OpenID Connect를 사용하여 Security Center와 Okta를 통합하는 방법 - Security Center 5.11

Security Center 관리자 안내서 5.11

Applies to
Security Center 5.11
Last updated
2022-11-18
Content type
안내서 > 관리자 안내서
Language
한국어
Product
Security Center
Version
5.11

Security CenterOkta를 사용하여 OpenID Connect로 사용자를 인증하기 전에 Config Tool및 Okta Admin Console에서 설정이 필요합니다.

이 예에서는 OIDC(OpenID Connect) UserInfo 엔드포인트를 사용하여 Okta로 타사 인증 설정에 필요한 단계를 보여줍니다. 해당 절차는 다음과 같은 섹션으로 구성됩니다.

  1. Security Center 준비
  2. Okta 준비
  3. Security Center와 Okta 통합

타사 인증을 구현하려면 Security Center 및 Okta에 관리자 권한이 있어야 합니다.

IMPORTANT: 이 샘플 통합은 사용자의 요구 사항과 다를 수 있으며 Okta 관리자 콘솔이 변경될 수 있습니다. Okta를 설정할 때는 특정 상황에 맞게 모든 단계를 조정해야 합니다.

1 - Security Center 준비

  1. Config Tool을 열고 Security Center 메인 서버에 관리자로 연결합니다.
  2. Config Tool에서 시스템 > 역할을 열고 엔터티 추가 > Authentication Service를 클릭합니다.
    Config Tool 에 속성 메뉴를 Authentication Service Role 강조 표시하여 추가합니다.
  3. 역할 생성: Authentication Service 창에서 OpenID를 선택하고 다음을 클릭합니다.
    Role 생성: OpenID 프로토콜이 선택된 Config Tool의 Authentication Service 창.
  4. 새 Authentication Service 역할에 사용할 이름과 선택적 설명을 입력하고 다음을 클릭합니다.
    Role 생성: Okta에 대한 기본 정보 필드를 표시하는 Config Tool 에서의 Authentication Service 창.
    NOTE: 시스템에 여러 개의 파티션이 있는 경우 여기에서 특정 파티션에 새 역할을 추가할 수도 있습니다.
  5. 요약 페이지에서 모든 정보가 올바른지 확인하고 생성을 클릭한 후 종료를 클릭합니다.
  6. 새로 생성한 역할에서 네트워크 끝점 탭을 클릭합니다.
  7. 네트워크 엔드포인트 페이지에서 OIDC 리디렉션로그아웃 URI를 복사합니다. 이것들은 Okta Sign-in redirect URISign-out redirect URI를 구성하는 데 필요합니다.
    NOTE: 엔드포인트 URI를 보려면 시스템 작업을 재시작해야 할 수도 있습니다.
    Config Tool 에서의 Authentication Service Role 의 네트워크 엔드포인트 페이지는 리디렉션 및 로그아웃 URI를 보여줍니다.

2 - Okta 준비

Okta 관리자 콘솔에서 이러한 단계를 완료하려면 다음 필수조건을 모두 충족해야 합니다.
  • Okta 관리자 계정이 있습니다.
  • 한 명 이상의 사용자에게 프로비저닝했습니다.
  • Security Center에 대한 접근 권한을 부여하려는 사용자가 포함된 하나 이상의 사용자 그룹에 프로비저닝했습니다.
  1. Okta 관리자 Console에서 애플리케이션 > 을 선택한 다음 앱 통합 생성을 클릭합니다.
    Okta 관리자 콘솔은 애플리케이션 페이지에서 앱 통합 버튼을 보여줍니다.
  2. 새 앱 통합 생성 마법사에서 OIDC - OpenID Connect, 웹 애플리케이션 을 선택한 다음 다음 을 클릭합니다.
    OIDC 및 웹 애플리케이션 선택된 상태에서 Okta 관리자 Console에서 새 앱 통합 마법사 생성
  3. 새 Web App 통합 페이지에서 다음을 설정한 다음 저장 을 클릭하십시오:
    • 앱 통합 이름
      앱 통합 이름 및 부여 유형에 대한 설명이 있는 Okta 관리자 Console의 새 웹 앱 통합 페이지.
    • 리디렉션 URI에서 복사한 Security Center로그인 리디렉션 URI
      로그인 리디렉션 URI에 대한 설명이 있는 Okta 관리자 Console의 새 웹 앱 통합 페이지.
    • 로그아웃 URI에서 복사한 Security Center로그아웃 리디렉션 URI
      로그아웃 리디렉션 URI에 대한 설명이 있는 Okta 관리자 Console의 새 웹 앱 통합 페이지.
    • 출입 통제 제한선택된 그룹에 대해서만 출입을 허용하고 필요한 그룹을 추가합니다
      제어된 출입통제에 대한 설명이 있는 Okta 관리자 Console의 새 웹 앱 통합 페이지.
  4. 애플리케이션 일반 페이지에서 기본값 클라이언트 ID클라이언트 비밀을 복사합니다. Security Center를 구성하는 데 필요합니다. 필요한 경우 편집 을 클릭하여 새 클라이언트 비밀 생성
    클라이언트 크리덴셜을 보여주는 Okta 관리자 콘솔 웹 애플리케이션에 대한 일반 페이지
  5. Security Center 애플리케이션의 Okta API 범위 탭을 클릭하고 okta.groups.readokta.users.read 작업을 부여합니다.
    Okta 관리자 Console의 Okta API 범위 페이지에 허용된 작업이 표시됩니다.
  6. 보안 > API 을 클릭하고 기본값 인증 서버 발급자 URI 복사합니다. 이 URI는 Security Center를 구성하는 데 필요합니다.
    API 페이지에서 발급자 URI를 보여주는 Okta 관리자 콘솔
  7. 기본 인증 서버를 열고 클레임 탭을 클릭한 후 클레임 추가를 클릭합니다.
    클레임 추가 버튼이 표시된 Okta 관리자 Console의 기본값 인증 서버에 대한 클레임 페이지.
  8. 다음과 같이 그룹 클레임을 추가하고 생성을 클릭합니다.
    Security Center 에 필요한 설정을 보여주는 Okta 관리자 Console에 클레임 창 추가
    NOTE: .*가 있는 Matches regex 필터는 인증된 사용자가 속하는 모든 그룹을 반환합니다.

    필요한 경우 이 필터를 사용하여 클레임에서 특정 그룹을 제외할 수도 있습니다. 접근 권한을 부여하려면 Security Center에 할당된 1개 이상의 그룹이 클레임과 함께 포함되어야 합니다.

3 - Security Center와 Okta 통합

  1. Config Tool에서 이전에 생성한 Authentication Service 역할을 열고 속성 탭을 클릭합니다.
  2. 다음과 같이 속성을 작성합니다.
    이름 표시
    Security Center에 로그온할 때 타사 인증 옵션은 각각 '<display name>(으)로 로그인'이라는 텍스트가 있는 버튼으로 표시됩니다.
    발급자
    Okta의 기본 인증 서버에서 복사한 발급자 URI를 입력합니다.
    도메인 이름
    Okta를 사용하여 인증하는 사용자의 도메인 이름(예: genetec.com)입니다. 1개 이상 있어야 합니다.
    클라이언트 ID
    Okta의 Security Center 애플리케이션에서 복사한 클라이언트 ID를 입력합니다.
    기밀 클라이언트
    켜짐으로 전환합니다.
    클라이언트 암호
    Okta의 Security Center 애플리케이션에서 복사한 클라이언트 암호를 입력합니다.
    사용자 이름 클레임
    preferred_username을 입력합니다.
    그룹 클레임
    groups를 입력합니다.
    다음에서 클레임 가져오기(고급 설정)
    • 접근 권한 토큰꺼짐으로 전환합니다.
    • 사용자 정보 엔드포인트켜짐으로 전환합니다.

    기타 모든 속성은 기본값으로 유지합니다.

  3. 적용을 클릭합니다.
  4. Okta의 Security Center 애플리케이션에 할당된 그룹과 완전히 동일한 이름을 사용하여 사용자 그룹을 1개 이상 생성합니다.
  5. Okta를 사용하여 연결할 권한이 있는 그룹을 Authentication Service 역할의 사용자 그룹 목록에 추가합니다.