Okta SCIM 프로비저닝

개요

Okta SCIM 프로비저닝은 Okta가 사용자 수명 주기 이벤트를 실시간으로 Argus에 푸시하게 합니다. Okta에서 할당/해제가 일어나는 순간, Argus 접근이 관리자 티켓 없이 자동으로 생성·수정·회수됩니다.

사전 요구사항

• Argus Enterprise 플랜 (SCIM은 Enterprise 기능)
• Okta Super Admin 권한
• Okta 조직에 Lifecycle Management (Provisioning) 애드온 활성화

단계별 설정

Step 1: Argus에서 SCIM 공급자 생성

• Argus > Enterprise > Directory Sync > Add Directory Provider
• Provider Name: 'Okta Production' 등
• Provider Type: Okta
• Argus가 SCIM base URL과 1회용 bearer 토큰 표시, Step 2를 위해 열어둠

Step 2: Okta에서 Argus SAML + SCIM 앱 생성

Okta는 프로비저닝을 SAML 앱에 연결하므로, 앱이 없으면 먼저 생성합니다.

• Okta > Applications > Browse App Catalog에서 'Cremit Argus' 검색 후 추가 (또는 등록되어 있다면 일반 SAML + SCIM 템플릿 사용)
• SAML 탭을 SAML SSO 가이드대로 구성
• Provisioning 탭으로 전환 후 Configure API Integration 클릭

Step 3: Okta에서 SCIM 통합 구성

• Base URL: Argus의 SCIM base URL 붙여넣기
• API Token: Argus의 1회용 bearer 토큰 붙여넣기
• Test API Credentials 클릭, 'verified successfully' 확인
• API integration 활성화, To App에서 Create Users, Update User Attributes, Deactivate Users 활성화

Step 4: 앱에 사용자 또는 그룹 할당

프로비저닝 이벤트는 할당된 신원에서만 발생합니다.

• 개인을 직접 할당하거나 Okta 그룹을 Argus로 푸시
• 필수 속성: email, displayName, active
• 선택: department, title, manager로 Argus에서 풍부한 컨텍스트 확보

설정 확인

통합이 올바르게 구성되었는지 확인하는 방법:

• 새로 할당된 Okta 사용자가 1분 내 Argus에 표시됨
• Okta에서 사용자 비활성화 시 Argus 세션과 API 토큰이 즉시 회수됨
• Okta의 그룹 멤버십이 Argus 팀 뷰에 반영됨
• Okta 프로비저닝 로그에 'missing required attribute' 오류 없음

문제 해결

문제: Test API Credentials가 401로 실패합니다.

• 해결: bearer 토큰은 1회용이라 Argus가 표시한 순간에 복사해야 합니다. 분실 시 Argus 공급자 설정에서 재발급하세요.

문제: 사용자가 생성은 되는데 디프로비저닝되지 않습니다.

• 해결: To App 프로비저닝 액션에서 Deactivate Users를 활성화해야 합니다. 또한 사용자가 단순히 그룹에서 제거된 것이 아니라 할당 해제되거나 Okta-suspend 상태인지 확인하세요.

핵심 이점

• 실시간 디프로비저닝으로 공격자가 악용하는 주요 윈도우를 닫음
• '퇴사 2주 후 접근 회수' 티켓 사라짐
• 그룹 기반 할당으로 조직 성장에 맞춰 확장
• 완전한 감사 흔적: Okta가 모든 수명 주기 이벤트 기록, Argus가 모든 접근 변경 기록