Okta를 실제 사용자 환경에 도입하기 이전 선두로 Okta 운영 관련하여 고려해야 할 사항을 정리하였습니다. 해당 체크리스트를 참고하시어 작업을 진행하시면 보다 신속한 사용자 온보딩을 도모하실 수 있습니다.

☑ Okta 운영 R&R 수립

• 하나의 아이덴티티 통합 관리 솔루션으로 인해 사용자 온보딩 과정에서 보안팀 및 인사팀의 역할 및 책임(Role & Responsibilities; R&R)이 중첩되는 요소가 발생하므로, 보안팀-인사팀 간 IAM에 대한 내부적 역할 분담이 필요
  • 인사팀의 Okta 관리 예시 (좌측 ▶ 버튼 클릭)
  • 보안팀의 Okta 관리 예시 (좌측 ▶ 버튼 클릭)
• 이에 대한 관리 영역 분담 결정이 필요하며, 그에 맞추어 세부 관리자 권한 할당 필요 (Okta 관리자 역할 가이드 참고; Okta에서 제공되는 기본적인 관리 어드민 role 외 커스텀하게 role을 만들어 더욱 세밀하게 역할을 분담 가능)

☑ 사용자 Source of Truth 선정

• Okta, Active Directory, SP(Google Workspace, Workday 등), 내부 별도 HR시스템 중 어떤 사용자 디렉터리를 사용자 프로필의 메인으로 두고 사용할 지 아래의 3가지를 고려하여 결정
  1. Lifecycle Management?
     • Okta 라이프사이클 매니지먼트 라이선스 구매 여부 확인
  2. Which DB?
     • 어느 DB에서 사용자 생성 및 관리할 것인지 결정
  3. Which flow?
     • 어디에서 어디로 사용자 프로필 마이그레이션/업데이트할 것인지 결정
• 원활한 사용자 온/오프보딩 관리 효율을 위하여 Okta 라이프사이클 매니지먼트 라이선스 구매하신 경우, Okta의 Universal Directory를 메인으로 두어 관리 운영하시는 것을 권장 예시) Okta 사용자 디프로비저닝 시,
  • Okta를 메인으로 둔 경우: 사용자를 앱에서 배정을 취소하거나 계정을 비활성화하면 Google Workspace에서 자동으로 사용자 계정이 비활성화되도록 구현 가능
  • Google Workspace를 메인으로 둔 경우: 구글워크스페이스에서 사용자를 삭제/비활성화 하여도 Okta에서 사용자가 비활성화 되지 않으므로 해당 계정을 Okta에서도 별도 삭제/비활성화 필요

☑ 예상 작업 일정 조율

• 본격적으로 프로젝트 진행 시 아래의 타임라인을 참고하여 원활한 작업을 위해 대략적인 작업 진행 일정 확인 필요

• 구독형 서비스로 운영되는 클라우드 특성 상, 기존의 On-Prem 구축 프로젝트와 다소 상이한 점이 있어 다온기술에서는 검수기준을 “전체 사용자 온보딩”으로 두고 있으며, 이후 추가 지원에 대해서 유지보수로써 기술지원 제공

  타임라인 예시)

  단계	진행사항	예상 소요일	비고
  설계/사전 협의	- 사전 체크리스트 항목에 따른 리뷰 및 검토	3~5일	내부 의사결정 여부에 따라 기간 상이
  납품	- 사전 체크리스트에 따른 결정사항을 Okta에 반영

  • 연동 예정 앱 연동 구성 및 정상 동작 테스트 | 2일 | 연동 앱 수 및 특성에 따라 기간 상이 | | 구축 | - Okta플랫폼으로 사용자 데이터 Import
  • 사용자 계정 활성화 작업 진행 및 모니터링 | 5일 | 내부 작업 승인 및 사전 공지 절차로 인한 추가 대기일수 발생 가능 | | 검수 | - 전체 사용자 계정 활성화 완료 확인 | 0일 | 유지보수 체제로 도입 |

• 상기 명시된 기준은 기업의 의사결정 인원 수, 사용자 수, 연동 앱 수 등에 따라 상이하므로, 목표하는 완료일 기준에 맞추어 보다 타이트하게 혹은 여유롭게 진행이 가능

☑ Okta 인증 정책 반영

1. Password 정책
   1. 사용자 계정 활성화 이전 사용자가 두 번 패스워드를 변경할 필요 없도록 사전에 패스워드 정책 반영 권장
      • ISMS/ISMS-P 2.5.4 비밀번호 관리 충족 기준 이상 반영 권장
   2. 사용자 Self Password Reset 및 Self Unlock에 대한 허용여부 결정
      • 기본 정책으로 Password 리셋을 허용하는 정책이 적용됨
      • 리셋 비허용 의사 결정 시, 차후 사용자 계정 활성화가 모두 끝난 이후 설정 권장
   3. Okta Password 정책 설정 가이드 참고
2. Multifactor 인증 등록정책
   1. 사용할 멀티팩터를 미리 선정한 뒤, 해당 멀티팩터의 사용자 등록을 위한 정책 반영 필요
   2. Okta Verify 사용 여부
      • Okta Verify with Push 기능 사용여부 (MFA라이선스 필요)
      • Okta FastPass기능 활용 예정? (SSO라이선스 필요[OIE환경])
   3. Okta Verify를 필수로 기본 정책을 둔 이후 사용자 계정 활성화 시, 암호 + Okta Verify 등록이 필수로 요구됨
   4. Okta Authenticators Enrollment 설정 가이드 참고