Okta와 AD 연동에서 사용자 Import 시 일부 혹은 전체 사용자가 Okta에서 보이지 않을 때 해결방안

AD에서 사용자 생성 시에 FirstName과 LastName이 필수 입력 필드는 아니기 때문에, 특히 국내 기업의 경우 성과 이름을 모두 FirstName에 입력하는 등의 방법으로 사용자를 생성하는 경우가 많습니다. 반면에 Okta의 경우, 최초 Okta Org 생성 시 FirstName과 LastName이 User Profile의 필수 입력 Attribute로 설정되어 있기 때문에 FirstName 또는 LastName이 설정되지 않은 AD 사용자를 Okta로 Import하면 이러한 필수 Attrbute에 값이 없는 사용자를 정상적으로 불러오지 않습니다.

이러한 경우, 아래와 같은 방법으로 Okta User Profile과 AD App Profile에서 FirstName과 LastName Attribute의 Required 조건을 해제하면 AD 사용자를 정상적으로 Okta에 불러올 수 있습니다.

1. Okta Admin Console에 접속하여 Directory > Profile Editor 메뉴를 클릭하고 User (default) 프로필을 클릭합니다.

2. User Profile Attribute 중에서 First name 항목을 찾아 파란색 i 아이콘을 클릭합니다.

3. Attribute required 항목의 Yes 체크박스를 해제하고 하단의 Save Attribute 버튼을 눌러 저장합니다.

4. 마찬가지의 방법으로 Last name 항목의 required 조건을 해제하고 저장합니다.

5. 왼쪽 메뉴의 Profile Editor를 클릭한 다음, Filters에서 Directories를 클릭하여 AD App Profile을 찾은 다음, 프로필 이름을 클릭합니다.

6. Display Name이 givenName과 sn인 Attribute를 찾아 각각 위에서 설명한 것과 동일한 방법으로 Attribute required 항목의 Yes 체크박스를 해제하고 저장합니다.

이렇게 설정을 변경한 다음, 다시 Import를 진행하면 AD 사용자가 정상적으로 Okta에 로드되는 것을 보실 수 있습니다.

관련 질문

Q. Okta에서 사용자를 생성할 때 반드시 필요한 항목은 무엇인가요?

A. Okta Org 최초 설정 시에는 username, email, firstName, lastName 값이 필수로 지정되어 있지만, 앞서 설명드린 것처럼 firstName, lastName은 해제할 수 있습니다. username과 email은 Okta 사용자 생성 시 반드시 필요한 값으로 필수 조건을 해제하실 수 없습니다.

Q. AD 외에 다른 LDAP Directory (OpenLDAP, AD LDS, OID 등)도 동일한가요?

A. LDAP Directory의 경우, firstName과 lastName이 설정되지 않은 사용자를 연동하기 위해서는 Okta Support Team의 도움이 필요합니다. Support Ticket을 열어 도움을 요청하시면 Okta Support Engineer가 필요한 도움을 드릴 수 있습니다.