장기 미사용 계정
Okta에 일정 기간동안 로그인 하지 않는 사용자의 Lifecycle을 자동으로 관리하는 방법 입니다.
주요 사항
Automation을 추가하려면 Super, Organization 관리자 권한이 필요합니다.
조직의 규모에 따라 자동화 조건 평가를 시점하는과 작업이 실행되는 시점에 약 24시간의 지연이 있을 수 있습니다.
사용자의 로그인 활동은 Okta Dashboard를 사용하여 로그인 할 때만 업데이트 됩니다.
1. Automations이란?
Okta 관리자는 회사 보안 정책, ISMS-P 또는 사용자의 휴직, 프로젝트 파견 등으로 장기간 동안 Okta에 로그인 하지 않은 사용자 계정을 일시 중지하거나 비활성화 해야 할 수 있습니다.
하지만 수동으로 관리하게되면 누락되거나 사용하지 않는 Application에 접속 권한이 유지될 수 있습니다.
이러한 점을 Automations 기능을 활용하여 자동화 할 수 있습니다.
2. Automations 구성
경로: Workflow ➡ Automations ➡ Add Automation
"Automation name" 입력 후 "Save" 선택
2.1 스케줄 설정
Schedule 옵션
"Run Daily" : 매일 지정한 시간에 동작 하는 기능. (반복 실행)
"Run once" : 지정한 일자와 시간에 동작하는 기능. (1회성 실행)
2.2 그룹 설정
Okta에 등록된 모든 사용자 계정에 대하여 "Automation" 정책 적용 필요 시, 아래와 같이 "Applies to" 옵션에 "Everyone" 그룹을 추가하여 적용합니다.
Okta에 등록된 계정 중 특정 그룹에 포함 된 사용자 계정에 대하여 "Automation" 정책 적용 필요 시, 아래와 같이 "Applies to" 옵션에 "특정 그룹" 그룹을 추가하여 적용합니다.
2.3 미접속 기간 옵션 설정
2.4 동작 설정
Action Type :
Send email to the user : 해당 사용자에게 Alert 메일 발송합니다.
이메일 알림 구성의 경우, "Automations" 정책 조건에 적용된 계정에 대하여 메일 발송은 동일한 사용자를 대상으로 30일마다 한번만 메일이 발송됩니다. (참고 Okta 개발 문서)
"Preview"를 선택하여 사용자에게 발송되는 이메일 템플릿 내용을 확인 할 수 있으며, HTML 포멧으로 구성되어야 합니다.
Default template Change user lifecycle state in Okta : Okta에서 사용자 계정의 상태 정보를 변경합니다.
Suspended : 사용자 계정이 정지 상태로 변경되며, 연결 중인 세션 및 인증이 단절됩니다. 할당 된 Application 및 그룹은 해제 되지 않습니다.
Deactivated : 사용자 계정이 비활성화 상태로 변경되며, 연결 중인 세션 및 인증이 단절됩니다. 비활성화 상태의 계정에 할당 된 Application은 제거되며 그룹은 해제 되지 않습니다.
Deleted : 사용자 계정이 Okta에서 삭제 됩니다. 사용자 계정이 삭제되면 복구 할 수 없습니다.
3. 구성한 자동화 정책 활성화
4. "Automations" 정책 동작 확인
"Report" → "System Log" → "Search" 쿼리 입력 후 검색
target.id eq "{Automations Policy ID}"
Automations Policy ID 확인 방법
"Workflow" → "Automations" → Automations 정책 선택 후 Browser URL에서 Automations Policy ID 를 쉽게 확인 하실 수 있습니다.
Last updated