Okta에서 OIDC(OpenID Connect) 기반 SSO(싱글 사인온)를 지원하려면 먼저 Okta에서 애플리케이션을 설정해야 합니다. SSO를 위해 Okta에서 OIDC 기반 애플리케이션을 설정하려면 이 절차의 단계를 수행하십시오.
사전 요구 사항
로그인할 Okta 계정이 있는지 확인합니다.
프로시저
- Okta 계정에 관리자 권한으로 로그인합니다.
Okta 홈 화면이 나타납니다.참고: 개발자 콘솔(Developer Console) 보기에 있는 경우에는 개발자 콘솔(Developer Console) 드롭다운 목록에서 클래식 UI(Classic UI)를 선택하여 클래식 UI(Classic UI) 보기로 전환해야 합니다.
- 새 애플리케이션을 생성하려면 다음을 수행합니다.
- 위쪽 탐색 모음에서 애플리케이션(Applications) > 애플리케이션 추가(Add Application)를 클릭합니다.
애플리케이션 추가(Add Application) 화면이 나타납니다.
- 새 애플리케이션 생성(Create New App)을 클릭합니다.
새 애플리케이션 통합 생성(Create a New Application Integration) 대화상자가 나타납니다.
- 플랫폼(Platform) 드롭다운 메뉴에서 웹(Web)을 선택합니다.
- 로그온 방법으로 OpenID Connect를 선택하고 생성(Create)을 클릭합니다.
OpenID Connect 통합 생성(Create OpenID Connect Integration) 화면이 나타납니다.
- 일반 설정(General Settings) 영역의 애플리케이션 이름(Application name) 텍스트 상자에 애플리케이션 이름을 입력합니다.
- OPENID CONNECT 구성(CONFIGURE OPENID CONNECT) 영역에서 로그인 리디렉션 URI(Login redirect URIs) 텍스트 상자에 SASE Orchestrator 애플리케이션에서 콜백 끝점으로 사용하는 리디렉션 URL을 입력합니다.
SASE Orchestrator 애플리케이션에서 인증 구성(Configure Authentication) 화면의 아래쪽에 있는 리디렉션 URL 링크를 찾을 수 있습니다. 이상적인 SASE Orchestrator 리디렉션 URL은 https://<Orchestrator URL>/login/ssologin/openidCallback 형식입니다.
- 저장(Save)을 클릭합니다. 새로 생성된 애플리케이션 페이지가 나타납니다.
- 일반(General) 탭에서 편집(Edit)을 클릭하고 허용되는 권한 유형으로 토큰 새로 고침(Refresh Token)을 선택하고 저장(Save)을 클릭합니다.
SASE Orchestrator에서 SSO 구성 중에 사용할 클라이언트 자격 증명(클라이언트 ID 및 클라이언트 암호)을 적어 둡니다.
- 로그온(Sign On) 탭을 클릭하고 OpenID Connect ID 토큰(OpenID Connect ID Token) 영역에서 편집(Edit)을 클릭합니다.
- 그룹 클레임 유형(Groups claim type) 드롭다운 메뉴에서 표현식(Expression)을 선택합니다. 기본적으로 그룹 클레임 유형은 필터(Filter)로 설정됩니다.
- 그룹 클레임 표현식(Groups claim expression) 텍스트 상자에 토큰에서 사용할 클레임 이름과 토큰을 평가하는 Okta 입력 표현식 문을 입력합니다.
- 저장(Save)을 클릭합니다.
IDP에서 애플리케이션이 설정됩니다. 사용자 그룹 및 사용자를 SASE Orchestrator 애플리케이션에 할당할 수 있습니다.
- 위쪽 탐색 모음에서 애플리케이션(Applications) > 애플리케이션 추가(Add Application)를 클릭합니다.
- SASE Orchestrator 애플리케이션에 그룹 및 사용자를 할당하려면 다음을 수행합니다.
- 애플리케이션(Application) > 애플리케이션(Applications)으로 이동하고 SASE Orchestrator 애플리케이션 링크를 클릭합니다.
- 할당(Assignments) 탭의 할당(Assign) 드롭다운 메뉴에서 그룹에 할당(Assign to Groups) 또는 People에 할당(Assign to People)을 선택합니다.
그룹에 <애플리케이션 이름 > 할당(Assign <Application Name> to Groups) 또는 People에 <애플리케이션 이름 > 할당(Assign <Application Name> to People) 대화상자가 표시됩니다.
- SASE Orchestrator 애플리케이션을 할당하려는 사용 가능한 사용자 그룹 또는 사용자 옆에 있는 할당(Assign)을 클릭하고 완료(Done)를 클릭합니다.
SASE Orchestrator 애플리케이션에 할당된 사용자 또는 사용자 그룹이 표시됩니다.
결과
SSO용 Okta에서 OIDC 기반 애플리케이션 설정을 완료했습니다.
다음에 수행할 작업
SASE Orchestrator에서 싱글 사인온을 구성합니다.