1. AD 연동 전제조건
Okta와 같은 클라우드 서비스와의 연동을 위해서는, AD 서버가 외부 클라우드 서비스와 통신할 수 있어야 합니다.
AD 서버가 사설 IP를 사용하더라도, 네트워크 설정이 올바르게 구성되어 있으면 연동에 문제가 없으며, AD 서버가 인터넷에 접근할 수 있고, Okta와의 통신이 가능해야 연동이 가능합니다.
2. Okta AD 에이전트 설치
Okta에 Directory Integrations를 통해 AD(Active Directory)를 연동하기 위해서는 AD Server에 Okta AD 에이전트 설치를 해야합니다.
1. Okta Admin 로그인 페이지 -> Directory(Directory Integrations) 에서 Add Active Directory를 클릭합니다.
2. Set Up Active Directory 를 클릭 후 Agent를 다운로드 받습니다.
3. Agent exe 파일을 다운로드 받은 후 AD Server에서 실행 후 설치를 진행합니다.
4. AD Server의 Domain을 입력합니다. (보통 자동으로 입력되어 있습니다.)
5. Create or use the OktaService account(recommended)를 선택 후 Next를 진행합니다.
- 이 옵션을 선택하면 Okta는 자동으로 OktaService라는 계정을 생성하거나 기존의 OktaService 계정을 사용하여 AD에 접근합니다.
- Use an alternate account that I specify 옵션을 선택하면 사용자가 직접 지정한 AD 계정을 사용하여 Okta AD 에이전트를 설정할 수 있습니다.
6. OktaService 계정의 패스워드를 입력합니다.
7. Proxy Server는 설정하지 않고 Next를 진행합니다.
- Proxy Server를 따로 사용하시는 경우 입력하시면 됩니다 ㅎㅎ
8. Okta customer 도메인을 입력합니다.
- Okta AD Agent를 Okta 조직에 등록하는 단계로 Okta AD Agent는 Active Directory(AD)와 Okta 간의 데이터 동기화가 진행되기 때문에 반드시 자신이 사용하고 있는 Okta의 도메인 주소를 입력하셔야합니다.
- 예시) https://{company명}.okta.com
9. Okta에 로그인을 진행하고, Allow Access 를 클릭하여 Okta AD Agent에 필요한 권한을 부여합니다.
10. 다시 Okta 화면으로 넘어와 사용자와 그룹의 동기화 대상 OU 선택합니다.
- Select the Organizational Units (OUs) that you’d like to sync Users from
- Okta로 동기화하려는 사용자 계정을 포함하는 AD의 OU(조직) 단위를 선택합니다
- Select the Organizational Units (OUs) that you’d like to sync Groups from
- Okta로 동기화하려는 그룹 계정을 포함하는 AD의 OU(조직) 단위를 선택합니다.
- Okta username format
- AD에서 Okta로 가져온 사용자가 Okta에 로그인할 때 사용할 사용자 이름 형식을 선택합니다.
- 해당 설정은 이후에 수정 및 변경이 가능합니다.
11. Active Directory에서 가져온 사용자 프로필의 속성을 Okta 사용자 프로필로 매핑하는 단계로 Okta가 AD에서 가져올 사용자 속성을 선택하고 이를 Okta 사용자 프로필에 통합을 진행합니다.
12. Agent Setup 끝
3. Okta username format 변경하기
AD에서 Okta로 가져온 사용자가 Okta에 로그인할 때 사용할 사용자 이름 형식을 선택하게 되는데, 이메일 형식말고 다른 형식으로 바꾸는 방법?
- Okta username format은 다음과 같이 수정이 가능합니다.
1. Okta Admin -> Directory(Directory Integrations) 에서 위에서 생성한 AD를 선택합니다.
2. Provisioning -> To Okta 를 클릭합니다.
3. General 의 Edit를 클릭합니다.
4. 아래와 같이 Okta username format에서 수정을 진행합니다.
4. Okta AD 사용자 계정 Import하기
1. Okta Admin -> Directory(Directory Integrations) 에서 위에서 생성한 AD를 선택합니다.
2. Import -> Import Now를 클릭합니다.
3. Incremental import 또는 Full import 선택 후 Import를 진행합니다.
- Incremental import의 경우 마지막 Import 이후 새로 생성되거나 업데이트된 AD 사용자만 가져오며,기존 사용자 중 변경되지 않은 사용자는 가져오지 않기 때문에 가져오기 속도가 빠르기 때문에 주기적으로 AD의 변경 사항을 빠르게 Okta에 반영하고자 할 때 사용됩니다.
- Full import의 경우 모든 AD 사용자 데이터를 Okta로 import하며 데이터베이스 없는 사용자는 비활성되며, 모든 데이터를 완전히 동기화하게 됩니다. 초기 설정 시 또는 전체 동기화가 필요할 때 사용됩니다.
4. AD 유저와 그룹 확인
- 위 Agent 세팅에서 사용자와 그룹의 동기화 대상 OU 를 지정하였기 때문에 해당 OU(조직)에 있는 유저 및 그룹만 스캔해서 가져온 것을 확인할 수 있습니다.
5. 특정 User Import
- Okta에 이미 존재하는 계정이라면 EXACT에 뜨게 되며, 없는 계정이라면 NO에 뜨게 됩니다.
- Import할 사용자만 체크하여 Confirm을 진행합니다.
6. Import된 사용자 확인
- Assignmets에 가보면 Import된 사용자를 확인할 수 있습니다.
7. Okta 사용자 확인
- AD의 사용자가 Okta에 Import 되었기 때문에 Okta의 Directory -> People에도 정상적으로 사용자가 등록되어 있는 것을 확인할 수 있습니다.
정리
Okta와 Active Directory를 통합하면 중앙 집중식으로 사용자와 그룹을 관리할 수 있어 보안과 관리 효율성이 크게 향상됩니다.
이번 포스터에서는 Okta AD Agent 설정과 AD에서 사용자 데이터를 가져오는 과정을 단계별로 설명했습니다. 이를 통해 Okta와 AD 간의 원활한 데이터 동기화를 설정하여 인증 및 접근 관리를 구현할 수 있습니다.
Incremental import 기능을 활용하여 변경된 데이터만 신속하게 동기화할 수 있는 점이 인상적이었으며, 기업의 IT 인프라 관리에서 중요한 시간과 리소스를 절약할 수 있을 것 같습니다.
다음 포스트에서는 Okta와 GitLab 연동에 대해 다룰 예정입니다.
Okta를 통해 GitLab에 SSO(Single Sign-On)를 설정하여 개발 환경의 접근성을 높이고 보안을 강화하는 방법에 대해 알아보겠습니다.
질문이나 추가 도움이 필요하면 댓글 부탁드립니다. 감사합니다!😁