search

Org2Org 연동

circle-info

Okta 공식문서

hashtag
1. SSO 통합 가능

한 조직에서 다른 조직으로 사용자를 푸시/일치하는데 사용됩니다. 이 앱을 구성하려면 사용자는 SAML을 통해 Spoke 조직(Source)에서 Hub 조직(Target)으로 인증됩니다.

Org2Org앱은 Spoke 조직(Source)에 생성되야합니다.

  • Okta 대시보드 로그인 (IdP-initiated SSO)

  • JIT(Just In Time) Provisioning

hashtag
2. Org2Org 지원되는 기능

circle-exclamation

주요 사항

  • 사용자는 Org2Org와 AD에 동시에 소싱될 수 없습니다.

  • Org2Org 통합은 Developer Edition에서는 사용할 수 없습니다. Developer Edition에서 기능 테스트를 해야하는 경우, Okta Support팀에 문의해야합니다.

기능
설명

새로운 사용자 가져오기

  • 연결된 조직에 생성된 사용자를 import하여 생성할 수 있습니다.

프로파일 업데이트 가져오기

  • 사용자 프로파일에 업데이트 된 정보를 연결된 조직에서 import하여 적용할 수 있습니다.

사용자 스키마 가져오기

  • 연결된 조직에서 더 많은 사용자 정보를 가져옵니다.

새로운 사용자 푸시

  • 연결된 조직에 사용자를 푸시할 수 있습니다.

비밀번호 업데이트 푸시

  • 연결된 조직에 비밀번호를 푸시할 수 있습니다.

  • JIT를 통해 프로비저닝 된 사용자나 외부 IdP에서 사용자를 Federate한 경우의 사용자는 적용할 수 없습니다.

프로파일 업데이트 푸시

  • 연결된 조직에 프로파일 정보를 푸시할 수 있습니다.

사용자 비활성화 푸시

  • 연결된 조직에 Deactive 또는 Suspend된 계정을 재활성화할 수 있습니다.

  • Target 조직에서 SAML Identity provider 구성할때 설정이 필요합니다.

푸시 그룹

  • 그룹과 해당 구성원을 연결된 조직으로 푸시할 수 있습니다.

프로파일 소싱

  • 연결된 조직을 프로필 소스로 만듭니다.

hashtag
3. [Source Org] Org2Org 앱 생성

경로: Application ➡ Application ➡ Browser App Catalog ➡ Okta Org2Org 선택 ➡ Add Integration

  1. Application label: 앱에 원하는 이름을 설정합니다.

  2. Base URI: 프로비저닝 또는 SWA 사용시 요구됩니다. target Org의 도메인 주소를 입력합니다.

circle-info

  • 생성된 앱의 Sign on 탭으로 가서 로그인 방식을 "SAML 2.0"으로 설정한 후, "View SAML setup instruction" 페이지를 열어놓습니다.

hashtag
4. [Target Org] SAML Identity Provider 구성

circle-exclamation

  • Source 조직에 Org2Org 앱을 먼저 생성한 뒤, SAML IdP를 구성해야합니다.

경로: Security ➡ Identity Providers ➡ Add identity provider

General settings

  1. Name: 등록한 IdP에 대한 이름을 설정합니다.

Authentication Settings

  1. IdP Usage: 해당 IdP의 사용자를 평가하는 방법을 지정합니다. Org2Org를 사용하기 위해서는 해당 설정을 "SSO Only"로 설정합니다.

    • SSO Only: Okta는 IdP에서 들어오는 요청을 비밀번호(지식 요소)로 평가합니다.

    • Factor Only: Okta는 해당 IdP에서 들어오는 요청을 소유 요소로 평가합니다.

Account matching with IdP Username

  1. IdP username: IdP 사용자 프로필에 정의된 속성의 Okta Expression Language를 사용하여 SAML Assertion에서 주체의 사용자 이름을 구성하는 방법을 지정합니다.

  2. Filter: IdP가 의도하지 않거나 권한이 있는 사용자를 인증하지 못하도록 IdP 사용자 이름을 필터링하는 데 사용되는 선택적 정규식 패턴입니다.

    • Only allow usernames that match defined RegEx Pattern: 표시되는 텍스트 필드의 정규식 패턴과 일치하는 변환된 사용자 이름을 가진 사용자만 인증됩니다.

  3. Match against: IdP 사용자 이름과 일치시킬 사용자의 속성을 선택합니다.

  4. Account Link Policy: Okta가 사용자의 IdP 계정을 일치하는 Okta 계정과 자동으로 연결할지 여부를 설정합니다.

  5. Auto-Link Restrictions: 자동 계정 연결이 활성화된 경우, 지정된 사용자 그룹에 대한 자동 연결을 제한할지 여부를 설정할 수 있습니다.

    • Account Link Policy에서 "Automatic"으로 설정된 경우 해당 필드가 활성화됩니다.

  6. If no match is found: Okta의 기존 사용자와 일치하지 않는 인증 응답에 대한 작업을 설정합니다.

    • Create new user(JIT): 조직에 사용자가 없으면 사용자 프로필을 새로 생성합니다.

    • Redirect to Okta sign-in: Okta Sign in 페이지로 리다이렉트합니다.

JIT Settings (optional): If no match is found에서 "Create new user(JIT)"로 설정된 경우 해당 필드가 활성화됩니다.

  1. Profile Source: IdP가 사용자 프로필 속성에 대한 정보 소스 역할을 해야 하는지 여부를 결정합니다.

  2. Reactivation Settings: Deactive 또는 Suspend된 사용자 중에 재활성화 여부를 결정합니다. 해당 필드는 Profile Source에서 'Update attributes for existing users'가 설정된 경우 해당 필드가 활성화됩니다.

  3. Group Assignments: 프로비저닝 중 어떤 그룹에 지정할 것인지 설정할 수 있습니다.

SAML Protocol Settings

  1. IdP Issuer URI: 'View SAML setup Instruction'에서 복사한 값을 넣습니다.

  2. IdP Single Sign-On URL: 'View SAML setup Instruction'에서 복사한 값을 넣습니다.

  3. IdP Signature Certificate: 'View SAML setup Instruction'에서 다운로드한 파일을 업로드합니다.

  4. Request Binding: 'HTTP POST'를 선택합니다.

  5. Request Signature: 'Sign SAML Authentication Requests'를 선택합니다.

  6. Request Signature Algorithm: 'SHA 256'을 선택합니다.

  7. Response Signature Verification: 'Response or Assertion'을 선택합니다.

  8. Response Signature Algorithm: 'SHA 256'을 선택합니다.

  9. Destination: SAML 인증 요청에서 전송된 대상 속성입니다. 대상을 입력하지 않고 서명 요청 옵션을 선택하여 인증 요청에 서명하면 Okta는 IdP Single Sign-On URL 필드에 지정된 URL로 대상 속성을 자동으로 보냅니다.

  10. Okta Assertion Consumer Service(ACS) URL: 신뢰 관련 ACS URL을 사용할지 아니면 조직 전체에서 공유되는 URL을 사용할지 지정합니다.

  11. Max Clock Skew: SAML Assertion의 유효한 기간을 설정합니다.

hashtag
5. 최종 사용자 경험

PreviousFortinet Fortigate SSL VPNNext트러블슈팅

Last updated