search

Authentication Policy

circle-info

Okta 공식문서

Authentication policiesarrow-up-right

hashtag
1. Authentication Policy란?

  • 관리자는 Authentication Policy를 지정하여 사용자가 앱에 로그인 할 때 지정한 인증 조건을 충족하는지 확인하여 로그인을 허용하거나 차단 할 수 있습니다.

  • Authentication Policy에는 다음과 같은 조건을 지정할 수 있습니다.

    1. User Type: 사용자 타입

    2. Group: 그룹

    3. User: 개별 사용자

    4. Device State: 디바이스 상태

    5. Device Platform: 디바이스 플랫폼

    6. Network Zone: 네트워크

    7. Risk: 위험도

    8. Expression Language:

  • Okta Expression Language에 대한 자세한 내용은 세부 내용 페이지로 이동arrow-up-right에서 확인할 수 있습니다.

  • Authentication Policy에 해당 되는 사용자는 해당 정책에 지정한 조건은 모두 충족해야 합니다.

  • 사용자가 인증을 성공한 후 재인증은 언제 받을 것인지 또는 로그인 시도할때 마다 인증을 받을 것인지 설정할 수 있습니다.

  • 각 앱에 따라 고유의 정책을 만들어서 사용할 수도 있고, 여러 앱과 정책을 복사하여 사용할 수도 있습니다.

  • Office 365와 같은 특정 앱의 경우, 고유 정책을 따로 갖기 때문에 복사 및 합병할 수 없습니다. 고유 정책을 가진 Application: Okta Admin Console, O365, Radius

hashtag
2. Authentication Policy 생성

hashtag
경로: Security ➡ Authentication Policy ➡ Add Policy

  1. Name: 정책 이름을 설정합니다.

  2. Description: 정책에 대한 설명입니다.

hashtag
3. 생성된 정책에 규칙 생성

hashtag
경로: Security ➡ Authentication Policy ➡ 규칙을 생성할 정책 선택 ➡ Add rule

  1. Rule name: 규칙의 이름을 설정합니다.

  2. User's user type is: 규칙을 사용자의 프로파일 유형에 따라 적용할 수 있습니다.

  3. User's group membership includes: 어떤 그룹에 규칙을 적용할 것인지 설정할 수 있습니다.

  4. User is: 개별 사용자를 지정할 수 있습니다.

  1. Device state is: Okta에 Device가 등록되었는지 여부에 따라 규칙을 적용할 수 있습니다. Any, Registered 중 선택할 수 있습니다. Registered를 선택하게되면 두가지 옵션이 추가로 나타납니다.

Registered 선택시 나타나는 옵션
설명

Device management is

(Device 관리 여부)

등록된 장치 상태를 선택한 경우 타사 장치 관리 솔루션에서 관리하는 장치에만 규칙이 적용될지 여부를 표시합니다.

Device assurance policy is

(Device assurance policy의 정책 설정)

Device assurance policy에 등록된 정책을 선택하여 설정할 수 있습니다.

  1. Device platform is: Android, iOS, macOS, Windows 중 어떤 Device Platform에 규칙을 적용할 것인지 설정할 수 있습니다.

  1. User's IP is: 어떤 네트워크에서 접속을 허용할 것인지 정할 수 있습니다. Anywhere, In zone, Not in zone 중에 선택할 수 있습니다.

    • In Zone, Not in zone을 선택하려면 네트워크에서 먼저 Network Zone을 생성해야 사용할 수 있습니다.

    • 세부 내용 페이지로 이동을 클릭하시면 Network Zone에 대한 자세한 내용을 볼 수 있습니다.

  1. Risk is(Access 허용에서만 적용 가능): Any, Low, Midium, High로 설정할 수 있습니다.

  1. The following custom expression is true: Okta의 Expression Language로 고급 설정을 할 수 있습니다.

  1. Access is: 위에 설정한 조건에 만족하면 허용할 것인지 차단할 것인지 설정할 수 있습니다.

접근 설정
내용

Denied(차단)

  • 차단을 선택 시, 11번부터 14번의 설정은 하지 않습니다.

Allow after successful authentication (허용)

  • 허용을 선택 시, 11번부터 14번에 대해서 설정해야합니다.

  1. User must authenticate with: 사용자의 인증 수단을 선택할 수 있습니다.

    • 인증 수단 선택에 대해서 자세한 내용이 필요하시다면, 인증 시나리오를 통해 확인하실 수 있습니다.

인증 수단 선택
내용

--1 factor type--

Password / IdP

사용자는 비밀번호를 이용해서 인증합니다.

Possession Factor

사용자는 소유 기반의 인증 수단(예: 이메일, Okta verify 푸시 알림, 코드 입력, 핸드폰(음성통화/문자))을 이용해서 인증합니다.

Any 1 factor type / IdP

사용자는 한가지의 인증 수단을 이용해서 인증합니다.

--2 factor type--

Password / IdP + Another factor

사용자는 비밀번호를 포함한 추가 인증 수단을 이용해서 인증합니다.

Any 2 factor types

사용자는 어떤 인증 수단이든 상관없이 두가지 인증 수단을 이용해서 인증합니다.

  1. Possession factor constraints are: 소유기반 인증 수단 중에서 다음 조건을 충족해야 하는 인증 수단을 지정합니다. 해당 옵션은 한가지 요소 인증 방식(Password, Any 1 factor type, Any 1 factor type/IdP)을 선택하면 사용할 수가 없습니다.

설정값
내용
인증 수단

Phishing-resistant

  • 데이터가 가짜 어플리케이션이나 웹사이트에 공개되는 것을 감지하고 방지합니다.

  • 사용자가 로그인할 때 실제로 신뢰할 수 있는 서버와 통신하는지를 확인하여 피싱 공격을 예방하는 기능입니다.

  • FIDO2(WebAuthn)Okta Verify의 FastPass는 해당 조건에 충족하는 인증 수단입니다.

  • Okta FastPass

  • WebAuthn (FIDO 2)

Hardware protection

  • 인증에 사용되는 키가 기기의 안전한 하드웨어(TPM, Secure Enclave)에 저장되어야 합니다.

  • 해당 조건에 충족하는 인증 수단은 Okta Verify뿐입니다.

  • Okta Verify가 장치의 보안 하드웨어에 키를 저장할 수 없는 경우 소프트웨어 저장소를 사용하는데, 이러한 경우 Okta Verify는 하드웨어 보호 요구 사항을 충족하지 못합니다.

  • Okta Verify

Exclude phone and email authenticators

  • SMS와 이메일은 인증 요소를 특정 기기에 저장하지 않고 사용하는 소유 인증 요소입니다.

  • Phising resistant 또는 Hardware protection이 선택되면 자동으로 선택됩니다.

  • 문자, 음성통화, 이메일을 제외한 인증 수단 가능

  1. If Okta FastPass is used: 2가지 선택사항 중 선택할 수 있습니다.

선택 사항
내용

The user must approve a prompt in Okta Verify or provide biometrics

FastPass를 사용하면, 사용자는 새로운 프롬프트에 Okta Verify 앱을 통해 승인을 해야 하거나 생체 기반 인증을 제공해야합니다.

The user is not required to approve a prompt in Okta Verify or provide biometrics

FastPass를 사용하면, 사용자는 새로운 프롬프트에 Okta Verify 앱을 통해 승인을 해야 하거나 생체 기반 인증을 필수로 사용하지 않아도 됩니다.

  1. Password re-authentication frquency is: Password/IdP + Another factor를 선택했을때만 나오는 옵션입니다. 일, 시간, 분 단위로 시간을 설정할 수 있습니다.

    • Federation 또는 Social 인증 공급자를 사용하여 인증한 사용자는 재인증 시 비밀번호를 다시 입력할 필요가 없습니다. 예를 들어 사용자가 구글과 같은 외부 인증 공급자를 통해 인증했다면, 이후 재인증이 필요할때 비밀번호를 다시 입력할 필요가 없습니다.

    • Federation 또는 Social 인증 공급자를 사용하지 않고 다른 방식으로 인증한 모든 사용자들은 재인증 시 비밀번호를 다시 입력해야 합니다.

재인증 시도 기간
내용

Every sign-in attempt

사용자는 앱에 접근할 때 마다 인증을 해야합니다.

Never re-authenticate if the session is active

사용자가 인증을 완료한 뒤에는 최대 세션 수명시간이 끝날 때까지는 인증을 하지 않아도 됩니다.

Re-authenticate after

관리자가 정한 시간이 지나면 사용자는 앱에 접근할 때 재인증을 해야합니다.

  1. Re-authentication frequency for all other factors is: 일, 시간, 분 단위로 시간을 설정할 수 있습니다.

재인증 시도 기간
내용

Every sign-in attempt

사용자는 앱에 접근할 때 마다 인증을 해야합니다.

Never re-authenticate if the session is active

사용자가 인증을 완료한 뒤에는 최대 세션 수명시간이 끝날 때까지는 인증을 하지 않아도 됩니다.

Re-authenticate after

관리자가 정한 시간이 지나면 사용자는 앱에 접근할 때 재인증을 해야합니다.

hashtag
4. 정책 우선순위 설정

circle-info

  • 우선 순위 순번이 가장 높은 정책과 규칙이 먼저 적용됩니다.

  • 우선 순위를 수정하려면 순번 옆에 점 표시를 클릭하고 드래그해서 원하는 순번에 놓으면 됩니다.

  • Catch-all Rule은 기본 규칙으로 수정은 할 수 있으나 삭제 및 우선순위 설정이 불가능합니다.

hashtag
경로: Security ➡ Authentication Policy ➡ 우선순위 설정할 정책 선택

PreviousGlobal Session PolicyNext인증 정책 복사

Last updated