch와 VMware Identity Manager의 통합에서는 AirWatch 인증 기관을 사용하여 iOS 9 모바일 디바이스에 대한 인증서를 프로파일의 일부로 발급합니다.

AirWatch 인증 기관 발급자 루트 인증서는 OCSP 서명 인증서이기도 합니다.

AirWatch 인증 기관 사용 설정 및 내보내기

AirWatch에서 VMware Identity Manager를 사용하도록 설정되어 있으면 AirWatch 발급자 루트인증서를 생성할 수 있고 관리되는 iOS 9 모바일 디바이스에서 iOS용 모바일 SSO 인증에 사용할 인증서를 내보낼 수 있습니다.

프로시저

1 AirWatch 관리 콘솔에서 시스템 > 엔터프라이즈 통합 > VMware Identity Manager로 이동합니다.

2 AirWatch 인증 기관을 사용하도록 설정하려면 조직 그룹 유형이 [고객]이어야 합니다.

팁 그룹 유형을 보거나 변경하려면 [그룹 및 설정]으로 이동한 후 그룹 > 조직 그룹> 조직 그룹 세부 정보를 선택합니다.

3 [인증서] 섹션에서 사용을 클릭합니다.

페이지에 발급자 루트 인증서 세부 정보가 표시됩니다.

4 내보내기를 클릭하고 파일을 저장합니다.

후속 작업

VMware Identity Manager 관리 콘솔의 기본 제공 ID 제공자에서 Kerberos 인증을 구성하고 인증기관 발급자 인증서를 추가합니다.


VMware, Inc. 127

AirWatch 인증 기관을 사용하여 AirWatch에서 Apple iOS 프로파일 구성

AirWatch에서 Apple iOS 디바이스 프로파일을 만들고 배포하여 ID 제공자 설정을 디바이스에 푸시합니다. 이 프로파일에는 디바이스가 VMware ID 제공자에 연결하는 데 필요한 정보와 디바이스가 인증하는 데 사용하는 인증서가 포함되어 있습니다.

필수 조건

n Identity Manager에 기본 제공 Kerberos가 구성되어 있습니다.

n VMware Identity Manager KDC 서버 루트 인증서 파일이 AirWatch 관리 콘솔에서 액세스할수 있는 컴퓨터에 저장되어 있습니다.

n AirWatch 관리 콘솔의 [시스템] > [엔터프라이즈 통합] > [VMware Identity Manager] 페이지에서 인증서가 다운로드되고 사용되도록 설정되어 있습니다.

n iOS 디바이스에서 기본 제공 Kerberos 인증을 사용하는 URL 및 애플리케이션 번들 ID 목록.

프로시저

1 AirWatch 관리 콘솔에서 디바이스 > 프로파일 및 리소스 > 프로파일 > 프로파일 추가로 이동한 후Apple iOS를 선택합니다.

2 프로파일의 일반 설정을 구성하고 디바이스의 이름을 iOSKerberos로 입력합니다.

3 왼쪽 탐색 창에서 SCEP > 구성을 선택하여 자격 증명을 구성합니다.

옵션 설명

자격 증명 소스 드롭다운 메뉴에서 AirWatch 인증 기관을 선택합니다.

CA(인증 기관) 드롭다운 메뉴에서 AirWatch 인증 기관을 선택합니다.

인증서 템플릿 싱글 사인 온을 선택하여 AirWatch 인증 기관에서 발급한 인증서 유형을 설정합니다.

4 자격 증명 > 구성을 클릭하고 두 번째 자격 증명을 만듭니다.

5 자격 증명 소스 드롭다운 메뉴에서 업로드를 선택합니다.

6 iOS Kerberos 자격 증명 이름을 입력합니다.

7 업로드를 클릭하여 [ID 및 액세스 관리] > [관리] > [ID 제공자] > [기본 제공 ID 제공자] 페이지에서 다운로드한 VMware Identity Manager KDC 서버 루트 인증서를 업로드합니다.

8 왼쪽 탐색 창에서 Single Sign-On을 선택합니다.

9 연결 정보를 입력합니다.

옵션 설명

계정 이름 Kerberos를 입력합니다.

Kerberos 계정 이름 +를 클릭하고 {EnrollmentUser}를 선택합니다.

영역 VMware Identity Manager 장치에서 KDC를 초기화할 때 사용한 영역 이름을 입력합니다. 예: EXAMPLE.COM

갱신 인증서 iOS 8 이상 디바이스에서 사용자의 Single Sign-On 세션이 만료될때 사용자 조작 없이도 사용자를 자동으로 다시 인증하는 데 사용되는 인증서를 선택합니다.


128 VMware, Inc.

옵션 설명

URL 접두사 HTTP를 통한 Kerberos 인증에 이 계정을 사용하기 위해 일치해야 하는 URL 접두사를 입력합니다.

VMware Identity Manager 서버 URL을 https://myco.example.com으로 입력합니다.

애플리케이션 이 로그인을 사용하도록 허용되는 애플리케이션 ID 목록을 입력합니다.iOS 기본 제공 Safari 브라우저를 사용하여 Single Sign-On을 수행하려면 첫 번째 애플리케이션 번들 ID를 com.apple.mobilesafari로 입력합니다. 애플리케이션 번들 ID를 계속 입력합니다. 나열된 애플리케이션은 SAML 인증을 지원해야 합니다.


iOS 프로파일이 사용자 디바이스에 성공적으로 푸시되면 사용자는 자격 증명을 입력하지 않고도 기본 제공 Kerberos 인증 방법을 사용하여 VMware Identity Manager에 로그온할 수 있습니다.

후속 작업

또 다른 프로파일을 만들어 iOS Kerberos에 대해 원하는 다른 기능을 구성합니다(예: AirWatch에서iOS 디바이스 홈 페이지 또는 앱 카탈로그에 푸시하는 웹 앱용 아이콘을 만들기 위한 웹 클립).

Android 디바이스에 대한 모바일 Single Sign-On 인증 구현Android용 모바일 SSO는 AirWatch 관리 Android 디바이스에 대한 인증서 인증 방법을 구현한 것입니다.

AirWatch Tunnel 모바일 애플리케이션은 Android 디바이스에 설치되며, AirWatch Tunnel 클라이언트는 인증을 위해 VMware Identity Manager 서비스에 액세스하도록 구성됩니다. Tunnel 클라이언트는 클라이언트 인증서를 사용하여 상호 인증된 SSL 세션을 설정하고,VMware Identity Manager 서비스는 인증을 위해 클라이언트 인증서를 검색합니다.

참고 Android용 모바일 SSO 인증은 Android 디바이스 4.4 이상에 지원됩니다.

VPN 액세스를 사용하지 않는 모바일 Single Sign-On

VPN 액세스가 필요하지 않을 때 Tunnel 서버를 우회하도록 Android 디바이스용 모바일 SingleSign-On 인증을 구성할 수 있습니다. VPN을 사용하지 않고 Android용 모바일 SSO 인증을 구현할때는 AirWatch Tunnel 구성에 사용되는 것과 동일한 구성 페이지를 사용하지만 Tunnel 서버를 설치하지 않으므로 AirWatch Tunnel 서버 호스트 이름 및 포트를 입력할 필요가 없습니다. 여전히AirWatch Tunnel 프로파일 양식을 사용하여 프로파일을 설정하지만 트래픽이 Tunnel 서버로 리디렉션되지 않습니다. Tunnel 클라이언트는 Single Sign-On에만 사용됩니다.

AirWatch 관리 콘솔에서 다음 설정을 구성합니다.

n AirWatch Tunnel의 애플리케이션별 Tunnel 구성 요소. 이 구성은 Android 디바이스에서AirWatch Tunnel 모바일 애플리케이션 클라이언트를 통해 내부 및 관리되는 공용 애플리케이션에액세스할 수 있도록 허용합니다.

n 애플리케이션별 Tunnel 프로파일. 이 프로파일은 Android에 대해 애플리케이션별 터널링 기능을사용하도록 설정하는 데 사용됩니다.

n [네트워크 트래픽 규칙] 페이지에서 Tunnel 서버가 구성되어 있지 않으므로 트래픽이 Tunnel 서버로 리디렉션되지 않도록 [우회]를 선택합니다.


VMware, Inc. 129

VPN 액세스를 사용하는 모바일 Single Sign-On

Single Sign-On에 대해 구성된 애플리케이션이 방화벽 뒤의 인트라넷 리소스에 액세스하는 데도 사용되면 VPN 액세스를 구성하고 Tunnel 서버를 설정합니다. VPN을 사용하여 Single Sign-On이 구성되면 Tunnel 클라이언트는 필요에 따라 Tunnel 서버를 통해 애플리케이션 트래픽 및 로그인 요청을 라우팅할 수 있습니다. Single Sign-On 모드의 콘솔에서 Tunnel 클라이언트에 대해 사용되는 기본 구성 대신, Tunnel 서버를 가리키는 구성을 사용해야 합니다.

AirWatch 관리 Android 디바이스에 대해 Android용 모바일 SSO 인증을 구현하려면VMware Identity Manager 관리 콘솔에서 Android용 모바일 SSO를 구성하기 전에 AirWatch 관리 콘솔에서 AirWatch Tunnel을 구성하고 AirWatch Tunnel 서버를 설치해야 합니다. AirWatchTunnel 서비스는 AirWatch 관리 애플리케이션에 대한 애플리케이션별 VPN 액세스를 제공합니다. 또한 AirWatch Tunnel은 Single Sign-On을 위해 모바일 애플리케이션에서VMware Identity Manager로 트래픽을 프록시하는 기능을 제공합니다.

AirWatch 관리 콘솔에서 다음 설정을 구성합니다.

n AirWatch Tunnel의 애플리케이션별 Tunnel 구성 요소. 이 구성은 Android 디바이스에서AirWatch Tunnel 모바일 애플리케이션 클라이언트를 통해 내부 및 관리되는 공용 애플리케이션에액세스할 수 있도록 허용합니다.

관리 콘솔에서 AirWatch Tunnel 설정을 구성한 후 AirWatch Tunnel 설치 관리자를 다운로드하여 AirWatch Tunnel 서버 설치를 계속 진행합니다.

n Android VPN 프로파일. 이 프로파일은 Android에 대해 애플리케이션별 터널링 기능을 사용하도록 설정하는 데 사용됩니다.

n 관리 콘솔에서 애플리케이션 터널 기능을 사용하는 각 애플리케이션에 대해 VPN을 사용하도록 설정합니다.

n 애플리케이션별 VPN에 대해 구성된 모든 애플리케이션 목록, 프록시 서버 세부 정보 및VMware Identity Manager URL을 사용하여 디바이스 트래픽 규칙을 생성합니다.

AirWatch Tunnel 설치 및 구성에 대한 자세한 내용은 AirWatch Resources 웹 사이트에서VMware AirWatch Tunnel 가이드를 참조하십시오.

AirWatch 관리 콘솔에서 Android 디바이스용 Single Sign-On 구성

사용자가 암호를 입력하지 않고 엔터프라이즈 애플리케이션에 안전하게 로그인할 수 있도록 Android 디바이스에 대해 Single Sign-On을 구성합니다.

Android 디바이스에 대해 Single Sign-On을 구성하려면 AirWatch Tunnel은 구성하지 않아도 되지만 여러 동일한 필드를 사용하여 Single Sign-On을 구성해야 합니다.

필수 조건

n Android 4.4 이상

n 애플리케이션은 SAML 또는 지원되는 다른 페더레이션 표준을 지원해야 합니다.

프로시저

1 AirWatch 관리 콘솔에서 시스템 > 엔터프라이즈 통합 > AirWatch Tunnel로 이동합니다.

2 AirWatch Tunnel을 처음으로 구성하는 경우 구성을 선택하고 구성 마법사를 따릅니다. 그렇지 않으면 재정의를 선택하고 AirWatch Tunnel 사용 확인란을 선택합니다. 그런 다음 구성을 클릭합니다.

3 [구성 유형] 페이지에서 애플리케이션별 Tunnel(Linux 전용)을 사용하도록 설정합니다. 다음을 클릭합니다.

기본을 배포 모델로 그대로 유지합니다.


130 VMware, Inc.

4 [세부 정보] 페이지에서 텍스트 상자에 더미 값을 입력합니다. Single Sign-On 구성에 대해서는이 필드가 필요하지 않기 때문입니다. 다음을 클릭합니다.

5 [SSL] 페이지에서 [애플리케이션별 터널링 SSL 인증서]를 구성합니다. 공용 SSL을 사용하려면 공용 SSL 인증서 사용 확인란을 선택합니다. 다음을 클릭합니다.

Tunnel 디바이스 루트 인증서가 자동으로 생성됩니다.

참고 SAN 인증서는 지원되지 않습니다. 인증서가 해당 서버 호스트 이름에 대해 발급되었는지 또는 해당 도메인의 유효한 와일드카드 인증서인지 확인합니다.

6 [인증] 페이지에서 사용할 인증서 인증 유형을 선택합니다. 다음을 클릭합니다.

옵션 설명

기본값 AirWatch 발급 인증서를 사용하려면 [기본값]을 선택합니다.

엔터프라이즈 CA AirWatch에서 구성한 CA(인증 기관) 및 인증서 템플릿이 나열된 드롭다운 메뉴가 표시됩니다. CA의 루트 인증서를 업로드할 수도 있습니다.

엔터프라이즈 CA를 선택한 경우 CA 템플릿에 주체 이름 CN=UDID가 포함되어 있는지 확인합니다. AirWatch Tunnel 구성 페이지에서 CA 인증서를 다운로드할 수 있습니다.


8 [프로파일 연결] 페이지에서 기존 Android용 AirWatch Tunnel VPN 프로파일을 연결하거나 새프로파일을 만듭니다.

이 단계에서 프로파일을 만드는 경우에도 해당 프로파일을 게시해야 합니다. AirWatch에서Android 프로파일 구성을 참조하십시오.

9 구성 요약을 검토하고 저장을 클릭합니다.

그러면 시스템 설정 구성 페이지로 이동합니다.

AirWatch 관리 콘솔에서 AirWatch Tunnel VPN 액세스 설정 구성

Android 디바이스에 대한 애플리케이션별 터널링 기능을 설정하려면 AirWatch Tunnel 설정에서 애플리케이션별 Tunnel 구성 요소를 사용하도록 설정합니다. 애플리케이션별 터널링을 사용하면 내부 및관리되는 공용 애플리케이션에서 애플리케이션별로 회사 리소스에 액세스할 수 있습니다.

지정된 애플리케이션이 실행되면 VPN에서 자동으로 연결할 수 있습니다. 자세한 AirWatch Tunnel구성 지침은 AirWatch Resources 웹 사이트에서 VMware AirWatch Tunnel 가이드를 참조하십시오.

프로시저

1 AirWatch 관리 콘솔에서 시스템 > 엔터프라이즈 통합 > AirWatch Tunnel로 이동합니다.

2 AirWatch Tunnel을 처음으로 구성하는 경우 구성을 선택하고 구성 마법사를 따릅니다. 그렇지 않으면 재정의를 선택하고 AirWatch Tunnel 사용 확인란을 선택합니다. 그런 다음 구성을 클릭합니다.

3 [구성 유형] 페이지에서 애플리케이션별 Tunnel(Linux 전용)을 사용하도록 설정합니다. 다음을 클릭합니다.

기본을 배포 모델로 그대로 유지합니다.

4 [세부 정보] 페이지에서 [애플리케이션별 터널링 구성]에 AirWatch Tunnel 서버 호스트 이름 및포트를 구성합니다. 예를 들어 tunnel.example.com으로 입력합니다. 다음을 클릭합니다.


VMware, Inc. 131

5 [SSL] 페이지에서 [애플리케이션별 터널링 SSL 인증서]를 구성합니다. 공용 SSL을 사용하려면 공용 SSL 인증서 사용 확인란을 선택합니다. 다음을 클릭합니다.

Tunnel 디바이스 루트 인증서가 자동으로 생성됩니다.

참고 SAN 인증서는 지원되지 않습니다. 인증서가 해당 서버 호스트 이름에 대해 발급되었는지 또는 해당 도메인의 유효한 와일드카드 인증서인지 확인합니다.

6 [인증] 페이지에서 사용할 인증서 인증 유형을 선택합니다. 다음을 클릭합니다.

옵션 설명

기본값 AirWatch 발급 인증서를 사용하려면 [기본값]을 선택합니다.

엔터프라이즈 CA AirWatch에서 구성한 CA(인증 기관) 및 인증서 템플릿이 나열된 드롭다운 메뉴가 표시됩니다. CA의 루트 인증서를 업로드할 수도 있습니다.

엔터프라이즈 CA를 선택하는 경우 CA 템플릿에 주체 이름 CN=UDID가 포함되어 있는지 확인합니다. AirWatch Tunnel 구성 페이지에서 CA 인증서를 다운로드할 수 있습니다.

Android에 대해 디바이스 규정 준수 검사가 구성되면 CA 템플릿에 주체 이름 CN=UDID가 포함되어 있는지 확인하거나 UDID를 포함하도록 SAN 유형을 설정합니다. SAN 유형 [DNS]를 선택합니다. 값은 UDID={DeviceUid}여야 합니다.


8 [프로파일 연결] 페이지에서 기존 Android용 AirWatch Tunnel VPN 프로파일을 연결하거나 새프로파일을 만듭니다.

이 단계에서 프로파일을 만드는 경우에도 해당 프로파일을 게시해야 합니다. AirWatch에서Android 프로파일 구성을 참조하십시오.

9 (선택 사항) [기타] 페이지에서 애플리케이션별 Tunnel 구성 요소에 대한 액세스 로그를 사용하도록 설정합니다. 다음을 클릭합니다.

AirWatch Tunnel 서버를 설치하기 전에 이러한 로그를 사용하도록 설정해야 합니다.

10 구성 요약을 검토하고 저장을 클릭합니다.

그러면 시스템 설정 구성 페이지로 이동합니다.

11 일반 탭을 선택하고 Tunnel 가상 장치를 다운로드합니다.

VMware Access Point를 사용하여 Tunnel 서버를 배포할 수 있습니다.

후속 작업

AirWatch Tunnel 서버를 설치합니다. 지침은 AirWatch Resources 웹 사이트에서 VMwareAirWatch Tunnel 가이드를 참조하십시오.

Android용 애플리케이션별 Tunnel 프로파일 구성

AirWatch Tunnel 애플리케이션별 Tunnel 구성 요소를 구성한 후에는 Android VPN 프로파일을 구성하고 해당 프로파일에 버전을 추가할 수 있습니다.

프로시저

1 AirWatch 관리 콘솔에서 디바이스 > 프로파일 > 프로파일 추가로 이동하여 Android 또는Android for Work를 선택합니다.

2 Android에 대한 [일반] 설정(아직 설정되지 않은 경우)을 구성합니다.

3 왼쪽 열에서 VPN을 선택하고 구성을 클릭합니다.


132 VMware, Inc.

4 VPN 연결 정보를 완료합니다.

옵션 설명

연결 유형 AirWatch Tunnel을 선택합니다.

연결 이름 이 연결의 이름을 입력합니다. 예를 들어 AndroidSSO 구성을 입력합니다.

서버 AirWatch Tunnel 서버 URL이 자동으로 입력됩니다.

애플리케이션별 VPN 규칙 애플리케이션별 VPN 규칙 확인란을 선택합니다.

5 버전 추가를 클릭합니다.


후속 작업

Android용 모바일 SSO를 사용하여 액세스할 수 있는 Android 애플리케이션에 대해 애플리케이션별VPN을 사용하도록 설정합니다. “Android 애플리케이션에 대한 애플리케이션별 VPN 사용,”(133페이지)의 내용을 참조하십시오.

Android 애플리케이션에 대한 애플리케이션별 VPN 사용

애플리케이션별 VPN 프로파일 설정은 VMware Identity Manager Android용 모바일 SSO를 통해액세스하는 Android 애플리케이션에 사용됩니다.

필수 조건

n 애플리케이션별 Tunnel 구성 요소로 구성된 AirWatch Tunnel 설치

n Android VPN 프로파일 생성

프로시저

1 AirWatch 관리 콘솔에서 애플리케이션 및 설명서 > 애플리케이션 > 목록 보기로 이동합니다.

2 [내부] 탭을 선택합니다.

3 애플리케이션 추가를 선택하고 애플리케이션을 추가합니다.

4 저장 및 할당을 클릭합니다.

5 [할당] 페이지에서 할당 추가를 선택하고 [고급] 섹션 애플리케이션별 VPN 프로파일 드롭다운 메뉴에서 생성한 Android VPN 프로파일을 선택합니다.


Android용 모바일 SSO를 사용하여 액세스할 수 있는 모든 Android 애플리케이션에 대해 애플리케이션별 VPN을 사용하도록 설정합니다. 애플리케이션 추가 또는 편집에 대한 자세한 내용은AirWatch Resources 웹 사이트에서 VMware AirWatch 모바일 애플리케이션 관리 가이드를참조하십시오.

후속 작업

네트워크 트래픽 규칙을 만듭니다. “AirWatch에서 네트워크 트래픽 규칙 구성,”(133 페이지)의 내용을 참조하십시오.

AirWatch에서 네트워크 트래픽 규칙 구성

AirWatch Tunnel 클라이언트가 Android 디바이스용 HTTPS 프록시로 트래픽을 라우팅하도록 네트워크 트래픽 규칙을 구성합니다. 트래픽 규칙에 대해 애플리케이션별 VPN 옵션으로 구성된 Android 애플리케이션을 나열하고 프록시 서버 주소 및 destination 호스트 이름을 구성합니다.

네트워크 트래픽 규칙 생성에 대한 자세한 내용은 AirWatch Resources 웹 사이트에서 VMwareAirWatch Tunnel 가이드를 참조하십시오.


VMware, Inc. 133

필수 조건

n 애플리케이션별 Tunnel 구성 요소로 구성된 AirWatch Tunnel 옵션 설치

n Android VPN 프로파일 생성

n 네트워크 트래픽 규칙에 추가된 각 Android 애플리케이션에 대해 애플리케이션별 VPN을 사용하도록 설정

프로시저

1 AirWatch 관리 콘솔에서 시스템 > 엔터프라이즈 통합 > AirWatch Tunnel > 네트워크 트래픽 규칙으로 이동합니다.

2 AirWatch Tunnel 가이드에 설명된 대로 네트워크 트래픽 규칙 설정을 구성합니다. [네트워크 트래픽 규칙] 페이지에서 Android용 모바일 SSO 구성에 특정한 다음 설정을 구성합니다.

a [애플리케이션] 열에서 애플리케이션별 VPN 프로파일에 대해 구성된 Android 애플리케이션을추가합니다.

b [작업] 열에서 [프록시]를 선택하고 HTTPS 프록시 정보를 지정합니다. VMware IdentityManager 호스트 이름 및 포트를 입력합니다. 예: login.example.com:5262.

참고 VMware Identity Manager 호스트에 대한 외부 액세스를 제공하는 경우 방화벽 포트5262가 열려 있거나 포트 5262 트래픽이 DMZ에서 역방향 프록시를 통해 프록시되어야 합니다.

c [대상 호스트 이름] 열에 대상 VMware Identity Manager 호스트 이름을 입력합니다. 예:myco.example.com. AirWatch Tunnel 클라이언트는 VMware Identity Manager 호스트 이름에서 HTTPS 프록시로 트래픽을 라우팅합니다.


후속 작업

다음 규칙을 게시합니다. 규칙이 게시되면 디바이스는 VPN 프로파일 업데이트를 수신하며 AirWatchTunnel 애플리케이션은 SSO를 사용하도록 구성됩니다.

VMware Identity Manager 관리 콘솔로 이동하여 [기본 제공 ID 제공자] 페이지에서 Android용 모바일 SSO를 구성합니다. GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CD#GUID-3D7A6C83-9644-42AE-94BD-003EAF3718CD의 내용을 참조하십시오.


134 VMware, Inc.

AirWatch 관리 디바이스에 대한 규정 준수 검사 사용사용자가 AirWatch Agent 애플리케이션을 통해 디바이스를 등록한 경우 규정 준수를 평가하는 데 사용되는 데이터가 포함된 샘플이 스케줄에 따라 전송됩니다. 이 샘플 데이터 평가에서는 AirWatch 콘솔에서 관리자가 설정한 규정 준수 규칙을 디바이스가 준수하는지 확인합니다. 디바이스가 규정을 벗어난경우 AirWatch 콘솔에 구성된 해당 작업이 수행됩니다.

VMware Identity Manager에는 사용자가 디바이스에서 로그인할 때 AirWatch 서버에서 디바이스의 규정 준수 상태를 검사하도록 구성할 수 있는 액세스 정책 옵션이 있습니다. 규정 준수 검사를 사용하면 디바이스가 규정을 벗어난 경우에 사용자가 애플리케이션에 로그인하거나 Single Sign-On을 통해VMware Identity Manager 포털에 들어가는 것을 차단할 수 있습니다. 디바이스가 다시 규정을 준수하게 되면 로그인 기능이 복원됩니다.

디바이스가 손상된 경우 Workspace ONE 애플리케이션이 자동으로 로그아웃되고 애플리케이션에 대한 액세스를 차단합니다. 디바이스가 어댑티브 관리를 통해 등록된 경우 AirWatch 콘솔을 통해 실행되는 엔터프라이즈 지우기 명령이 디바이스를 등록 해제하고 관리되는 애플리케이션을 디바이스에서 제거합니다. 관리되지 않는 애플리케이션은 제거되지 않습니다.

AirWatch 규정 준수 정책에 대한 자세한 내용은 AirWatch Resources 웹 사이트에서 VMwareAirWatch 모바일 디바이스 관리 가이드를 참조하십시오.

규정 준수 검사를 위한 액세스 정책 규칙 구성

VMware Identity Manager에서 AirWatch 관리 디바이스가 AirWatch 디바이스 규정 준수 정책을준수하는지 확인할 수 있도록 규정 준수 검사를 요구하는 액세스 정책 규칙을 구성합니다. 기본 제공 ID제공자에서 규정 준수 검사를 사용하도록 설정할 수 있습니다. 규정 준수 검사를 사용하도록 설정한 경우AirWatch에서 관리하는 디바이스에 대해 인증 및 디바이스 규정 준수 검사를 요구하는 액세스 정책 규칙을 만듭니다.

규정 준수 검사 정책 규칙은 iOS용 모바일 SSO, Android용 모바일 SSO 및 인증서 클라우드 배포와의 인증 체인에서 작동합니다. 사용할 인증 방법은 정책 규칙 구성의 디바이스 규정 준수 옵션 앞에 나와야 합니다.

필수 조건

인증 방법이 기본 제공 ID 제공자에 구성되어 있습니다.

프로시저

1 관리 콘솔의 [ID 및 액세스 관리] 탭에서 설정 > AirWatch를 선택합니다.

2 [AirWatch] 페이지의 [규정 준수 검사] 섹션에서 사용을 선택합니다.


4 [ID 및 액세스 관리] 탭에서 관리 > 정책으로 이동합니다.

5 편집할 액세스 정책을 선택합니다.

6 [정책 규칙] 섹션에서 편집할 정책을 선택합니다.

7 사용해야 하는 인증 방법의 드롭다운 메뉴에서 +를 클릭한 후 사용할 인증 방법을 선택합니다.

8 사용해야 하는 인증 방법의 두 번째 드롭다운 메뉴에서 디바이스 규정 준수(AirWatch 사용)를 선택합니다.

9 (선택 사항) [사용자 지정 오류 메시지]의 메시지 텍스트 텍스트 상자에 디바이스가 규정을 준수하지않아 사용자 인증에 실패한 경우 표시되는 사용자 지정 메시지를 만듭니다. 사용자 지정 오류 링크 텍스트 상자에서 메시지에 링크를 추가할 수 있습니다.


VMware, Inc. 135



136 VMware, Inc.

색인

기호·숫자2단계 인증 68

AActive Directory

Windows 통합 인증 13배포 72통합 15특성 매핑 21

Active Directory CA(인증 기관) 123Active Directory 글로벌 카탈로그 15Active Directory 암호 변경 27Active Directory 암호 재설정 27Active Directory 추가 23Active Directory와 통합 15AD 암호 변경 27AirWatch

iOS 프로파일 구성 126, 128관리자 계정 117디바이스 규정 준수 검사 135인증서 117통합 카탈로그 사용 119

AirWatch API 키 116AirWatch Cloud Connector 업그레이

드 122AirWatch Cloud Connector 인증 120AirWatch Cloud 암호 인증 71AirWatch Tunnel, 구성 131AirWatch 구성 115AirWatch 규정 준수 검사 135AirWatch 디렉토리, 사용자 특성 120AirWatch 업그레이드, 업데이트 서비스 122AirWatch 인증 기관, OCSP 127AirWatch 인증 기관 내보내기 127AirWatch 인증 기관 사용 127AirWatch 인증 기관,사용 127AirWatch 통합 115AirWatch 통합 구성 118AirWatch, Identity Manager와 통합 115AirWatch, 구성 115AirWatch,VMware Identity Manager에서

설정 118AirWatch,네트워크 트래픽 규칙 133AirWatch에 대한 CA(인증 기관), Kerberos

인증 123

AirWatch에 대한 인증서 템플릿,Kerberos 124

AirWatch에서의 규정 준수 검사 135AirWatch의 Apple iOS 프로파일 128Android 인증, 네트워크 트래픽 규칙 133Android, Single Sign-On 130android, 애플리케이션별 VPN 133Android용 모바일 SSO, 구현 129Android용 애플리케이션별 tunnel 프로파일

구성 132API 키 115, 116AWCA 127

CCA(인증 기관), 스마트 카드 65Chrome 58Citrix 게시된 애플리케이션, 사용 98

DDNS 서비스 위치 조회 17, 19domain_krb.properties 문제 해결 20domain_krb.properties 파일 17, 19

FFirefox 57

IICA 속성 103ID 및 액세스 관리 세팅 10ID 제공자

Workspace 71기본 제공 69단일 로그아웃 72액세스 정책과의 관계 77커넥터 53, 74타사 53, 72, 74, 100

ID 제공자 선택, 구성 72ID 제공자 인스턴스, 선택 74ID 제공자 추가 버튼 72Internet Explorer 56iOS Kerberos 인증 54iOS 디바이스 프로파일 구성 126iOS용 모바일 SSO 122IP 범위 74

VMware, Inc. 137

JJust-in-Time 디렉토리 45, 50Just-in-Time 사용자 프로비저닝

SAML 어설션 48개요 45구성 48디렉토리 삭제 50로컬 그룹 46사용 안 함 49사용자 특성 47오류 메시지 50준비 46

KKerberos

AirWatch 구성 123Windows 인증 54구성 55구성할 브라우저 56규정 준수 검사 135기본 제공 122

Kerberos, IWA를 사용하여 구현 55kerberos에 대한 브라우저 56

LLDAP 디렉토리제한 사항 31통합 31, 32

LDAP를 통한 Active Directory 13, 23

OOneTouch 알림 68

RRADIUS 구성 61RADIUS 서버 61RADIUS 인증 60REST API 104REST API 키 116RSA SecurID 서버 59RSA 어댑티브 인증, 사용자 등록 62RSA 어댑티브 인증 구성 63RSA 어댑티브 인증, 구성 63runtime-config.properties 파일 19

SSAML메타데이터 100인증서 100타사 ID 제공자 72

SAML 어설션, Just-in-Time 48SecurID, 구성 59siteaware.subnet 속성 19

SMS 68SRV 조회 17, 19

TThinApp 경고 103ThinApp 패키지, 사용 98TOTP 68

UUPN 65userName 86

VView, 사용 98VMware Verify보안 토큰 68재설정 87

VMware Verify 재설정 69VMware Verify,2단계 인증 68VMware Verify,등록 취소 69VMware Verify,브랜딩 113VMware Verify,사용 68VMware Verify,사용자 등록 69VMware Verify에 사용자 등록 69

WWindows 통합 인증 23Workspace IDP 71Workspace 상태 모니터링 108Workspace 이미지 95

ㄱ감사 이벤트 보고서 109개념 증명 72개요, ID 및 액세스 관리 세팅 10게스트 사용자 85계정 사용 안 함 21관리 콘솔 9관리 콘솔 탐색 9관리자 탭 설명 9관리자,인증 44규정 준수 검사 사용 135규칙 83그룹

Active Directory 85Workspace 88리소스 사용 권한 부여 88, 90멤버 자격 보고서 108사용자 추가 88추가 88그룹 가입, 사용자 87그룹 멤버 자격 보고서 108


138 VMware, Inc.

그룹 이름 86, 87그룹 추가 88글로벌 설정, 도우미 애플리케이션 사용 안

함 101기본 ID 제공자, 구성 70, 71기본 제공 ID 제공자, 사용 70기타 디렉토리 121

ㄴ네트워크 범위, 액세스 정책과의 관계 77, 81,

83

ㄷ다중 도메인 15단일 로그아웃, ID 제공자 72단일 포리스트 Active Directory 15대상 7대시보드 107대역 외 인증 62데이터베이스, 모니터링 108도메인 22도메인 가입, Kerberos 55도메인 동기화, 사용자 87도우미 애플리케이션 101동기화 설정 21동기화 세이프가드, 무시 28디렉토리동기화 세이프가드 28추가 10, 13, 23

디렉토리 서버 그룹 85디렉토리 통합 13디렉토리,AirWatch 121디바이스 사용량 보고서 108

ㄹ라이센스 승인 104라이센스 승인 사용 104라이센싱 승인 104로고, 추가 111로그인 페이지, 사용자 지정 111로그인한 사용자, 수 107로컬 디렉토리

ID 제공자와 연결 41도메인 삭제 42도메인 이름 변경 42도메인 추가 42사용자 특성 42삭제 43생성 38, 39이름 변경 42편집 42

로컬 디렉토리 설정 42로컬 디렉토리에 대한 사용자 특성 39

로컬 사용자사용 안 함 92삭제 92추가 91로컬 사용자 사용 안 함 92로컬 사용자 삭제 92로컬 사용자 추가 91로컬 사용자, 추가 91리소스그룹에 사용 권한 부여 88라이센스 승인 104범주 99, 100사용 권한 부여 90사용 중인 유형 비율 107

리소스 사용 권한 보고서 108리소스 사용량 보고서 108리소스 활동 보고서 108

ㅁ만료된 Active Directory 암호 27모바일 보기, 사용자 지정 112모바일 애플리케이션, 리소스 유형 95

ㅂ버전 108범주삭제 100생성 99적용 99제거 100보고서디바이스 사용량 108리소스 활동 108역할 108보안 질문 62브라우저, 지원됨 9브랜딩, VMware Verify 113브랜딩 사용자 지정 111

ㅅ사용 권한, 사용자 87사용 안 함

Citrix Receiver 다운로드 101Horizon Client 다운로드 101사용자

Active Directory 85사용 권한 87사용자 특성 21사용자 보고서 108사용자 이름 86, 87사용자 저장소 72사용자 정보 보기 87사용자 지정 브랜딩, 설정 10

색인

VMware, Inc. 139

사용자 지정 오류 메시지 82사용자 지정 특성 이름, 사용 안 함 21사용자 특성, 설정 10사용자 특성 페이지 21사용자 특성, AirWatch 디렉토리 120사용자 포털, 사용자 지정 111사용자 프로파일 87설정, 카탈로그 100세이프가드, 디렉토리 동기화 28세이프가드 설정,무시 28세이프가드, 임계값 28스마트 카드 CA(인증 기관) 65스마트 카드 인증 65스마트 카드 인증서 해지 66스마트 카드, 구성 66승인 104시스템 ID 제공자 37시스템 도메인 37시스템 디렉토리 37시스템 정보 108시스템 진단 대시보드 108

ㅇ암호, 만료됨 27암호 알림 93암호 이력, 설정 93암호 정책 93암호(로컬 디렉토리), admin 44애플리케이션모바일 96범주 100웹 96애플리케이션 인기도 107액세스 거부 메시지, 구성 75액세스 이벤트 109액세스 정책

ID 제공자와의 관계 77, 81, 83TTL 75, 77, 79네트워크 75, 77, 79웹 애플리케이션 관련 79, 81, 83인증 강도 75최소 인증 점수 77, 79클라이언트 유형 75

액세스 정책 집합기본값 75, 77, 81, 83생성 81웹 애플리케이션 관련 79, 81, 83포털 77, 81역할, 사용자 87역할 할당 보고서 108영구 쿠키, 사용 84영구 쿠키 사용 84

원격 애플리케이션 액세스, 클라이언트 101웹 애플리케이션 95, 96웹 앱 추가 97인증

Android 애플리케이션에 대한 애플리케이션별 VPN 133

RADIUS 60인증 방법

RSA 어댑티브 인증 62액세스 정책과의 관계 77, 81, 83정책에 추가 75인증 방법 순서 75인증 오류 메시지 82인증 체인 77인증, AirWatch Cloud Connector 120인증, Android용 모바일 SSO 129인증,AirWatch 암호 71인증,Android 프로파일 132

ㅈ작업자 13장치 상태 108재인증 세션 시간, 구성 75정책, 편집 83정책 규칙규정 준수 검사 135인증 체인 77

ㅊ최소 암호 길이 93최종 사용자,Workspace ONE 9카탈로그관리 95웹 앱 추가 97

카탈로그 설정, Citrix 게시된 애플리케이션 103

카탈로그, View 98카탈로그,Citrix 게시된 애플리케이션 98카탈로그,ThinApp 패키지 98커넥터, 활성화 코드 10쿠키, 영구 83키 배포 센터 54

ㅌ타사 ID 제공자 72태블릿 보기, 사용자 지정 112터널, AirWatch 130통합 카탈로그 사용 118통합 카탈로그, AirWatch에 사용 119특성기본값 21매핑 21


140 VMware, Inc.

ㅍ포털 페이지, 사용자 지정 112포털 페이지 사용자 지정 112

ㅎ해지 검사, 스마트 카드 66환경설정, 영구 쿠키 83

색인

VMware, Inc. 141


142 VMware, Inc.

VMware Identity Manager 관리...[사용자 지정 브랜딩] 페이지에서 관리 콘솔...

Documents

Transcript of VMware Identity Manager 관리...[사용자 지정 브랜딩] 페이지에서 관리 콘솔...