Okta 연동하기

Overview

QueryPie에서는 Okta 연동을 지원합니다. Okta의 사용자 및 그룹을 동기화하여 접근 권한을 부여하고 정책을 적용할 수 있으며, 이 과정에서 사용자에게 간소화되고 편리한 환경을 제공하면서도 엄격한 보안 정책을 운영할 수 있습니다. QueryPie와 Okta의 통합은 데이터베이스 및 시스템 관리 생태계의 보안과 운영 효율성 및 사용자 경험이 향상시킬 수 있습니다.

SCIM 프로비저닝 연동까지 구현하고자 하는 경우, [Okta] 프로비저닝 연동 가이드 내 절차대로 대신 진행하여 주시기 바랍니다. 하단의 Okta API를 활용한 아웃바운드 사용자 동기화 설정을 동시에 활용할 시, 사용자 동기화에 영향을 받을 수 있는 점 유의하시기 바랍니다.

Okta에서 QueryPie 를 애플리케이션으로 추가

Okta Admin > Applications > Applications > Browse App Catalog > QueryPie 검색

Okta 서비스 에 접속하여 관리자 계정으로 로그인합니다.
우측 상단의 프로필을 클릭하여 Your Org로 접속합니다.
Okta 관리자 페이지의 좌측 패널에서 Applications > Applications 메뉴로 이동합니다.
Browse App Catalog 버튼을 클릭하여 QueryPie 를 검색합니다.
QueryPie 애플리케이션 페이지로 들어가 Add Integration 버튼을 클릭합니다.
Application Label에 QueryPie 로 입력된 것을 확인 후, Done 버튼을 클릭하여 애플리케이션을 추가합니다.

Okta 계정 연동을 위한 Profile 설정

Okta Admin > Directory > Profile Editor > QueryPie User > Add Attribute

Okta 관리자 페이지의 좌측 패널에서 Directory > Profile Editor 메뉴로 이동합니다.
Profile 목록 중 ‘QueryPie User’ 를 클릭합니다.
Attributes 설정에서 Add Attribute 버튼을 클릭합니다.
Attribute 추가 화면에서 아래 4가지 항목을 차례대로 입력 후 저장합니다.
1. Display name : firstName / Variable name : firstName 항목 입력 후 Save and Add Another
2. Display name : lastName / Variable name : lastName 항목 입력 후 Save and Add Another
3. Display name : email / Variable name : email 항목 입력 후 Save and Add Another
4. Display name : loginId / Variable name : loginId 항목 입력 후 Save 클릭

Okta Admin > Directory > Profile Editor > QueryPie User > Mappings

4가지 Attribute 가 추가된 것을 확인 후 Mappings 버튼을 클릭합니다.
Okta User Profile Attribute 항목을 아래와 같이 QueryPie User Profile의 Attribute 와 연결합니다.
1. user.firstName ↔︎ firstName
2. user.lastName ↔︎ lastName
3. user.email ↔︎ email
4. user.email ↔︎ loginId (Okta 의 email 항목을 QueryPie 의 로그인 Id 로 사용합니다.)
Save Mappings 버튼을 클릭하여 저장합니다.

Okta에 추가된 QueryPie 애플리케이션에 사용자 할당

Okta Admin > Applications > Applications > QueryPie App

Okta 관리자 페이지의 좌측 패널에서 Applications > Applications 메뉴로 이동합니다.
리스트에서 QueryPie 애플리케이션을 클릭합니다.
Assignments 탭으로 이동한 뒤 Assign 버튼을 클릭하여 Assign to People 또는 Assign to Group을 선택합니다.
Okta 계정으로 QueryPie 접근을 허용할 사용자 또는 그룹을 할당한 뒤 Done 버튼을 클릭합니다.
1. People 할당시 사용자 정보 확인 후 Sava and Go Back 버튼을 클릭합니다.
2. Group 할당시 loginId 항목을 빈 칸으로 두고 Save and Go Back 버튼을 클릭합니다.
사용자 또는 그룹이 QueryPie 애플리케이션에 할당되어 추가된 내역을 확인하실 수 있습니다.

Okta에서 QueryPie 애플리케이션 연동 정보 설정

Okta 내의 QueryPie 애플리케이션 페이지에서 Sign On 탭으로 이동합니다.
Settings 영역의 Edit 버튼을 클릭하여 QueryPie 가 설치된 도메인 주소를 Base URL 항목에 입력하고 저장합니다.
Metadata URL에 표기된 주소로 별도 탭에서 접근하여 표시되는 XML 정보를 복사합니다.

최소 권한의 Okta API 토큰 발급

QueryPie-Okta 간 사용자 및 그룹, 그룹 멤버십의 동기화를 위해 Okta Admin API 토큰 발급이 필요합니다. 일반적인 방법으로는 이용하고 계신 Okta 최고관리자(Super Administrator)/읽기권한관리자(Read-Only Administrator) 계정으로 API 토큰을 이하의 방법으로 발급하여 적용하는 방법이 있습니다:

Okta 관리자 페이지 좌측 패널에서 Security > API 메뉴로 이동합니다.
API 메뉴에서 Tokens 탭으로 이동합니다.
Create Token 버튼을 클릭하여 인증 토큰을 생성할 수 있습니다.

다만, 보안 수준 향상을 위해 Okta API 토큰의 권한을 최소한으로 부여하도록 조정해야 하는 경우, 이하의 권한 및 방법에 따라 API 토큰을 생성하실 것을 권장드립니다.

Okta Admin Console > Security > Administrators > Roles > Create new role

Okta 관리자 페이지 좌측 패널에서 Directory > People 메뉴로 이동하여 Add Person을 눌러 전용 시스템 연동용 계정을 생성합니다.
- 이미 쿼리파이 연동용으로 사용 가능한 계정이 있다면 본 단계를 넘어갑니다.
Okta 관리자 페이지 좌측 패널에서 Security > Administrators 메뉴로 이동하여 Roles탭으로 이동합니다.
Create new role을 선택합니다.
Role name (예. MinimumAdminRole) 및 Role description을 정의한 뒤, Select Permisions에서 이하의 권한만 체크합니다.
1. User
  - View users and their details
2. Group
  - View groups and their details
3. Application
  - View application and their details
Save role을 눌러 커스텀 롤을 저장합니다.
Resources 탭으로 이동합니다.
Create new resource set을 선택합니다.
- 이미 할당할 권한 범위 지정을 위해 만들어두신 resource set이 있다면 본 단계를 넘어가 10번 단계를 진행합니다.
Name (예. MinimumResources) 및 Description을 정의한 뒤 이하의 범위를 검색하여 지정합니다.
1. User : 쿼리파이 사용자 전부 선택
2. Group : 쿼리파이 사용 그룹 전부 선택
3. Application : 쿼리파이 앱으로 한정
Create를 선택하여 생성합니다.
Admins 탭으로 이동하여 쿼리파이 연동용 계정에 이하의 권한을 할당합니다.
1. Role: MinimumAdminRole | Resource: MinimumResources
2. Role: Read-Only Administrator
  - API 토큰 생성메뉴 접근을 위한 임시 부여
쿼리파이 연동용 계정으로 옥타 관리자 콘솔 페이지로 인증 후 접근합니다.
Security > API 메뉴에서 Tokens 탭으로 이동합니다.
Create Token 버튼을 클릭하여 인증 토큰을 생성하여 이를 보관합니다.
이후 다시 초기 작업하였던 관리자 계정으로 접속하여 Security > Administrators > Admins 탭에서 연동용 계정을 편집하여 Read-Only Adminstrator 권한을 회수합니다.

QueryPie에서 Okta 연동 및 동기화 설정

Administrator > General > User Management > Authentication

QueryPie 에서 Administrator > General > User Management > Authentication 메뉴로 이동합니다.
인증 Type 항목에서 Okta 를 선택합니다.
복사한 XML 정보를 Identity Provider Metadata 항목에 붙여넣기합니다.
자동 동기화를 설정하고자 하는 경우, “Use Synchronization with the Authentication System”를 체크합니다.
1. API URL: Okta 관리자 페이지 우측 상단의 프로필을 클릭하면 {domain}.okta.com 형식의 URL 을 확인할 수 있습니다.
2. API Token: Okta 관리자 API 토큰을 기입합니다.
3. Application ID: Okta 내에서 2개 이상의 QueryPie App 을 사용할 경우 입력합니다.
자동 동기화 기능을 사용하고자 할 경우 Replication Frequency 항목에서 Scheduling 을 설정합니다.
Dry Run 버튼을 클릭하여 연동 정보가 정상적으로 입력되었는지 확인합니다.
Save Changes로 저장합니다.
Synchronize 버튼을 클릭하여 Okta 의 사용자를 동기화합니다.

Application ID 확인하는 방법 2개 이상의 QueryPie Application 을 사용하는 경우, Okta Admin > Applications 으로 이동하여 QueryPie 앱의 디테일 화면으로 들어가면 상단 URL 에서 위의 스크린샷에 표시된 것과 같은 Application ID 를 확인하실 수 있습니다.

Okta Admin > Applications > QueryPie App 상단 URL

QueryPie에서 Okta 로그인

General Settings > Users 또는 Groups 메뉴에서 동기화된 사용자 및 그룹을 확인할 수 있습니다.
이제 로그인 페이지에서 Login with Okta 버튼을 통해 Okta 계정으로 QueryPie에 로그인할 수 있습니다.

해당 연동 방식으로는 사용자 및 그룹은 Okta → QueryPie로의 단방향 동기화를 지원합니다. SCIM 프로비저닝 연동까지 구현하고자 하는 경우, [Okta] 프로비저닝 연동 가이드 내 절차대로 대신 진행하여 주시기 바랍니다.