Okta 연동 (앱 템플릿 방식)

셀렉트 어드민은 OIN(Okta Integration Network) 공식 앱 심사 진행중입니다. 해당 기간동안 커스텀 앱 방식의 연동 가이드를 먼저 제공합니다.

English version: https://blog.selectfromuser.com/okta

한국어 버전(OIN 방식): https://blog.selectfromuser.com/ko-okta/

준비사항

  • 셀렉트어드민 관리자 계정
  • 도메인 설정된 셀렉트어드민 팀
  • Okta 관리자 권한
도메인은 편집 > 설정 에서 확인가능합니다.

Okta App 준비하기

앱을 추가하고 인증방식을 선택합니다.

OIDC 방식을 지원합니다.

로그인 사용자에게 표시될 이름을 입력합니다.

  • Sign-in redirect URIs: https://api.selectfromuser.com/api/connect/okta/callback
  • Sign-out redirect URIs:
    https://도메인입력.selectfromuser.com/logout
설치형, 구축형의 경우 이와 같이 입력합니다.

Sign-in redirect URIs:
https://[설치형API주소]/api/connect/okta/callback
Federation Broker Mode를 끄기 (기본으로 켜져있습니다)

앱 추가가 완료되었습니다.

Client secret 확인하기

셀렉트 어드민 설정

편집 > 설정 > 보안 메뉴에서 통합로그인을 활성화 합니다.

  • Client ID: 해당 옥타 앱 정보를 입력합니다.
  • Client secret: 해당 옥타 앱 정보를 입력합니다.
  • Issuer URL: 대부분의 경우 옥타 홈 URL과 일치합니다. (Security > API > Authorization Servers 에서 확인 가능)

활성화하면 로그인화면에 옥타가 표시됩니다. Okta와 SelectAdmin에 가입된 이메일 주소가 동일한 경우 별다른 설정 없이 로그인 가능합니다.

대시보드를 통해 (okta initiated) 어드민에 접속가능합니다.

사용자 동기화

옥타를 통해 모든 셀렉트 어드민 계정을 관리 가능합니다. 이를 사용하기 위해서 옥타의 Group과 셀렉트 어드민 권한을 연결 해야합니다.

*권한 부여 및 회수 그리고 계정 발급(provisioning)을 지원합니다.

OIDC 인증결과에 groups 정보를 추가하기 위해 다음을 진행합니다.

해당 authorization server를 조회합니다.

여기에서 Scope 추가를 진행합니다.

name은 반드시 groups 로 지정해주세요.
추가된 모습

여기에서 Claims 추가를 진행합니다.

ID Token, Groups를 선택해주세요.Filter는 필요에 따라 선택 가능합니다. (지정한 그룹만 셀렉트어드민 로그인시 연동)Include in은 Any scope 또는 위에서 추가한 groups 를 지정합니다.

이제 셀렉트 어드민 편집 > 설정 > 보안 에서 Group mapping을 활성화 합니다.

왼쪽(Everyone)은 Okta의 그룹이름이고, 오른쪽(Admin/Editor/Viewer)은 셀렉트 권한입니다.

그룹명은 셀렉트 전용으로 새로파거나, 기존 그룹을 그대로 이용합니다.

예제:

  • Select Devops → Admin
  • Select Developers → Edit
  • Operators → View

*그룹 이름은 셀렉트에 저장되지 않으며 별도의 유효성 검증이 없습니다. 정확한 그룹 이름을 입력해주세요.

이 글에서는 Everyone 권한을 추가했습니다.

이제 어드민을 로그아웃 후, 다시 로그인하면 Okta 권한으로 재설정됩니다.

사용자가 여러개 그룹에 속해있는 경우 상위 권한이 적용됩니다. [admin, editor] → Admin
권한이 변경된 경우 감사로그에 기록이 남습니다. (Modified by Okta)

설정이 끝난 후 Force SSO을 활성화하여 Okta 이외에 다른 로그인 방법을 차단합니다.

기타 문제를 겪는 경우 채팅 또는 커뮤니티를 통해 문의바랍니다.