[OKTA] #3. Authorization Server (인증 서버)

https://developer.okta.com/docs/guides

1. Authorization Server (권한 부여 서버)

1.1. Authorization Server (권한 부여 서버)란?

• OpenID Connect 또는 OAuth 2.0 토큰을 발행하기 위한 엔진이며, 액세스 정책을 적용하는데도 사용
• 각 권한 부여 서버 별 고유한 발급자 URI 및 서명 키가 존재함

1.2. Authorization Server (권한 부여 서버)를 사용할 수 있는 대상

• OpenID Connect는 웹 앱으로 사용자를 인증하는 데 사용
• OAuth 2.0은 API에 대한 사용자 액세스 권한을 부여하는 데 사용

1.3. 사용 가능한 Authorization Server 유형

1.3.1. Org Authorization Server (조직 권한 부여 서버)

• Okta 사용 시 기본적으로 내장 된 권한 부여 서버로, OpenID Connect 앱에 대해 Okta와 SSO를 수행하거나 Okta API에 대한 액세스 토큰을 반환함
  - Default URL: https://${yourOktaOrg}
•  아래 2개의 discovery endpoint는 OpenID Connector 또는 OAuth 2.0 메타데이터를 반환함
  - OpenID: https://${yourOktaOrg}/.well-known/openid-configuration
  - OAuth: https://${yourOktaOrg}/.well-known/oauth-authorization-server

1.3.2. Custom Authorization Server (사용자 지정 권한 부여 서버)

• API를 보호하기 위한 권한 부여 정책 및 액세스 토큰을 생성
  - Default Custom Authorization Server URL: https://${yourOktaDomian}/api/v1/authorizationServers/default
  - 생성한 C.A.S의 URL: https://${yourOktaDomain}/api/v1/authorizationServers/${authorizationServerId}
  
• 아래 2개의 discovery endpoint는 OpenID Connector 또는 OAuth 2.0 메타데이터를 반환함
  - OpenID: https://${yourOktaDomain}/oauth2/${authorizationServerId}/.well-known/openid-configuration
  - OAuth: https://${yourOktaDomain}/oauth2/${authorizationServerId}/.well-known/oauth-authorization-server

1.4. 권한 부여 서버를 사용 용도

• Org Authorization Server를 사용하는 경우
  - OpenID Connect 기반 애플리케이션에 SSO를 추가하려는 경우
  - Okta API와 함께 OAuth 2.0 전달자 토큰 을 사용하려면 경우 
• Custom Authorization Server를 사용하는 경우
  - 애플리케이션에 추가 범위, 범위 부여 시기에 대한 사용자 지정 규칙과 같은 요구 사항이 있거나 범위 및 클레임이 다른 추가 권한 부여 서버가 필요한 경우
  
  

https://developer.okta.com/docs/concepts/auth-servers/#which-authorization-server-should-you-use