search

AD가 마스터일 경우, 프로비저닝 설정

circle-info

Okta 공식문서

circle-exclamation

주요 사항

  • AD를 마스터로 설정하면 AD의 사용자 및 그룹 정보를 주 정보로 사용합니다.

  • AD의 사용자 또는 그룹 정보를 Okta로 가져올 수 있습니다.

  • 프로비저닝 설정을 통해서 AD의 변경 사항이 Okta로 자동으로 동기화되어, 일관된 사용자 관리와 권한 부여를 보장받을 수 있습니다.

경로: Directory ➡ Directory Integrations ➡ 연동한 AD 클릭 ➡ Provisioning 탭 ➡ Integration

  1. User OUs connected to Okta: 선택한 OU의 사용자를 import합니다.

  2. Group OUs connected to Okta: 선택한 OU의 그룹을 import합니다.

경로: Provisioning 탭 ➡ To Okta

  1. Schedule import: AD에서 Okta로 사용자를 import하는 것을 스케쥴링을 통해서 자동으로 사용자를 가져올 수 있습니다.

    • 스케쥴링은 시간 및 날짜 단위로 설정할 수 있습니다.

    • import가 성공적으로 완료되면 아래 이미지와 같이 Okta에서 관리자에게 import 내용에 대한 이메일을 보냅니다.

    • 이메일에는 새로 추가된 사용자/그룹, 정보가 업데이트 된 사용자/그룹, 제거된 사용자/그룹 등 여러 가지 정보를 확인할 수 있습니다.

    • 아래와 같이 사항 중에 변경 사항이 있는 경우에만 이메일이 발송됩니다.

  1. Okta username format: 선택한 사용자의 이름 형식은 사용자가 처음 가져올 때 사용한 형식과 일치해야합니다. 값을 변경하면 기존 사용자에게 오류가 발생할 수 있습니다. 아래 옵션 중 선택할 수 있습니다.

    • UPN(사용자 계정 이름): AD의 UPN을 Okta username으로 사용합니다.

    • 이메일: 이메일을 Okta username으로 사용합니다.

    • SAM 계정 이름: 예를 들어 SAM 계정 이름이 shinhyae이고 AD 도메인이 secaastest.com이라면 Okta의 username은 '[email protected]'이 됩니다.

    • Custom: Custom은 Okta의 Expression Language를 사용합니다. Okta Expression Language에 대한 자세한 사항은 해당 페이지로 이동arrow-up-right하여 확인할 수 있습니다.

  1. JIT Provisioning: 'Create and update users on login'를 선택하면, AD에 위임된 인증을 통해 사용자가 처음 인증을 할 경우 자동으로 Okta 사용자 정보가 생성됩니다. AD의 사용자 정보가 Okta에 존재할 경우 사용자의 기존 계정에 정보가 업데이트됩니다.

  2. USG support: 모든 도메인이 Okta와 연결되어 있다는 가정하에 사용자의 그룹 멤버십을 가져올 때 도메인 경계를 무시할 수 있습니다. JIT Provisioning을 설정하지 않으면 해당 설정은 활성화되지 않습니다. USG 도메인에 대한 시나리오는 해당 페이지로 이동arrow-up-right하여 확인할 수 있습니다.

  3. Do not import users: 디렉토리에서 새 사용자를 가져오지 않고 사용자 프로필과 그룹을 동기화된 상태로 유지하려면 'Skip users during import'를 선택합니다. 가져오기 기능을 사용하여 그룹을 동기화하고 JIT Provisioning을 통해 Okta 사용자를 생성하려는 경우 이 옵션을 선택합니다.

  4. Activation emails: Okta가 새 사용자에게 활성화 이메일을 보내는 것을 방지하려면 이 옵션을 선택합니다. 관리자가 수동으로 사용자를 활성화할 수 있습니다.

    • Okta에서 초기 AD 통합을 구성할 경우, 활성화 이메일을 보내지 않도록 해당 옵션을 선택하는 것을 권장합니다.

    • 해당 옵션을 사용하면 사용자는 Okta를 등록하고 사용할 준비가 되지 전까지 활성화 이메일을 받지 않습니다.

  1. Imported user is an exact match to Okta user if: 설정한 Okta의 사용자 정보와 일치할 경우, 사용자를 매칭하여 Import 합니다.

    • Okta username format matches: Okta username과 일치

    • Email matches: Email과 일치

    • The following attribute matches: 설정한 사용자 정보(firstName, LastName, department etc.)가 일치

    • The following combination of attributes matches: 설정한 사용자의 정보가 모두 일치(All attributes match) 또는 설정한 사용자의 정보 중 하나라도 일치(One option matches)

  2. Allow partial matches: First name과 Last name이 부분적으로 일치할 경우 사용자를 생성하거나 매칭합니다.

  3. Confirm matched users: 기존에 Okta에 있는 사용자와 매칭하여 모든 정보가 일치하거나 부분적으로 일치할 경우, 사용자를 import탭에서 confirm하지 않고 자동으로 confirm 할 수 있습니다.

    • Auto-confirm exact matches: 정확하게 사용자의 모든 정보가 일치

    • Auto-confirm partial matches: 부분적으로 사용자의 정보가 일치

  4. Confirm new users: 새로 import한 사용자를 confirm 또는 activate하기 위해 Okta에 기존에 존재하는 사용자에게는 적용되지 않습니다.

    • Auto-confirm new users: import한 새로운 사용자를 자동 confirm

    • Auto-activate new users: import한 새로운 사용자를 자동으로 confirm하고 계정을 활성화

  1. Allow Active Directory to source Okta users: 해당 설정을 선택하면 Active Directory에서만 사용자의 정보를 설정할 수 있고 Okta에서는 사용자의 정보를 읽기 전용으로만 확인할 수 있습니다.

    • When a user is deactivated in the app: 앱에서 사용자가 비활성화된 경우, 해당 계정과 매핑된 Okta 계정은 Suspend, Deactivate, Do nothing 중에 선택할 수 있습니다.

    • When a user is reactivated in the app: 사용자가 앱에서 재 활성화된 경우, Suspend된 사용자의 계정을 재 활성화, Deactivate된 사용자의 계정을 재 활성화 중에 선택할 수 있습니다.

PreviousActive Directory 통합NextOkta가 마스터일 경우, 프로비저닝 설정

Last updated