MDM 솔루션이 부재한 환경에서 Okta가 제공하는 device정보를 기반으로 다른 EDR솔루션 등을 활용하여 얼마나 Device Management가 가능할 지 검토 중이신 경우, 해당 정보가 도움이 되시리라 판단됩니다. 해당 자료는 Okta Classic에 해당하는 부분으로, Okta Identity Engine(2021/11/17 정식 출시) 테넌트 도입 예정인 환경에서는 아래 링크를 참고하시기 바랍니다:

Okta Identity Engine - Device Registration

또한, 해당 사항은 Okta Adaptive MFA 라이선스에 한합니다.

Okta에서 확인 가능한 디바이스에 관한 컨텍스트로 DeviceFingerprint라는 항목이 존재하나, 웹브라우저의 버전의 변화에 따라 변질되어 관리가 어려울 것으로 판단되고 있습니다. 해당 구현이 가능하려면 2가지 제약사항이 전제되어야 합니다:

1. 사용가능 브라우저 제한

• 동일 디바이스 내 이용 브라우저가 달라지면 DeviceFingerprint가 다르게 찍힙니다. (예, Chrome 접속, Edge 접속 디바이스 핑거프린트가 상이)
• 이에 대한 방안으로는 사용자의 이용가능 브라우저를 모두 단일 브라우저로 제한하거나, 모든 브라우저에 대한 DeviceFingerprint를 모두 별도로 관리하는 방안이 필요합니다.

2. 브라우저 자동 업그레이드 해제

• 브라우저의 버전이 업데이트가 되면 DeviceFingerprint도 변하게 됩니다.
• 이에 대한 방안으로는 폐쇄망 브라우저와 같이 사용자 브라우저의 자동 업데이트를 해제하여 통제하거나, DeviceFingerprint를 별도 수집할 개별 관리DB를 브라우저 패치 버전에 따라 지속 업데이트 해야 합니다.

이하 해당 DeviceFingerprint에 관한 확인사항을 공유드립니다:

1. 각 Okta System Log에서 사용자 로그인(eventType=”user.session.start”) 시 조회 가능한 디바이스 컨텍스트 : Event > System > DebugContext > DebugData > DeviceFingerprint

   • Event
     • System
       • DebugContext
         • DebugData
           • DeviceFingerprint c6fc4dbeea4435aa3cba4ab7833596f3

2. DeviceFingerprint에 대한 의존성 : 사용자의 각 디바이스 및 UserAgent에 의존도 있음

   • Client
     • UserAgent
       • BrowserSAFARI
       • OSMac OS X
       • RawUserAgentMozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/14.1.2 Safari/605.1.15

   

   계정이 달라도 디바이스가 동일하면 DeviceFingerprint는 동일함: 사용자 계정이 아닌 디바이스에 대한 의존도가 확인됨

3. DeviceFingerprint의 변질 가능성 : 있음

   사용자의 OS, 이용 Browser 및 그 버전에 따라 DeviceFingerprint가 달라짐

   

   동일 사용자가 다른 OS에서 Okta 접속 시, Fingerprint 달라짐: 취지에 부합함

   동일 디바이스 상에서 이용 브라우저가 다를 시, Fingerprint 달라짐: 디바이스가 같으면 고정되었으면 하나, 커버 가능할 수준

   동일 디바이스에서 동일 브라우저를 사용하나 브라우저 버전이 다를 시, Fingerprint 달라짐: 취지에 부합하지 못할 변수

Back to Okta 관련 정보

Back to Main