Global Session Policy
1. Global Session Policy란?
사용자가 Okta를 통해 인증한 후에 생성되는 세션을 관리합니다.
이 세션은 사용자가 인증된 상태를 유지하면서 어플리케이션 및 리소스에 대한 접근을 제공합니다.
최대 Okta 세션 수명 시간 설정, Okta 세션 연장 규칙 설정, Okta 세션 종료 설정과 같이 생성된 Okta 세션에 대한 유효기간을 제어합니다.
사용자 세션은 최대 Okta 세션 수명 시간에 관계없이 사용자가 설정된 기간 동안 Okta에서 비활성 상태이면 만료됩니다.
Global Session Policy가 Authentication Policy보다 우선순위가 높습니다.
2. Global Session Policy 생성
경로: Security ➡ Global Session Policy ➡ Add Policy
Policy name: 정책 이름을 설정합니다.
Policy description: 정책에 대한 설명을 작성할 수 있습니다.
Assign to groups: 정책을 어떤 그룹에 적용할 것인지 설정할 수 있습니다.
3. Default Policy
Default Policy와 Default Rule은 수정만 가능하고 삭제가 불가능합니다.
Default Policy는 우선 순위 설정이 불가능합니다.
4. 생성된 정책에 규칙 생성
경로: Security ➡ Global Session Policy ➡ 규칙을 생성할 정책 선택 ➡ Add rule
Rule name: 규칙의 이름을 설정합니다.
Exclude users: 해당 규칙에 제외될 사용자를 선택할 수 있습니다.
User's IP is: 어떤 IP에서 접속을 허용/차단할 것인지 정할 수 있습니다. Anywhere/In zone/Not in zone 중에 선택할 수 있습니다.
Zone/Not in zone을 선택하려면 네트워크에서 먼저 Network zone을 생성해야합니다.
Network Zone에 대한 자세한 내용은 세부 내용 페이지로 이동에서 확인할 수 있습니다.
Identity provider is: 어떤 IdP를 사용하여 접근할때 접속을 허용/차단할 것인지 정할 수 있습니다. Any/Okta/Specific IdP 중 선택할 수 있습니다.
Authenticates via: Any, LDAP interface 중 선택할 수 있습니다.
Behavior is(Access 허용에서만 적용 가능): Behavior Detection에서 등록한 것 중에 선택할 수 있습니다.
Behavior는 Access가 허용 상태에서만 설정이 가능합니다.
Behavior에 대한 자세한 내용은 세부 내용 페이지로 이동에서 확인할 수 있습니다.
Risk is(Access 허용에서만 적용 가능): Any, Low, Medium, High 중 선택할 수 있습니다.
Risk는 Access가 허용 상태에서만 설정이 가능합니다.
Risk에 대한 자세한 내용은 세부 내용 페이지로 이동에서 확인할 수 있습니다.
Access is: 1~7번에 설정한 조건에 따라 사용자의 접근을 허용할 것인지 차단할 것인지 설정할 수 있습니다.
Establish the user session with: 아래 2가지 중 선택할 수 있습니다.
Any factor used to meet the Authentication Policy requirements: Authentication policy에 의거하여 등록된 인증수단에서 한가지 요소를 이용하여 인증을 받습니다.
A password: 무조건 비밀번호를 통해서 인증을 받습니다.
Multifactor authentication (MFA) is: 다단계 인증을 수행 여부이며 Required, Not required 중 선택할 수 있습니다.
1
Any factor used to meet the Authentication Policy requirements
(Authentication policy에 의거하여 등록된 인증수단에서 한가지 요소를 이용하여 인증)
Required
(MFA)
등록된 인증 수단 중 1가지로 인증을 하고, MFA인증을 선택했기 때문에 인증으로 사용했던 첫번째 인증수단을 제외한 나머지 등록된 인증 수단 중 1가지를 선택하여 인증합니다.
2
Any factor used to meet the Authentication Policy requirements
(Authentication policy에 의거하여 등록된 인증수단에서 한가지 요소를 이용하여 인증)
Not required
(1Factor)
등록한 인증 수단 중 1가지를 선택하여 인증합니다.
3
A password
(비밀번호를 필수 인증 수단으로 사용)
Required
(MFA)
첫 번째 인증 수단은 비밀번호를 통해서 인증을 하고, MFA 인증을 선택했기 때문에 등록한 인증 수단 중 1가지 선택하여 인증합니다.
4
A password
(비밀번호를 필수 인증 수단으로 사용)
Not required
(1Factor)
필수로 비밀번호를 통해 인증합니다.
Users will be prompted for MFA: 사용자는 3가지 상황 중에 선택하여 어떤 상황에서 MFA를 시행하게 할 것인지 선택할 수 있습니다.
At every sign in (로그인을 할 때 마다)
사용자가 로그인할 때 마다 MFA 인증을 요청받습니다.
When signing in with a new device cookie (새로운 Device로 로그인 시도할 때)
사용자가 새로운 Device로 로그인을 시도하거나 기존 Device에서 쿠키가 남아있지 않은 경우 MFA 인증을 요청받게 됩니다.
After MFA lifetime expires for the device cookie (쿠키에 MFA 수명시간이 만료 시)
MFA 수명 기간이 만료된 후, 로그인을 시도할 때 사용자에게 MFA 인증이 요청됩니다.
MFA lifetime을 설정할 수 있습니다.
MFA lifetime: MFA 최대 수명 시간입니다. 일, 시간, 분 단위로 시간을 설정할 수 있습니다.
사용자는 로그인 후, MFA lifetime이 만료되기 전까지 추가 인증이 요구되지 않으며 한 가지 인증 수단을 통해 인증을 완료할 수 있습니다.
예를 들어 MFA lifetime을 15분으로 설정하면 해당 시간 동안은 MFA가 유효한 것으로 판단하고 추가적인 MFA 인증 요청을 받지 않습니다. 이전 세션을 닫고 새로운 세션을 열어도 인증 정보는 여전히 유지됩니다.
하지만 15분이 지나면 MFA lifetime이 만료되어 MFA 인증 요청을 받습니다. MFA lifetime이 만료되면 MFA 인증을 요청받습니다.
Max Okta session lifetime: 최대 Okta 세션 수명 시간 설정입니다. 일, 시간, 분 단위로 시간을 설정할 수 있습니다. No time limit, Set time limit 중 선택할 수 있습니다.
최대 세션 수명 시간은 유휴 시간이 만료되지 않더라도 설정한 최대 세션 시간이 지나면 세션이 만료되도록 보장합니다.
세션에 대한 수명 시간을 설정하면 쿠키 오용 또는 세션 가로채기와 같은 위험을 최소화할 수 있습니다.
Expire session after user has been idle on Okta for: 설정된 시간이 동안 사용자가 비활성 상태이면 사용자의 세션은 만료됩니다. 일, 시간, 분 단위로 시간을 설정할 수 있습니다.
사용자 세션은 최대 Okta 세션 수명 시간에 관계없이 사용자가 설정된 기간 동안 Okta에서 비활성 상태이면 세션이 만료됩니다.
Max Okta session lifetime로 설정한 시간값보다 낮게 설정해야합니다.
Persist session cookies across browser session: 브라우저 세션 전반에서 세션 쿠키의 지속성을 사용하거나 사용하지 않도록 설정합니다. Enable, Disable 중 선택할 수 있습니다.
Enable: 사용자가 브라우저를 닫아도 세션이 쿠키에 저장됩니다.
Disable: 해당 옵션은 사용하지 않습니다. Okta에서 권고하는 설정입니다.
5. 정책 우선순위 설정
Last updated