인증 프롬프트 시나리오

장치에서 자격 증명을 입력하여 Secure Hub에 인증하라는 메시지가 다양한 시나리오에서 사용자에게 표시됩니다.

시나리오는 다음과 같은 요인에 따라 달라집니다.

  • Endpoint Management 콘솔 설정의 MDX 앱 정책 및 클라이언트 속성 구성
  • 인증이 오프라인 또는 온라인으로 이루어지는지 여부(장치가 Endpoint Management로의 네트워크 연결을 필요로 함)

또한 사용자가 입력하는 자격 증명의 종류(Active Directory 암호, Citrix PIN 또는 암호, 일회용 암호, 지문 인증(iOS에서 일명 Touch ID))도 인증 유형 및 인증 빈도에 따라 달라집니다.

인증 프롬프트가 표시되는 시나리오부터 살펴보겠습니다.

  • 장치 다시 시작: 사용자가 장치를 다시 시작하면 Secure Hub에서 재인증해야 합니다.

  • 오프라인 비활성화(시간 제한): 앱 암호 MDX 정책이 기본적으로 사용하도록 설정된 경우 비활성화 타이머라는 Endpoint Management 클라이언트 속성이 작동하게 됩니다. 비활성화 타이머는 보안 컨테이너를 사용하는 앱에서 사용자 활동 없이 경과할 수 있는 시간의 길이를 제한합니다.

비활성화 타이머가 만료되면 사용자는 장치에서 보안 컨테이너에 인증해야 합니다. 예를 들어 사용자가 장치를 내려 놓고 떠나간 경우 비활성화 타이머가 만료되면 다른 사람이 해당 장치를 주워서 컨테이너 내의 민감한 데이터에 액세스할 수 없습니다. 비활성화 타이머 클라이언트 속성은 Endpoint Management 콘솔에서 설정합니다. 기본값은 15분입니다. 앱 암호를 켜짐으로 설정하고 비활성화 타이머 클라이언트 속성이 작동하면 대부분의 일반적인 인증 프롬프트 시나리오에 대응할 수 있습니다.

  • Secure Hub에서 로그오프: 사용자가 Secure Hub에서 로그오프하는 경우 사용자는 다음번에 Secure Hub 또는 MDX 앱에 액세스할 때 앱 암호 MDX 정책 및 비활성화 타이머 상태에 의해 앱에서 암호를 요구하면 다시 인증해야 합니다.

  • 최대 오프라인 기간: 이 시나리오는 앱별 MDX 정책으로 구동되는 개별 앱에 관한 것입니다. 최대 오프라인 기간 MDX 정책의 기본 설정은 3일입니다. Secure Hub에 온라인으로 인증하지 않고 앱이 실행될 수 있는 기간이 경과하면 앱 권한 확인 및 정책 새로 고침을 위해 Endpoint Management 체크인이 필요합니다. 이 체크인이 발생하면 앱이 온라인 인증을 위해 Secure Hub를 트리거합니다. MDX 앱에 액세스하려면 먼저 사용자가 재인증해야 합니다.

최대 오프라인 기간과 활성 폴링 기간 MDX 정책 간의 관계에 유의하십시오.

  • 활성 폴링 기간은 앱 잠금, 앱 초기화 등의 보안 작업을 수행하기 위해 앱이 Endpoint Management에 체크인하는 간격입니다. 또한 앱은 업데이트된 앱 정책이 있는지 확인합니다.
  • 활성 폴링 기간 정책을 통해 성공적으로 정책을 확인한 후에 최대 오프라인 기간 타이머가 재설정되고 다시 카운트를 시작합니다.

활성 폴링 기간 및 최대 오프라인 기간 만료의 경우 Endpoint Management에 체크인하려면 장치에서 유효한 Citrix Gateway 토큰이 필요합니다. 유효한 Citrix Gateway 토큰이 장치에 있는 경우, 앱은 사용자를 방해하지 않으면서 Endpoint Management에서 새 정책을 가져옵니다. 앱에서 Citrix Gateway 토큰이 필요하면 Secure Hub로 전환되고 Secure Hub에서는 인증 프롬프트가 사용자에게 표시됩니다.

Android 장치에서는 Secure Hub 활동 화면이 현재 앱 화면 바로 위에 열립니다. 하지만 iOS 장치에서는 Secure Hub가 포그라운드로 전환되어야 하므로 현재 앱이 일시적으로 사라집니다.

사용자가 자격 증명을 입력한 후에 Secure Hub는 다시 원래 앱으로 전환됩니다. 이 경우 캐싱된 Active Directory 자격 증명을 허용하거나 클라이언트 인증서가 구성되어 있으면 사용자가 PIN, 암호 또는 지문 인증을 입력할 수 있습니다. 그렇지 않은 경우, 사용자는 완전한 Active Directory 자격 증명을 입력해야 합니다.

다음 Citrix Gateway 정책 목록에 설명된 Citrix Gateway 세션 비활성 또는 강제 세션 시간 제한 정책으로 인해 Citrix ADC 토큰이 유효하지 않게 될 수 있습니다. 사용자가 Secure Hub에 다시 로그온하면 앱을 계속 실행할 수 있습니다.

  • Citrix Gateway 세션 정책: 두 가지 Citrix Gateway 정책은 사용자에게 인증 프롬프트가 표시되는 시점에도 영향을 줍니다. 이러한 경우 사용자는 Endpoint Management에 연결할 수 있도록 Citrix ADC와의 온라인 세션을 만들기 위해 인증합니다.

    • 세션 시간 초과: 설정된 기간 동안 네트워크 활동이 발생하지 않으면 Endpoint Management에 대한 Citrix ADC 세션이 연결 해제됩니다. 기본값은 30분입니다. Citrix Gateway 마법사를 이용해 정책을 구성하는 경우에는 기본값이 1440분입니다. 시간 제한을 넘기면 회사 네트워크에 다시 연결하라는 인증 프롬프트가 사용자에게 표시됩니다.
    • 강제 시간 제한: 켜짐인 경우, 강제 시간 제한 기간이 경과한 후에 Endpoint Management에 대한 Citrix ADC 세션이 연결 해제됩니다. 강제 시간 제한은 설정된 기간 이후에 재인증이 필수로 수행되도록 합니다. 다음에 사용할 때 회사 네트워크에 재연결하기 위해 인증 프롬프트가 사용자에게 표시됩니다. 기본값은 꺼짐입니다. Citrix Gateway 마법사를 이용해 정책을 구성하는 경우에는 기본값이 1440분입니다.

자격 증명 유형

앞의 섹션에서는 사용자에게 인증 프롬프트가 표시되는 시점에 대해 설명했습니다. 이 섹션에서는 사용자가 입력해야 하는 자격 증명의 종류를 살펴봅니다. 장치에서 암호화된 데이터에 대한 액세스 권한을 얻으려면 다양한 인증 방법을 통한 인증이 필요합니다. 처음에 장치를 잠금 해제하려면 기본 컨테이너를 잠금 해제합니다. 그런 후에 컨테이너가 다시 보안되면 액세스 권한을 다시 얻기 위해 보조 컨테이너를 잠금 해제합니다.

참고:

관리되는 앱이라는 용어는 MDX Toolkit에 의해 래핑된 앱을 가리킵니다. 앱 암호 MDX 정책은 기본적으로 사용하도록 설정된 상태로 그대로 두고 비활성화 타이머 클라이언트 속성을 사용합니다.

자격 증명 유형을 결정하는 상황은 다음과 같습니다.

  • 기본 컨테이너 잠금 해제: 기본 컨테이너를 잠금 해제하려면 Active Directory 암호, Citrix PIN 또는 암호, 일회용 암호, Touch ID 또는 지문 ID가 필요합니다.
    • iOS에서 앱이 장치에 설치된 후 사용자가 Secure Hub 또는 관리되는 앱을 처음 여는 경우
    • iOS에서 사용자가 장치를 재시작한 후, Secure Hub를 여는 경우
    • Android에서 Secure Hub가 실행 중이 아닐 때 사용자가 관리되는 앱을 여는 경우
    • Android에서 장치 재시작 등의 이유로 인해 Secure Hub를 재시작하는 경우
  • 보조 컨테이너 잠금 해제: 보조 컨테이너를 잠금 해제하려면 지문 인증(구성된 경우), Citrix PIN 또는 암호, Active Directory 자격 증명이 필요합니다.
    • 비활성화 타이머 만료 이후 사용자가 관리되는 앱을 여는 경우
    • 사용자가 Secure Hub Hub에서 로그오프한 다음 관리되는 앱을 여는 경우

다음 조건에 해당할 경우 두 가지 컨테이너 잠금 해제 상황에 대해 Active Directory 자격 증명이 필요합니다.

  • 사용자가 Corporate 계정에 연결된 암호를 변경하는 경우
  • Endpoint Management 콘솔에서 Citrix PIN(ENABLE_PASSCODE_AUTH 및 ENABLE_PASSWORD_CACHING)을 사용하도록 클라이언트 속성을 설정하지 않은 경우
  • 장치가 자격 증명을 캐싱하지 않거나 장치에 클라이언트 인증서가 없을 때 NetScaler Gateway 세션이 종료되는 경우(세션 시간 제한 또는 강제 시간 제한 정책 타이머가 만료될 때 종료됨)

지문 인증을 사용 설정하면 사용자는 앱이 비활성화되어 오프라인 인증이 필요한 경우에 지문을 사용하여 로그인할 수 있습니다. 사용자가 Secure Hub에 처음 로그인할 때와 장치를 다시 시작할 때에는 여전히 PIN을 입력해야 합니다. 지문 인증 사용에 대한 자세한 내용은 지문 또는 Touch ID 인증을 참조하십시오.

다음 순서도에는 인증 프롬프트가 표시될 때 사용자가 입력해야 하는 자격 증명을 결정하는 흐름이 요약되어 있습니다.

사용자 자격 증명 순서도의 이미지

Secure Hub 화면 전환 정보

앱에서 Secure Hub로 전환된 후 다시 앱으로 전환되어야 하는 상황에도 유의해야 합니다. 전환 과정에서 사용자가 확인해야 할 알림이 표시됩니다. 이 경우 인증은 필요하지 않습니다. 이 상황은 최대 오프라인 기간 및 활성 폴링 기간 MDX 정책에 의해 지정된 대로 Endpoint Management에 체크인하고 Secure Hub를 통해 장치에 푸시되어야 하는 업데이트된 정책을 Endpoint Management가 감지한 후에 발생합니다.

장치 암호의 암호 복잡성(Android 12+)

사용자 지정 암호 요구 사항보다 복잡한 암호가 선호됩니다. 암호 복잡성 수준은 사전 정의된 수준 중 하나입니다. 따라서 최종 사용자는 복잡도 수준이 낮은 암호를 설정할 수 없습니다.

Android 12 이상 기기의 암호 복잡성은 다음과 같습니다.

  • 암호 복잡성 적용: 사용자 지정 암호 요구 사항이 아닌 플랫폼에서 정의한 복잡성 수준의 암호가 필요합니다. Android 12 이상 버전 및 Secure Hub 22.9 이상을 사용하는 장치에만 해당됩니다.
  • 복잡성 수준: 사전 정의된 암호 복잡성 수준입니다.
    • 없음: 비밀번호가 필요하지 않습니다.
    • 낮음: 암호는 다음일 수 있습니다.
      • 패턴
      • 최소 네 개의 숫자로 구성된 PIN
    • 미디어: 암호는 다음일 수 있습니다.
      • 반복되거나(4444) 이어지지(1234) 않는 최소 네 개의 숫자로 이루어진 PIN
      • 최소 네 자 이상의 알파벳
      • 최소 네 자 이상의 영숫자
    • 높음: 암호는 다음일 수 있습니다.
      • 반복되거나(4444) 이어지지(1234) 않는 최소 여덟 개의 숫자로 이루어진 PIN
      • 최소 여섯 자의 알파벳
      • 최소 여섯 자의 영숫자

참고:

  • BYOD 장치의 경우 최소 길이, 필수 문자, 생체 인식 및 고급 규칙과 같은 암호 설정은 Android 12 이상에서 적용되지 않습니다. 대신 암호 복잡성을 사용하십시오.
  • 작업 프로필의 암호 복잡성을 활성화한 경우 장치 측의 암호 복잡성도 활성화해야 합니다.

자세한 내용은 Citrix Endpoint Management 설명서에서 Android Enterprise 설정을 참조하십시오.

인증 프롬프트 시나리오