[OKTA] #4. 정책 Policy

https://developer.okta.com/docs/guides

1. 정책이란

1.1. 개요

• 정책은 애플리케이션 및 API에 대한 액세스 관리 용도로 사용함
• 사용자 및 그룹 멤버십, 장치, MFA, 위치 또는 시간과 같은 조건에 따라 액세스를 제한할 수 있음
• 정책 사용 케이스
  - 조건을 사용하여 복잡한 논리를 기반으로 권한 부여 규칙 생성
  - 특정 Okta 애플리케이션에 액세스하기 전에 수행해야 하는 추가 인증 수준 결정
  - 허용된 사용자 목록을 유지하고 여러 조건에 따라 액세스를 거부
  - 액세스 토큰의 반환된 범위를 변경하고 인라인 후크 를 사용하여 액세스 토큰과 ID 토큰에 대한 클레임 추가
  - 로그인이 실시간으로 발생하면 API를 통해 다른 시스템에 알림
  - 토큰 범위를 사용하여 외부 데이터베이스 또는 API에서 사용자 정보를 조회한 다음 해당 데이터를 사용자의 프로필 개체에 추가

1.2. 지원하는 정책 유형

• 글로벌 세션 정책
  - 로그인할 수 있는 사람과 사용자가 Okta에 로그인할 수 있는 방법을 제어
  - MFA에 대한 질문이 있는지 여부와 다시 인증하기 전에 로그인 상태를 유지할 수 있는 기간이 포함
• 인증 정책
  - 글로벌 세션 정책 외 응용 프로그램에 액세스하기 전에 수행할 추가 인증 수준을 결정
• Okta MFA 정책
  - 사용자가 사용할 수 있는 MFA 방법과 사용자가 특정 요소에 등록할 수 있는 시기 제어
• 암호 정책
  - 사용자의 암호 길이와 복잡성, 암호를 변경해야 하는 빈도에 대한 요구 사항을 결정
  - 암호 변경, 암호 재설정 및 셀프 서비스 암호 잠금 해제를 포함하여 사용자가 수행할 수 있는 복구 작업에도 적용
• IdP 검색 정책
  - 사용자가 조직에 로그인을 시도할 때 라우팅할 위치를 결정(다양한 ID 제공자 로 라우팅 가능)
• OAuth 권한 부여 정책
  - 특정 클라이언트 애플리케이션과 여기에 포함된 규칙은 부여 유형, 사용자 및 범위의 주어진 조합에 대한 특정 토큰 수명을 정의함

2. 정책 사용 사례

2.1. 앱에 액세스할 수 있는 사용자 제어

• 글로벌 세션 정책은 사용자가 Okta에 로그인할 수 있는 방식을 제어함
  - 회사 네트워크 내부에 있는 사용자만 애플리케이션에 액세스할 수 있도록 제어
  - 액세스에서 조직의 특정 역할을 제외해야 하는 경우

2.2. 사용자가 앱에 액세스하는 방법 제어

• 글로벌 세션 정책 외에도 응용 프로그램에 액세스하기 전에 수행할 수 있는 추가 인증 수준을 결정하는 각 응용 프로그램에 대한 인증 정책이 있음
  - 앱에 할당된 그룹에 60분 후에 다시 인증하도록 요청 하는 규칙을 추가
• MFA 등록 정책을 만들어 사용자가 앱에 액세스하는 방법을 제어 가능
  - 사용자가 처음 로그인할 때 요소에 등록하라는 메시지를 표시
  - 사용자가 새 국가에서 앱에 액세스하려고 할 때와 같이 추가 인증 문제를 트리거하는 조건을 정의
• 비밀번호 정책은 또한 사용자가 앱에 액세스하는 방법을 제어
  - 사용자의 암호 길이와 복잡성, 암호를 변경해야 하는 빈도에 대한 요구 사항을 결정