본문으로 건너뛰기

Okta로 싱글 사인온 (SSO)을 설정하세요

최소한의 구성만으로 이 커넥터를 통해 Okta와 엔터프라이즈 싱글 사인온 (SSO) 연동이 가능합니다.

:

SSO 및 Logto에서 SSO를 구성하는 방법에 대한 자세한 정보는 엔터프라이즈 SSO (SAML & OIDC) 문서를 참조하여 시작하세요.

1단계: Okta 관리 포털에서 OIDC 애플리케이션 생성

  • Okta 관리자 포털에 방문하여 관리자 계정으로 로그인하세요.
  • 사이드 메뉴를 사용하여 Applications/Applications 페이지로 이동하세요.
  • 새로운 OIDC 애플리케이션을 생성하기 위해 Create App Integration 버튼을 클릭하세요.
  • Sign-in methodOIDC - OpenID Connect 옵션을 선택하세요.
  • Application type으로 Web Application 옵션을 선택하세요.
Okta create application

계속하려면 Next 버튼을 클릭하세요.

2단계: 애플리케이션 설정 구성

  1. App integration name을 제공합니다. 이는 OIDC 애플리케이션의 식별자로 사용됩니다.
  2. Logto SSO 커넥터의 콜백 URL을 사용하여 새로운 Sign-in redirect URIs를 추가합니다.

이 URI는 Okta가 인증에 성공한 후 사용자의 브라우저를 리디렉션할 URI입니다. 사용자가 IdP를 통해 성공적으로 인증을 마치면, IdP는 사용자의 브라우저를 이 지정된 URI로 인가 코드와 함께 다시 리디렉션합니다. Logto는 이 URI에서 받은 인가 코드를 기반으로 인증 과정을 완료합니다.

Okta 애플리케이션 설정
  1. 애플리케이션에 사용자를 할당합니다.

Assignments 설정에 따라 애플리케이션을 모든 사용자 또는 특정 사용자/그룹에 할당할 수 있습니다.

Okta 사용자 할당

Save 버튼을 클릭하여 애플리케이션 설정을 저장하세요.

3단계: 클라이언트 자격 증명으로 Logto 커넥터 설정

OIDC 애플리케이션을 성공적으로 생성한 후, 애플리케이션 세부 정보 페이지로 리디렉션됩니다.

Okta 클라이언트 자격 증명

client IDclient secret을 복사하여 Logto SSO 커넥터의 Connection 탭에 해당 필드를 채우세요.

Okta 도메인을 발급자 (Issuer)로 사용하세요. 예: https://dev-12345678.okta.com. 모든 필드를 채운 후, Save 버튼을 클릭하여 커넥터 설정을 저장하세요.

제공한 발급자 (Issuer) 링크가 유효하면, 발급자 (Issuer) 필드 아래에 Okta IdP 구성의 전체 목록이 구문 분석되어 표시됩니다.

4단계: 추가 스코프 (선택 사항)

스코프 (Scope)는 애플리케이션이 사용자로부터 요청하는 권한 (Permission)을 정의하며, 애플리케이션이 사용자의 Okta 계정에서 어떤 데이터에 접근할 수 있는지를 제어합니다. 추가 Okta 권한 (Permission)을 요청하려면 양쪽에서 설정이 필요합니다:

Okta 관리자 콘솔에서:

  1. Applications > Applications로 이동하여 OIDC 애플리케이션을 선택하세요.
  2. Assignments 탭으로 이동하여 애플리케이션이 필요한 사용자 및 그룹에 접근할 수 있는지 확인하세요.
  3. 커스텀 스코프가 필요한 경우, Security > API > Authorization Servers로 이동하여 인가 서버를 선택하세요.
  4. 필요에 따라 커스텀 스코프를 추가하세요:
    • Scopes를 클릭한 후 Add Scope를 선택하세요.
    • Okta API에 접근하기 위해 okta.users.read 또는 okta.groups.read와 같은 스코프 이름을 정의하세요.
    • 각 스코프에 대한 동의 (Consent) 요구 사항을 설정하세요.

사용 가능한 스코프와 그 설명의 전체 목록은 Okta OIDC 문서를 참조하세요.

Logto Okta 커넥터에서:

  1. Logto는 기본적으로 openid, profile, email 스코프를 포함하여 기본 사용자 아이덴티티 정보를 가져옵니다. 기본 사용자 정보만 필요하다면 Scopes 필드를 비워두어도 됩니다.
  2. 토큰을 저장하여 지속적인 API 접근이 필요하다면 Scopes 필드에 offline_access를 추가하세요. 이 스코프는 장기 API 접근을 위한 리프레시 토큰 (Refresh token)을 활성화합니다.
  3. Okta에서 더 많은 데이터를 요청하려면 Scopes 필드에 추가 스코프를 (공백으로 구분하여) 입력하세요. 예시: okta.users.read okta.groups.read
:

애플리케이션이 이러한 스코프를 요청하여 Okta API에 접근하고 작업을 수행하려면, Logto Okta 커넥터에서 지속적인 API 접근을 위한 토큰 저장을 반드시 활성화하세요. 자세한 내용은 다음 섹션을 참고하세요.

5단계: Okta API에 접근하기 위한 토큰 저장 (선택 사항)

Okta 스코프에 접근하고 사용자 인가 (Authorization)로 작업을 수행하려면, Logto가 특정 스코프 (Scope)를 받아 토큰을 저장해야 합니다.

  1. Okta 개발자 콘솔의 API 권한 설정과 Logto Okta 커넥터에 필요한 스코프 (Scope)를 추가하세요.
  2. Logto Okta 커넥터에서 지속적인 API 접근을 위한 토큰 저장을 활성화하세요. Logto는 Okta 액세스 토큰 (Access token)과 리프레시 토큰 (Refresh token)을 Secret Vault에 안전하게 저장합니다.
  3. 리프레시 토큰 (Refresh token)이 반환되도록 하려면, Okta 애플리케이션 권한에 offline_access 스코프 (Scope)를 추가하고 Logto Okta 커넥터 스코프에도 포함하세요. 이 스코프 (Scope)는 애플리케이션이 장기간 리소스에 접근할 수 있도록 해줍니다.

6단계: 이메일 도메인 설정 및 SSO 커넥터 활성화

Logto의 커넥터 SSO 경험 탭에서 조직의 이메일 도메인을 입력하세요. 이렇게 하면 해당 도메인을 가진 사용자들에게 SSO 커넥터가 인증 (Authentication) 방법으로 활성화됩니다.

지정한 도메인의 이메일 주소를 가진 사용자는 SSO 커넥터만을 인증 (Authentication) 방법으로 사용하도록 리디렉션됩니다.

Okta와 OIDC 통합을 생성하는 방법에 대한 자세한 내용은 OIDC 앱 통합 생성을 참고하세요.