파생된 자격 증명

파생된 자격 증명은 모바일 장치를 위한 강력한 인증을 제공합니다. 이 자격 증명은 스마트 카드로부터 파생되어 카드가 아닌 모바일 장치에 상주합니다. 스마트 카드는 PIV(Personal Identity Verification) 카드입니다.

파생된 자격 증명은 UPN 같은 사용자 식별자가 포함된 등록 인증서입니다. XenMobile은 자격 증명 공급자로부터 받은 자격 증명을 장치의 보안 저장소에 저장합니다.

XenMobile은 파생된 자격 증명을 장치 등록 및 인증에 사용할 수 있습니다. 파생된 자격 증명을 사용하도록 구성하면 XenMobile이 등록 초대 또는 기타 등록 모드를 지원하지 않습니다. iOS를 등록하는 동안 파생된 자격 증명 앱을 사용할 수 있습니다.

아키텍처

등록을 위해 XenMobile Server는 다음 다이어그램에서와 같이 구성 요소에 연결합니다.

파생된 자격 증명 등록 아키텍처의 다이어그램

  • 장치 등록 도중 Secure Hub는 파생된 자격 증명 앱에서 인증서를 가져옵니다.
  • 파생된 자격 증명 앱은 등록 도중 자격 증명 관리 서버와 통신합니다.
  • 자격 증명 관리 서버와 타사 PKI 공급자에 같거나 다른 서버를 사용할 수 있습니다.
  • XenMobile Server는 타사 PKI 서버에 연결하여 인증서를 가져옵니다.

요구 사항

  • Citrix Secure Hub를 다운로드하고 설치합니다.
  • 파생된 자격 증명 솔루션에 따라 앱을 다운로드하고 구성합니다.

    • Entrust Datacard의 경우:
      • XenMobile에 등록하기 전에 Citrix Derived Credential Manager 앱을 장치에 다운로드하고 설치합니다. Derived Credentials Manager 앱은 Citrix의 ID 공급자 앱입니다. 해당 앱의 로고가 나타납니다. 파생된 자격 증명 앱 로고의 이미지

        참고:

        Citrix Derived Credential Manager 앱은 신규 등록만 지원합니다. 장치 사용자는 재등록해야 합니다.

      • XenMobile Server 버전 10.8 이상.
      • XenMobile Server를 엔터프라이즈 모드에 적합하게 구성해야 합니다.
    • 기타 파생된 자격 증명 공급자: 다른 자격 증명 솔루션 대부분은 XenMobile과 호환될 가능성이 높지만 운영 환경에 배포하기 전에 통합을 테스트하십시오.
  • 자격 증명 공급자 서버에 인증서를 발급하는 기관의 루트 인증서가 있어야 합니다. 이렇게 설정하면 XenMobile이 등록 도중 디지털 서명된 인증서를 수락할 수 있습니다. 인증서 추가에 대한 자세한 내용은 인증서 및 인증을 참조하십시오.
    • 사용자 전자 메일 도메인이 LDAP 도메인과 다른 경우 설정 > LDAP도메인 별칭 설정에 전자 메일 도메인을 포함하십시오. 예를 들어 전자 메일 주소의 도메인이 citrix.com이고 LDAP 도메인 이름은 sample.com인 경우 도메인 별칭sample.com, citrix.com으로 설정하십시오.
    • XenMobile은 공유 장치에서 파생된 자격 증명을 사용하는 것을 지원하지 않습니다.
  • 사용자 ID 인증서:
    • 주체 대체 이름 필드의 사용자 이름은 SubjectAltName 확장의 otherName, rfc822Name 또는 dNSName 필드로 형식 지정되어야 합니다. 다른 필드는 지원되지 않습니다. 주체 대체 이름에 대한 자세한 내용은 RFC(https://www.ietf.org/rfc/rfc5280.txt)를 참조하십시오.
    • 전자 메일 또는 CN에서 주체 필드의 사용자 ID는 지원되지 않습니다.
  • 인증서 인증 또는 인증서와 보안 토큰 인증에 대해 구성된 Citrix Gateway

파생된 자격 증명을 사용하도록 설정

기본적으로 XenMobile 콘솔에는 설정 > 파생된 자격 증명 페이지가 포함되지 않습니다.

파생된 자격 증명에 대한 인터페이스를 사용하려면:

  • 설정 > 서버 속성에서 derived.credentials.enable을 서버 속성으로 추가하고 속성 값을 true로 설정합니다.

서버 속성 구성 화면의 이미지

파생된 자격 증명 구성

여기서는 XenMobile과 통합할 계획인 파생된 자격 증명 공급자에 대한 작동하는 구성이 있는 것으로 가정합니다. 그러면 해당 서버와 통신하도록 XenMobile을 구성할 수 있습니다. 이미 XenMobile에 추가된 파생된 자격 증명 CA 인증서를 선택하거나 인증서를 가져올 수도 있습니다.

해당 CA 인증서에 대한 OCSP(Online Certificate Status Protocol) 지원을 활성화할 수 있습니다. OCSP에 대한 자세한 내용은 PKI 엔터티의 “임의의 CA”를 참조하십시오.

  1. XenMobile 콘솔에서 설정 > iOS용 파생된 자격 증명으로 이동하십시오.

  2. Entrust Datacard의 경우 파생된 자격 증명 공급자 선택에서 기타를 선택합니다. 앱 URL(iOS)dcapp://mode=SecureHub를 입력합니다.

    파생된 자격 증명 구성 화면의 이미지

  3. 선택적 매개 변수: 일부 파생된 자격 증명 공급자의 경우 연결을 위한 매개 변수를 제공해야 할 수 있습니다. 예를 들어 공급업체에서 백엔드 서버의 URL을 지정하도록 요구할 수 있습니다. 추가를 클릭하여 매개 변수를 제공합니다.

  4. 파생된 자격 증명의 인증서 지정: 인증서가 이미 XenMobile에 업로드된 경우 발급자 CA에서 해당 인증서를 선택합니다. 그렇지 않은 경우에는 가져오기를 클릭하여 인증서를 추가합니다. 인증서 가져오기 대화 상자가 나타납니다.

  5. 인증서 가져오기 대화 상자에서 찾아보기를 클릭하여 인증서로 이동합니다. 그런 다음 찾아보기를 클릭하여 개인 키 파일로 이동합니다.

    파생된 자격 증명 구성 화면의 이미지

  6. 설정을 구성합니다.
    • Citrix Derived Credential Manager 앱의 경우 사용자 식별자 필드주체 대체 이름이고 사용자 식별자 유형userPrincipalName입니다.
    • 다른 파생된 자격 증명 공급자의 경우 해당 공급자에 정보를 요청하십시오.
  7. 원하는 경우 OCSP 응답자를 사용하여 인증서 해제를 확인할 수 있습니다. 보안을 위해 OCSP 응답자를 사용하는 것이 좋습니다. 기본적으로 OSP 확인은 꺼짐입니다.

    • CA 인증서에 대한 OCSP 지원을 활성화하는 경우 사용자 지정 OCSP URL 사용에 대한 옵션을 선택합니다. 기본적으로 XenMobile은 인증서에서 OCSP URL을 추출합니다(해지를 위해 인증서 정의 사용 옵션). 응답자 URL을 지정하려면 사용자 지정 사용을 클릭하고 URL을 입력합니다.
    • 응답자 CA: 응답자 CA에서 인증서를 선택합니다. 또는 가져오기를 클릭한 다음 인증서 가져오기 대화 상자를 사용하여 인증서를 찾습니다.
  8. 저장을 클릭합니다. 파생된 자격 증명 사용 대화 상자가 나타납니다.

    파생된 자격 증명 구성 화면의 이미지

    • 파생된 자격 증명 구성을 사용하도록 설정하려면 저장을 클릭합니다. 파생된 자격 증명을 사용하려면 등록 설정도 구성해야 합니다.

    • 파생된 자격 증명 구성을 사용하도록 설정한 다음 곧바로 설정 > 등록으로 이동하려면 저장하고 등록으로 이동을 클릭하십시오.

  9. 등록에 파생된 자격 증명을 사용하도록 설정하려면: 설정 > 등록 페이지의 고급 등록 아래에서 파생된 자격 증명(iOS 전용)을 선택하고 사용을 클릭합니다.

    등록 구성 화면의 이미지

  10. 확인 대화 상자가 나타납니다. 파생된 자격 증명을 사용하도록 설정하려면 확인란을 선택하고 사용을 클릭합니다.

    등록 구성 화면의 이미지

  11. 파생된 자격 증명 등록에 대한 옵션을 편집하려면 설정 > 등록으로 이동하고 파생된 자격 증명(iOS 전용)을 선택한 다음 편집을 클릭합니다.

파생된 자격 증명을 사용하도록 설정한 후: 장치 등록 보고서의 등록 모드 열에 derived_credentials가 표시됩니다.

중요:

파생된 자격 증명 공급자를 추가한 후 XenMobile Server를 다시 시작합니다.

XenMobile Server에서 Secure Mail 구성

Secure Mail에서 파생된 자격 증명이 올바르게 작동하려면 LDAP 특성 클라이언트 속성을 추가해야 합니다. 클라이언트 속성 추가에 대한 자세한 내용은 클라이언트 속성을 참조하십시오.

클라이언트 속성에 대한 다음 정보를 사용합니다.

  • 키: SEND_LDAP_ATTRIBUTES
  • 값: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

클라이언트 속성 구성 화면의 이미지

iOS 장치에서 Entrust Datacard의 파생된 자격 증명 활성화

참고:

Entrust 웹 사이트를 사용하는 동안 다음을 수행합니다.

  • PIV 카드를 프로그래밍하는 경우 Internet Explorer 브라우저에 Java가 사용되는지 확인합니다.
  • PIV 카드를 변경하는 경우 브라우저 캐시를 지웁니다.
  1. 새로운 스마트 자격 증명을 요청하려면 데스크톱 또는 장치를 사용하여 Entrust 사이트에 로그인합니다. 페이지 하단의 Smart Credential Log In(스마트 자격 증명 로그인) 버튼을 사용하여 로그인할 수 있습니다. 사용자 데스크톱에 부착된 판독기에 스마트 카드를 삽입해야 합니다.

    entrust 로그인 페이지의 이미지

  2. Self-Administration Actions(자체 관리 작업)에서 I’d like to enroll for a derived mobile smart credential(파생된 모바일 스마트 자격 증명 등록)을 선택하고 Done(완료)을 클릭합니다.

    entrust 관리 작업의 이미지

  3. Derived Mobile Smart Credential(파생된 모바일 스마트 자격 증명) 화면에서 Identity Name(ID 이름)을 제공합니다. 사용자는 사용자 이름 또는 ID 번호와 같은 고유 이름을 선택할 수 있습니다.
  4. Derived credential app(파생된 자격 증명 앱) 메뉴에서 Citrix DCAPP를 선택하고 Ok(확인)를 클릭합니다.

    파생된 모바일 스마트 자격 증명의 이미지

    QR 코드 활성화 화면이 나타나고 모바일 장치로 코드를 스캔하라는 메시지가 표시됩니다.

    참고:

    기본적으로 파생된 자격 증명 QR 코드는 3분 후에 만료됩니다.

  5. 장치에서 Derived Credential Manager 앱을 사용하여 QR 코드를 스캔하고 활성화를 완료합니다.

    파생된 모바일 스마트 자격 증명 QR 코드 활성화의 이미지

장치 등록

이 문서의 앞부분에 설명된 설정을 완료하면 사용자가 파생된 자격 증명을 사용하여 장치를 등록할 수 있습니다.

참고:

이 섹션의 스크린샷에는 Entrust Datacard가 예로 사용되었습니다.

  1. Secure Hub를 눌러서 엽니다. 메시지가 나타나면 XenMobile Server FQDN(정규화된 도메인 이름)을 입력하고 Next(다음)를 클릭합니다.
  2. Yes, Enroll(예. 등록하겠습니다)를 클릭합니다. Secure Hub에서 장치 등록이 시작됩니다.

    Secure Hub 등록의 이미지

    XenMobile Server에서 파생된 자격 증명을 지원하는 경우 Secure Hub에 사용자가 Citrix PIN을 생성하고 확인하도록 요청하는 메시지가 표시됩니다.

    Secure Hub PIN 확인의 이미지

    Citrix PIN을 확인하면 파생된 자격 증명 설정 시작 화면이 나타납니다. 지침에 따라 스마트 자격 증명을 활성화합니다.

  3. Scan code(코드 스캔)를 누릅니다. 휴대폰 카메라가 활성화됩니다.

    시작 화면의 이미지

    참고:

    QR 코드를 스캔하려면 카메라와 마이크가 사용되도록 설정되었고 필요한 액세스 권한이 있는지 확인하십시오.

  4. 파생 자격 증명 앱에서 이전 단계에서 만든 QR 코드를 스캔합니다.

    QR 코드 스캔의 이미지

  5. QR 코드를 스캔한 후 Import New Certificate(새 인증서 가져오기) 화면에서 암호 대화 상자가 나타나면 암호를 입력하고 OK(확인)를 클릭합니다.

    인증서 암호의 이미지

    Import New Certificate(새 인증서 가져오기) 화면이 나타나고 필드가 자동으로 채워집니다.

    새 인증서의 이미지

  6. 인증서가 성공적으로 추가되면 Derived Credentials(파생된 자격 증명) 화면에서 Continue to Secure Hub(Secure Hub로 계속)를 클릭합니다.

    등록 시작의 이미지

  7. Secure Hub에서 메시지가 표시되면 새 PIN을 입력합니다.

    PIN 인증 후 Secure Hub가 인증서를 다운로드합니다. 메시지에 따라 등록을 완료합니다.

XenMobile 콘솔에서 장치 정보를 보려면:

  • 관리 > 장치로 이동한 다음 명령 상자를 표시할 장치를 선택합니다. 자세히 표시를 클릭합니다.
  • 분석 > 대시보드로 이동합니다.