1. 앱 로그인 정책 생성
경로: Security → Authentication Policies → App sign-in
•
새로운 정책을 생성할 경우 “Create policy”를 클릭합니다.
•
Name: 정책 이름 지정
•
Description(옵션): 정책에 대한 설명
2. 앱 로그인 정책 규칙 추가
•
정책을 생성하면 기본으로 Catch-all Rule이라는 default rule이 생성됩니다.
◦
이 규칙은 모든 유형의 2 factor 인증 요청에 대한 접근을 허용하는 규칙입니다.
•
Rule name: 규칙의 이름 지정
•
User’s user type is: 기본값을 그대로 사용하거나 포함 및 제외할 사용자 타입을 지정
•
User’s group membership includes: 기본값을 그대로 사용하거나 포함 및 제외할 그룹을 지정
•
User is: 기본값을 그대로 사용하거나 포함 및 제외할 사용자를 지정
참고 사항 •
“Managed” 옵션을 사용하려면, Okta와 MDM/UEM 솔루션이 사전에 연동되어 있어야 합니다.
연동이 되어 있지 않은 경우, 해당 조건은 정상적으로 동작하지 않습니다.
•
Device state is: “Registered”는 Okta Verify를 통해 Okta에 등록된 사용자 기기를 의미
•
Device management is: 해당 설정은 Device state를 “Registered”로 선택했을 때 활성화됩니다.
기기가 조직에 의해 관리되는 기기인지 여부를 구분하는 조건입니다.
◦
Not managed: UEM/MDM에 등록되지 않은 개인 기기 또는 비관리 기기
◦
Managed: UEM/MDM 솔루션과 연동되어 회사 정책이 적용되는 관리된 기기
•
Device assurance policy is: “Registered”된 장치 상태를 설정한 경우 충족해야하는 장치 보증 정책을 지정합니다.
•
Device platform is: 기본 설정을 그대로 사용하거나 특정 플랫폼을 선택
•
User’s IP is: 기본값을 그대로 사용하거나 포함 또는 제외할 네트워크 영역을 지정
•
Risk is: 기본적으로 이 규칙은 모든 위험 수준의 인증 시도에 적용
•
The following custom expression is true: 표현 언어(EL)를 사용하여 추가 조건을 지정, Okta 표현 언어에 대한 자세한 내용은 해당 문서를 참고하세요.
•
Access is: 사용자의 접근을 거부하거나 인증 성공 후 접근을 허용할 수 있습니다.
접근을 거부하는 경우, 해당 설정이 마지막 설정이며 규칙을 “Save”하면 됩니다.
•
Access is를 “Allowed after successful authentication”을 선택했을 경우,
아래 설정들이 활성화됩니다.
•
User must authenticate with: 앱 접근할 때 1 Factor, 2 Factor, Custom 방식으로 인증 요건을 설정할 수 있습니다.
◦
1 Factor
▪
Password
▪
Possession factor
▪
Any 1 factor type
◦
2 Factor
▪
Password+Another factor
▪
Any 2 factor types
◦
Custom
▪
Authentication method chain
•
Possession factor constraints are
◦
Phishing-resistant: 사용자가 로그인 피싱 공격을 방지할 수 있는 인증 방식을 사용하도록 요구
◦
Hardware protection: 인증에 사용되는 키가 기기의 보안 하드웨어(TPM, Secure Enclave 등)에 저장되도록 요구, 기기에 보안 하드웨어가 없는 경우 해당 조건을 충족하지 하며 Okta verify의 경우 키 저장 위치에 따라 충족 여부가 결정됨
◦
Require user interaction: 인증 시 사용자가 실제로 기기를 조작했는지 확인하는 옵션
▪
Any interaction: 단순 승인과 같은 기본적인 사용자 상호작용 요구
▪
Require device passcode or biometric user verification: PIN 또는 생체 인증(지문/Face ID 등)을 통한 사용자 확인 요구
▪
Require biometric user verification: 생체 인증(지문/Face ID 등)만 허용
•
Authentication methods
◦
Allow any method that can be used to meet the requirement: 위 조건을 충족하는 모든 인증 방식 허용
◦
Disallow specific authentication methods: 특정 인증 방식은 명시적으로 차단
◦
Allow specific authentication methods: 지정한 인증 방식만 선택적으로 허용
•
Option to stay signed in: 사용자가 이 앱으로 인증한 후 “로그인 상태 유지” 메시지를 표시할 수 있습니다. 이 설정은 메시지 표시 여부를 제어하지만, 이 앱에만 적용되는 것
◦
Show after users sign in
▪
Show when not previously shown on the use’s current device in the past:
주요 사항•
사용자 인증 후 10초의 유예 시간이 적용됩니다.
•
“Every time user signs in to resource”를 선택한 경우, 이 유예 시간동안 사용자에게 다시 인증하라는 메시지가 표시되지 않습니다.
•
Prompt for authentication
◦
Every time user signs in to resource: 사용자가 리소스에 로그인할 때 항상 인증
◦
When it’s been over a specified length of time since the user accessed any resource protected by the active Okta global session: 지정한 시간을 초과하면 앱에 대한 재인증을 요청
◦
When Okta global session doesn’t exist: Okta에 로그인된 상태(세션)이 없는 경우, 사용자는 인증을 다시 진행해야 합니다.
해당 옵션은 위에 인증 요소 중 “비밀번호”가 들어간 인증 요소를 선택한 경우 나타나는 설정입니다.
•
Prompt for password authentication
◦
Every time user signs in to resource: 사용자가 리소스에 로그인할 때 항상 인증
◦
When it’s been over a specified length of time since the user accessed any resource protected by the active Okta global session: 지정한 시간을 초과하면 앱에 대한 재인증을 요청
◦
When Okta global session doesn’t exist: Okta에 로그인된 상태(세션)이 없는 경우, 사용자는 인증을 다시 진행
3. 앱 로그인 정책에 앱을 할당
경로: Security → Authentication Policies → App sign-in → 앱을 할당할 정책 선택 → Applicaions → Add app
원하는 어플리케이션을 “Add”하고 “Done”을 클릭합니다.
4. 앱 로그인 정책 수정
4.1 관리자 콘솔 세션 지속 시간 구성
주요 사항•
이 설정은 Okta Admin Console에만 영향을 미칩니다.
•
Okta Workflows, Okta Access Gateway 및 Advanced Server Access를 포함한 애플리케이션은 영향을 받지 않습니다.
경로: Application → Application → Okta Admin Console
•
Maximum app session lifetime:
•
Maximum app session idle time:
◦
Okta는 NIST 지침에 따라 15분을 권장합니다.
◦
최소 허용 시간 1분, 최대 허용 시간 2시간입니다.
