Security CenterOkta를 사용하여 OpenID Connect로 사용자를 인증하기 전에 Config Tool및 Okta Admin Console에서 설정이 필요합니다.
이 예에서는 OIDC(OpenID Connect) UserInfo 엔드포인트를 사용하여 Okta로 타사 인증 설정에 필요한 단계를 보여줍니다. 해당 절차는 다음과 같은 섹션으로 구성됩니다.
타사 인증을 구현하려면 Security Center 및 Okta에 관리자 권한이 있어야 합니다.
IMPORTANT: 이 샘플 통합은 사용자의 요구 사항과 다를 수 있으며 Okta 관리자 콘솔이 변경될 수 있습니다. Okta를 설정할 때는 특정 상황에 맞게 모든 단계를 조정해야 합니다.
1 - Security Center 준비
- Config Tool을 열고 Security Center 메인 서버에 관리자로 연결합니다.
- Config
Tool에서 을 열고 를 클릭합니다.
- 역할 생성: Authentication Service 창에서 OpenID를 선택하고 다음을 클릭합니다.
- 새 Authentication Service 역할에 사용할 이름과 선택적 설명을 입력하고 다음을 클릭합니다.NOTE: 시스템에 여러 개의 파티션이 있는 경우 여기에서 특정 파티션에 새 역할을 추가할 수도 있습니다.
- 요약 페이지에서 모든 정보가 올바른지 확인하고 생성을 클릭한 후 종료를 클릭합니다.
- 새로 생성한 역할에서 네트워크 끝점 탭을 클릭합니다.
- 네트워크 엔드포인트 페이지에서 OIDC 리디렉션 및 로그아웃 URI를 복사합니다. 이것들은 Okta Sign-in redirect URI 및 Sign-out redirect URI를 구성하는 데 필요합니다.NOTE: 엔드포인트 URI를 보려면 시스템 작업을 재시작해야 할 수도 있습니다.
2 - Okta 준비
Okta 관리자 콘솔에서 이러한 단계를 완료하려면 다음 필수조건을 모두 충족해야 합니다.
- Okta 관리자 계정이 있습니다.
- 한 명 이상의 사용자에게 프로비저닝했습니다.
- Security Center에 대한 접근 권한을 부여하려는 사용자가 포함된 하나 이상의 사용자 그룹에 프로비저닝했습니다.
- Okta 관리자 Console에서 앱 통합 생성을 클릭합니다.
- 새 앱 통합 생성 마법사에서 OIDC - OpenID Connect, 웹 애플리케이션 을 선택한 다음 다음 을 클릭합니다.
- 새 Web App 통합 페이지에서 다음을 설정한 다음 저장 을 클릭하십시오:
- 앱 통합 이름
- 의 리디렉션 URI에서 복사한 Security Center로그인 리디렉션 URI
- 의 로그아웃 URI에서 복사한 Security Center로그아웃 리디렉션 URI
- 출입 통제 제한은 선택된 그룹에 대해서만 출입을 허용하고 필요한 그룹을 추가합니다
- 앱 통합 이름
- 애플리케이션 일반 페이지에서 기본값 클라이언트 ID 및
클라이언트 비밀을 복사합니다. Security Center를 구성하는 데 필요합니다. 필요한 경우
편집 을 클릭하여 새 클라이언트 비밀 생성
- Security Center 애플리케이션의 Okta
API 범위 탭을 클릭하고
okta.groups.read
및okta.users.read
작업을 부여합니다. - Security Center를 구성하는 데 필요합니다.
- 기본 인증 서버를 열고 클레임 탭을 클릭한 후 클레임 추가를 클릭합니다.
- 다음과 같이 그룹 클레임을 추가하고 생성을 클릭합니다.NOTE:
.*
가 있는 Matches regex 필터는 인증된 사용자가 속하는 모든 그룹을 반환합니다.필요한 경우 이 필터를 사용하여 클레임에서 특정 그룹을 제외할 수도 있습니다. 접근 권한을 부여하려면 Security Center에 할당된 1개 이상의 그룹이 클레임과 함께 포함되어야 합니다.
3 - Security Center와 Okta 통합
- Config Tool에서 이전에 생성한 Authentication Service 역할을 열고 속성 탭을 클릭합니다.
- 다음과 같이 속성을 작성합니다.
- 이름 표시
- Security Center에 로그온할 때 타사 인증 옵션은 각각 '<display name>(으)로 로그인'이라는 텍스트가 있는 버튼으로 표시됩니다.
- 발급자
- Okta의 기본 인증 서버에서 복사한 발급자 URI를 입력합니다.
- 도메인 이름
- Okta를 사용하여 인증하는 사용자의 도메인 이름(예: genetec.com)입니다. 1개 이상 있어야 합니다.
- 클라이언트 ID
- Okta의 Security Center 애플리케이션에서 복사한 클라이언트 ID를 입력합니다.
- 기밀 클라이언트
- 켜짐으로 전환합니다.
- 클라이언트 암호
- Okta의 Security Center 애플리케이션에서 복사한 클라이언트 암호를 입력합니다.
- 사용자 이름 클레임
- preferred_username을 입력합니다.
- 그룹 클레임
- groups를 입력합니다.
- 다음에서 클레임 가져오기(고급 설정)
-
- 접근 권한 토큰을 꺼짐으로 전환합니다.
- 사용자 정보 엔드포인트를 켜짐으로 전환합니다.
기타 모든 속성은 기본값으로 유지합니다.
- 적용을 클릭합니다.
- Okta의 Security Center 애플리케이션에 할당된 그룹과 완전히 동일한 이름을 사용하여 사용자 그룹을 1개 이상 생성합니다.
- Okta를 사용하여 연결할 권한이 있는 그룹을 Authentication Service 역할의 사용자 그룹 목록에 추가합니다.