주요 기능
- SCIM 2.0 프로토콜 지원
- 사용자 생성, 수정, suspend, 삭제 이벤트 처리
- 그룹 멤버십 동기화
- 필수 속성: email, displayName, active
- Okta suspend 시 실시간 디프로비저닝
사전 요구사항
- 1Okta Super Admin
- 2Okta Lifecycle Management (Provisioning) 애드온
- 3Cremit Argus Enterprise 플랜
설정 소요 시간15 분
단계별 설정 가이드
대시보드에서 바로 따라할 수 있는 실제 설정 흐름입니다.
개요
Okta SCIM 프로비저닝은 Okta가 사용자 수명 주기 이벤트를 실시간으로 Argus에 푸시하게 합니다. Okta에서 할당/해제가 일어나는 순간, Argus 접근이 관리자 티켓 없이 자동으로 생성·수정·회수됩니다.
사전 요구사항
- Argus Enterprise 플랜 (SCIM은 Enterprise 기능)
- Okta Super Admin 권한
- Okta 조직에 Lifecycle Management (Provisioning) 애드온 활성화
단계별 설정
Step 1: Argus에서 SCIM 공급자 생성
- Argus > Enterprise > Directory Sync > Add Directory Provider
- Provider Name: 'Okta Production' 등
- Provider Type: Okta
- Argus가 SCIM base URL과 1회용 bearer 토큰 표시, Step 2를 위해 열어둠
Step 2: Okta에서 Argus SAML + SCIM 앱 생성
Okta는 프로비저닝을 SAML 앱에 연결하므로, 앱이 없으면 먼저 생성합니다.
- Okta > Applications > Browse App Catalog에서 'Cremit Argus' 검색 후 추가 (또는 등록되어 있다면 일반 SAML + SCIM 템플릿 사용)
- SAML 탭을 SAML SSO 가이드대로 구성
- Provisioning 탭으로 전환 후 Configure API Integration 클릭
Step 3: Okta에서 SCIM 통합 구성
- Base URL: Argus의 SCIM base URL 붙여넣기
- API Token: Argus의 1회용 bearer 토큰 붙여넣기
- Test API Credentials 클릭, 'verified successfully' 확인
- API integration 활성화, To App에서 Create Users, Update User Attributes, Deactivate Users 활성화
Step 4: 앱에 사용자 또는 그룹 할당
프로비저닝 이벤트는 할당된 신원에서만 발생합니다.
- 개인을 직접 할당하거나 Okta 그룹을 Argus로 푸시
- 필수 속성: email, displayName, active
- 선택: department, title, manager로 Argus에서 풍부한 컨텍스트 확보
설정 확인
통합이 올바르게 구성되었는지 확인하는 방법:
- 새로 할당된 Okta 사용자가 1분 내 Argus에 표시됨
- Okta에서 사용자 비활성화 시 Argus 세션과 API 토큰이 즉시 회수됨
- Okta의 그룹 멤버십이 Argus 팀 뷰에 반영됨
- Okta 프로비저닝 로그에 'missing required attribute' 오류 없음
문제 해결
문제: Test API Credentials가 401로 실패합니다.
- 해결: bearer 토큰은 1회용이라 Argus가 표시한 순간에 복사해야 합니다. 분실 시 Argus 공급자 설정에서 재발급하세요.
문제: 사용자가 생성은 되는데 디프로비저닝되지 않습니다.
- 해결: To App 프로비저닝 액션에서 Deactivate Users를 활성화해야 합니다. 또한 사용자가 단순히 그룹에서 제거된 것이 아니라 할당 해제되거나 Okta-suspend 상태인지 확인하세요.
핵심 이점
- 실시간 디프로비저닝으로 공격자가 악용하는 주요 윈도우를 닫음
- '퇴사 2주 후 접근 회수' 티켓 사라짐
- 그룹 기반 할당으로 조직 성장에 맞춰 확장
- 완전한 감사 흔적: Okta가 모든 수명 주기 이벤트 기록, Argus가 모든 접근 변경 기록