Device Access
1. Okta Device Access 란?
Okta Device Access(ODA)**는 Okta의 Identity & Access Management(IAM) 기능을 디바이스 수준으로 확장하여 보안과 사용자 경험을 향상시키는 제품입니다.
현재 Okta Device Access는 Windows 및 macOS 환경의 노트북, 데스크톱, 가상머신(VM), 서버 등에서 기능을 지원합니다.
2. Okta Device Access 주요 기능
1. Desktop MFA
디바이스 로그인에 Okta 인증 적용 (Device Sign-In 통합)
관리되는 Windows 또는 mscOS 디바이스에 로그인 할 때 Okta에서 제공하는 다양한 인증수단(예: Okta Verify)을 디바이스 로그인에 인증 수단으로 MFA를 구성합니다.
제한 된 디바이스 환경에서 MFA 구성 (인터넷 불가 디바이스의 인증)
네트워크 연결이 제한된 환경 또는 디바이스에서 대하여 "Offline One-Time Password" 인증 수단을 제공하여 MFA 구성이 가능합니다.
Windows 디바이스에 로컬 계정 패스워드 초기화 (SSPR - Self-Service Password Reset)
사용자가 디바이스 로컬 계정 패스워드 분실한 경우, Okta 인증을 통해 Self-Service로 패스워드 재설정이 가능합니다.
2. Desktop Password Sync
macOS 디바이스에서 지원하는 기능으로 Okta 계정 비밀번호와 로컬 계정 비밀번호를 동기화하는 기능입니다.
macOS 14.x 이상 권장 (특히 Sequoia 이상에서 도메인 설정 추가 요구됨)
3. Windows Device Access
필수 구성 요건
License : Okta AMFA(Adaptive MFA) 라이선스 필수
Managed Device : Active Directory (AD) 혹은 Azure AD에 등록된 디바이스 (Azure AD Join / AD Join)
OS : Windows 10 (버전 1709 이상) 또는 Windows 11 운영체제 디바이스
Framework : .NET Framework 4.8 이상
Authenticator : 사용자 모바일에 Okta Verify 최신 버전 설치 및 Okta Verify Push 정책 활성화
권장 사항
MDM 솔루션 : Okta Verify 설치 및 레지스트리 구성 등의 정책 배포를 위한 디바이스 Managed 솔루션
3.1 Okta 구성
1) Okta 관리 콘솔에서 아래 "Embedded widget sign-in support" 옵션이 체크 되어 있는지 확인 합니다.
"Settings" → "Account"에 "Embedded widget sign-in support" 옵션이 체크 되어야 합니다.
2) Desktop MFA 구성
"Desktop MFA" 검색 및 선택
"Add Integration" 선택
"Done" 선택
"Sign On" 항목에서 제공하는 "② Client ID"와 "③ Client secret"을 복사합니다. (Okta Verify 설치 시 해당 정보가 필요)
사용자를 "Assign" 합니다.
3.2 MDM 구성 (Microsoft Intune을 통한 구성 가이드)
Microsoft Intune 구성 전 준비 사항
Okta Verify 설치 파일 :
Okta 관리 콘솔에서 Okta Verify 설치 파일을 다운로드 받습니다.
Microsoft Win32 Content Prep Tool :
Okta Verify 설치 파일은 exe 확장자로 Intune에서 앱 패키지 형식(.intunewin)으로 파일을 변경하기 위한 Tool 이 필요합니다.
관리자 권한 :
Microsoft Intune 관리 센터에서 앱 패키지 등록이 가능한 권한이 필요합니다.
1) 관리 콘솔에서 받은 Okta Verify 설치 파일을 아래와 같이 별도 폴더로 이동합니다.
"OktaVerify_Intune" 새폴더 생성 후 설치파일 복사 또는 이동
2) Okta Verify 설치 파일을 Microsoft Intune 앱 패키지로 전환
Microsoft-Win32-Content-Prep-Tool 에서 아래와 같이 Zip 파일로 다운로드 받습니다.
다운로드 받은 zip 파일의 압축을 해제한 이후, "IntuneWinAppUtil" 파일을 5.1 에서 작업한 Okta Verify 설치 파일 폴더로 복사합니다.
시작 메뉴에서 "cmd"를 검색하여 "명령 프롬프트"를 열고, Okta Verify 설치 파일 폴더로 이동합니다.
"IntuneWinAppUtil.exe" 입력하여 실행하면 아래의 옵션을 추가로 입력하여야 합니다.
Please specify the source folder (설치 파일이 있는 폴더) : C:\OktaVerify_Intune
Please specify the setup file (설치 파일 이름) : OktaVerifySetup-X.X.X.X.exe (실제 파일 이름 입력 후 Enter)
Please specify the output folder (생성될 .intunewin 파일이 저장될 폴더) : C:\OktaVerify_Intune (Enter 또는 다른 폴더 지정)
Do you want to specify optional files and folders for the package? [y/N] (선택 사항) : N (Enter)
정상적으로 완료 되면 아래와 같이 폴더에 ".intunewin" 파일이 생성됩니다. (Microsoft Intune 앱 패키지 구성 참고 동영상)
3) Okta Verify 배포/설치 앱 생성
Microsoft Intune 관리센터에 모든 앱 항목에서 "만들기" 선택 후, 기타 앱 유형 에서 Windows 앱(Win32)을 선택합니다 .
앱 정보 항목에서 "앱 패키지 파일 선택"을 클릭하고, 위에서 생성한 ".intunewin" 파일을 선택한 후 확인을 선택합니다.
"게시자" 정보 입력 후 "다음" 선택합니다.
프로그램 항목에서 아래 옵션을 입력 후 "다음" 선택합니다.
설치 명령 : ("Client ID"와 "Client secret"은 Okta에서 구성한 "Desktop MFA" 앱의 정보 입니다.)
OktaVerifySetup-xxxx-yyyyyyy.exe /q SKU=ALL ORGURL=https://{yourOktaDomain} CLIENTID=xxxxxxxx CLIENTSECRET=xxxxxxxx
제거 명령 : OktaVerifySetup-xxxx-yyyyyyy.exe /uninstall /q
요구 사항 항목에서는 아래 옵션을 선택 후 "다음" 선택합니다.
운영 체제 아키텍처 확인 : 앱을 설치하는 데 필요한 아키텍처를 선택하세요.
최소 운영체제 : Windows 10 1709 선택
검색 규칙 항목에서는 아래 옵션을 선택 후 "다음" 선택합니다.
경로 : C:\Program Files\Okta\Okta Verify
파일 또는 폴더 : OktaVerify.exe
종속성과 대체 항목에서는 구성사항이 없어 "다음" 선택합니다.
할당에서는 사용자 / 디바이스 선택 후, "검토 + 만들기" 항목에서는 최종 설정 내역 확인 후 "만들기" 선택합니다.
최종 Okta Verify 배포/설치 구성 완료 내역
4) 레지스트리 설정 구성
"ODA_MFA.ps1" 코드
MfaRequiredList
MFA가 반드시 요구되어야 하는 사용자([email protected]) 또는 AD 그룹(GroupName)을 정의합니다. 기본 값은 '*' 으로 전체 대상이며, 설정 값이 없다면 MFA를 요구하지 않습니다.
REG_MULTI_SZ
MaxLoginsWithoutEnrolledFactors
MFA 인증 수단이 없는 사용자에게 허용되는 최대 로그인 시도 횟수(오프라인 또는 신규 사용자용 시도 횟수).
REG_DWORD
50 (번)
MaxLoginsWithOfflineFactor
오프라인 MFA를 통해 사용자가 인증 시도할 수 있는 최대 횟수.
REG_DWORD
50 (번)
MFAGracePeriodInMinutes
디바이스 잠금 화면에서 MFA 추가 인증을 요구하지 않는 기간(분) (해당 기간은 잠금 옵션에서만 적용되며, 계정 전환 또는 재시작 후엔 MFA 인증이 요구됩니다)
REG_DWORD
60 (분)
ExcludePasswordCredProvider
디바이스 로그인 인증 과정에 패스워드 인증 옵션을 제거합니다. (사용자가 로그인 시 비밀번호 인증 옵션이 제거되어 MFA 인증 수단으로만 인증 정책을 구성할 때 설정합니다.)
REG_DWORD
Empty (0 = 비밀번호 인증 옵션 활성화, 1 = 비밀번호 인증 옵션 비활성화)
AdminContactInfo
사용자가 디바이스 인증이 불가할 경우, 관리자에게 연락할 수 있도록 노출되는 메세지 옵션.
REG_SZ
Empty
SelfServicePasswordResetEnabled
Windows 로그인 화면에서 사용자가 직접 비밀번호를 재설정 할 수 있도록 Self-Service 기능 활성화. (설정 참고 링크)
REG_DWORD
0 (기본값) (0 = Self-Service 비활성화, 1 = Self-Service 활성화)
PasswordlessAccessEnabled
사용자가 패스워드가 아닌 다른 인증 수단만으로도 로그인 할 수 있도록 허용 하는 기능. 좀 더 보안 수준이 높은 인증 수단으로 패스워드 대체 인증을 적용 (예 FIDO2 Passwordless for Windows)
REG_DWORD
0 (기본값) (0 = 비활성화, 1 = 활성화)
NetworkTimeoutInSeconds
디바이스가 네트워크 연결이 가능한 상태(온라인/오프라인) 여부를 판단하기 위해 최대 네트워크 연결 접속 시도 시간.
REG_DWORD
15 (초) (최소 5초 ~ 최대 60초)
OfflineLoginAllowed
디바이스가 오프라인(네트워크 연결 불가) 상태인 경우, 오프라인 인증 수단 항목을 제공하고 인증을 허용합니다.
REG_DWORD
1 (0 = 차단 / 1 = 허용)
OnlineLoginAllowed
디바이스가 온라인(네트워크 정상 연결) 상태인 경우, 온라인 인증 수단 항목을 제공하며 인증을 허용합니다.
REG_DWORD
1 (0 = 차단 / 1 = 허용)
MFABypassList
MFA 인증을 예외할 사용자를 설정합니다. MFARequiredList와 MFABypassList에 모두 등록된 사용자의 경우, MFABypassList가 우선 적용됩니다. (설정 참고 링크)
REG_MULTI_SZ
Empty
SelfServicePasswordResetErrorMessage
사용자가 셀프 서비스를 통해 비밀번호 재설정에서 오류가 발생한 경우, 사용자에게 노출되는 오류 메시지를 정의합니다.
REG_MULTI_SZ
비밀번호를 변경에 실패하였습니다. 비밀번호 길이, 복잡성(특수기호&대소문자) 등의 요구사항을 확인 바랍니다.
"ODA_MFA.ps1" PowerShell 코드 파일 생성
"기본" 항목에서 "이름" 입력 후 "다음" 선택합니다.
"스크립트 설정" 항목에 "스크립트 위치" 옵션에서 "ODA_MFA.ps1" PowerShell 코드를 업로드하고 각 실행 옵션을 "아니오" 선택 후 "다음" 선택합니다.
"할당" 항목에서 Okta Device Access의 PowerShell 실행할 범위를 선택 후 "다음" 선택합니다.
"검토+만들기"에서 구성 옵션 검토 후 "만들기" 선택합니다.
최종 스크립트 생성 내역
스크립트 배포 내역 (MDM 정책 배포 및 동기화 시간에 따라 딜레이 있을 수 있습니다.)
Microsoft Intune에서 확인 내역
디바이스에서 레지스트리 확인 (경로 : HKLM:\Software\Policies\Okta\Okta Device Access)
3.3 Okta Verify 구성
디바이스에 Okta Device Access 정책 및 Okta Verify 설치가 완료 되면, Okta Verify에 "장치 액세스" 항목이 추가됩니다.
"일회성 암호" 인증 수단 등록
사용자의 모바일 디바이스에 설치된 Okta Verify를 통해 디바이스가 오프라인 상태에서도 TOTP 기반의 6자리 숫자 코드로 로그인하는 인증 수단 등록 기능입니다.
> 오프라인 TOTP 인증 수단 등록
"보안 키" 인증 수단 등록
오프라인(디바이스 수준) 보안 키 등록, 즉 로컬 장치 보안 및 로그인 인증 수단으로 사용하는 물리 보안 키 등록 기능입니다. 실제 USB 기반 FIDO2 보안 키(예: YubiKey, eWBM, Feitian 등)가 필요합니다.
Okta Verify 계정 등록
> Okta Verify 계정 등록 완료
3.4 Desktop MFA 정책 설정
Okta 관리 콘솔에서 "Application" → "Application" 항목으로 이동 후 "Desktop MFA" 검색 후 Desktop MFA Application을 "선택"합니다.
"Sign On" 옵션에서 "Edit" 선택하여"Application username format"을 설정합니다.
조직에서 구성한 디바이스의 로그인 로컬 계정에 대하여 Okta의 사용자 정보와 매핑 설정
예시) 아래 예시와 같이 Azure AD에서 "사용자 계정 이름"과 Okta Verify에 등록한 Okta 계정의 "Username"이 동일한 경우,
"Application username fotmat"은 "Okta username"으로 설정 후 "Save" 합니다.
"Update Now" 선택하여 설정을 업데이트 적용합니다.
"Security" → "Authentication policies" 항목에서 "desktop mfa" 검색 후 "Desktop MFA" Application의 정책을 선택합니다.
"Add rule" 선택합니다.
Okta Device Access 기본 인증 Rule 생성 - Desktop MFA는 Okta MFA 챌린지에 대해서만 검증합니다.
"Rule name" 입력 및 Device state is 조건은 "Any"으로 선택합니다.
User must authenticate with 조건은 "Possession factor"로 설정하고 Possession factor constraints are 조건은 "Require user interaction" 항목 중 "Any interaction" 선택하며, Authentication methods 조건은 "Allow specific authentication methods" 옵션을 선택하여 "Okta Verify - Push"와 "Okta Verify - TOTP"로 구성합니다. - FastPass는 OS 로그인 이후 앱이 실행되어 Okta 인증 Token을 전송할 수 있기 때문에 OS 시작 단계인 Device Access 로그인 단계는 디바이스에 설치된 Okta Verify Application 실행 전 단계로 FastPass 기능을 디바이스 인증 수단으로 사용 할 수 없습니다. - 인증 수단 항목에서 패스워드 옵션을 제거하여도, 디바이스 로그인 과정에서 패스워드 단계가 제거 되지 않습니다. 패스워드는 Windows 운영체제의 인증 수단이기 때문에 Passwordless를 구성하기 위해서는 레지스트리 설정을 통해 디바이스 인증 구조를 변경해야 합니다.
Prompt for authentication 조건은 "Every time user signs in to resource" 옵션으로 설정 후 "Save" 합니다. - 해당 인증 세션의 Lifetime 조건은 "브라우저 기반 세션 쿠키" 기준으로 Desktop MFA와 관련 사항이 없습니다.
"Chtch-all Rule" 차단 정책으로 변경
"Action"에 "Edit"를 선택합니다.
Access is 조건을 "Denied" 옵션으로 설정 후 "Save" 합니다.
최종 "Desktop MFA"에 대한 Authentication Policies의 Rule 구성 내역
3.5 패스워드 초기화 (셀프 서비스) - 선택사항
3.6 FIDO2 security keys - 선택사항
4. 사용자 접속 경험
4.1 온라인 - 인터넷(네트워크) 연결이 가능한 디바이스 환경
1) Password + Okta Verify Push
2) Passwordless (Okta Verify Push)
4.2 오프라인 - 인터넷(네트워크) 연결이 불가능한 디바이스 환경
Password + Offline Okta Verify TOTP
FAQ
인터넷이 연결되는 온라인 디바이스인데, 왜 오프라인 인증 수단만 보이고 MFA 인증이 진행될까요?
디바이스 로그인 계정과 Okta 계정을 정상적으로 매핑하지 못하면 Offline 디바이스로 전환됩니다.
아래와 같이 System log에서 디바이스 계정에 대한 Desktop MFA 실패 로그가 확인된다면 Okta Application username format 을 Okta 사용자와 매핑 되도록 다시 설정을 변경 해야합니다.
디바이스 로그인 화면에서 인터넷 연결 설정되어 있지 않아 네트워크를 다시 설정해야 하는 사용자라면, 이러한 네트워크 재설정 과정에서 "오프라인 디바이스"로 전환되는 Time(레지스트리 : NetworkTimeoutInSeconds)을 초과하여 이슈가 발생한 것일 수 있습니다.
네트워크를 정상 설정하고 연결된 이후 디바이스를 재시작하면 Desktop MFA가 온라인 디바이스로 다시 체크 됩니다.
위 2가지 원인이 아닌 이슈는 아래 트러블 슈팅에 대한 문서를 참고 바랍니다.
Okta Support 참고사항 : Windows Desktop MFA - Troubleshooting Users Not Getting Prompted for MFA
Last updated