TheKoguryo's 기술 블로그

OCI Console 로그인을 위한 MFA 설정하기

오라클 블로그 Oracle further reduces your attack surface by requiring multifactor authentication at cloud sign-in 글에서 언급하듯 2023년 연말부터 신규 테넌시에는 MFA를 기본으로 사용하고 있고, 지금은 기존 테넌시에도 적용되어, 이제 모든 테넌시에서 기본으로 사용하고 있습니다. 기본 MFA 인증 도구로 Mobile App과 Fast ID Online (FIDO)를 지원하고 있습니다. 하라고 해서 하긴 해야 겠는데, 어떤 도구를 사용하는 것을 선호하시나요?

첫 번째로 보이는 Mobile App을 스마트폰에서 설치해서 Push Notification을 사용하는 것을 사용하고 있나요? 기기 하나만 등록해서 스마폰 기기 변경시에 문제가 발생하진 않았나요? 본인이 유일한 관리자 인데, 이런 상황을 맞이하게 되면, 어떻게 될까요?

다행이 아직 그런 경우는 시기상 그리 많지 않겠지만, 그런 상황을 대비해 2차 인증수단으로 MFA 도구를 둘 이상을 등록하는 건 어떨까요? 추가로 변경될 소지가 적은 이메일을 OTP를 사용하거나, 편의를 위해 맥 Touch ID, 윈도우즈 Hello, 브라우저 패스워드 저장 도구 등을 사용하는 건 어떨까요?

여기서는 Mobile App, 맥 Touch ID, 이메일을 MFA 도구로 등록하는 과정을 알아봅니다. 이후 각자 요구에 따라 보다 안전하거나, 편리하다고 생각되는 둘 이상을 등록해 보시기 바랍니다.

• Oracle Mobile Authenticator을 기본 2차 인증 수단으로 두고, FIDO 인증자를 추가한 경우

  • Oracle Mobile Authenticator 사용하기
  • FIDO 인증자를 추가 2차 인증 수단으로 추가 경우
  • 스마트폰 분실 또는 스마트폰 기기변경으로 인해 기존 Mobile App을 사용할 수 없는 경우

• 등록한 모든 2차 인증 수단 불가시 관리자 작업

• 2차 인증수단으로 이메일 사용하기

• Mobile App으로 제3자 OTP 인증수단 사용하기

  • Google Authenticator 사용하기

처음 MFA 등록하는 과정

1. 사용자 등록후, 패스워드 초기화한 후 처음 로그인하거나, MFA 초기화 이후 유저/패스워드로 로그인하면, MFA를 위한 추가 보안 기기 등록 화면이 뜹니다. Enable Secure Verification을 클릭합니다.

   

2. 기본 확인 수단은 모바일 애플리케이션(Mobile App)과 FIDO 인증자(Authenticator) 2가지입니다.

   • Mobile App: 스마트 폰에 인증용 앱을 설치하여, 모바일 OTP를 2차 인증 수단으로 사용합니다.

   • FIDO Authenticator: Fast Identity Online (FIDO)를 지원하는 기기를 2차 인증 수단으로 사용합니다.

     • 예, Windows Hello, Mac Touch ID 등등

   

3. 여기서는 Mobile App을 선택합니다.

   

4. Oracle Mobile Authenticator 앱을 스마트폰에 설치 후, 해당 앱에서 QR 코드를 스캔하여 등록합니다.

   

5. 추가 보안 확인 방법이 등록되었습니다.

   

6. 이후 다시 로그인시, Username과 비밀번호를 입력하여 로그인하면, 추가 인증을 요구합니다.

   

7. Oracle Mobile Authenticator에 수신된 통지를 확인하고 허용하면, 로그인이 완료됩니다.

   

8. 패스워드외에 모바일 애플리케이션 2차 인증을 통해 로그인 되었습니다.

FIDO 인증자를 추가 2차 인증 수단으로 추가 경우

2차 인증 수단으로 Mobile App을 등록하고, 대체 수단으로 FIDO Authenticator를 추가하는 과정입니다.

1. OCI Console 로그인 후 오른쪽 위 프로파일에서 My profile을 클릭합니다.

2. Security 버튼을 클릭합니다.

   

3. FIDO passkey authenticator에 Configure를 클릭합니다.

   

4. FIDO 인증자 등록은 Identity Cloud 서비스 콘솔에서 등록하게 됩니다. 팝업 설명을 확인 후 클릭합니다.

5. 앞서 등록한 모바일 애플리케이션 2차 인증을 다시 한번 거치고 IDCS(Identity Cloud 서비스) 콘솔로 이동합니다.

6. IDCS 콘솔상의 FIDO Passkey Authenticator에 Configure를 한번 더 클릭합니다.

   

7. 맥북에 Touch ID가 활성화되어 있는 경우, Touch ID를 사용할지 묻습니다.

   

8. Touch ID를 통해 등록합니다.

   • 오른쪽 위 취소를 클릭하면, 그 다음으로 브라우저에서 지원하는 방식에서 선택할 수 있습니다. 아래는 맥에서 크롬 브라우저로 실행 경우 예시입니다.

     

9. 여기서는 Mac Touch ID로 등록하였습니다. 각자 원하는 방식을 사용합니다. 체크 표시가 되어 있는 것이 디폴트로 사용하는 옵션입니다.

   

10. 오른쪽 위 메뉴를 통해 디폴트 사용 방법을 변경할 수 있습니다. 현재는 Mobile App Notification이 기본 선택되어 있습니다.

    

스마트폰 분실 또는 스마트폰 기기변경으로 인해 기존 Mobile App을 사용할 수 없는 경우

1. OCI Console로 돌아가 로그아웃하고, 다시 로그인 합니다.

2. 디폴트인 모바일 애플리케이션 인증 화면이 보입니다. 아래 Show alternative login methods를 클릭하고, FIDO Authenticator를 선택합니다.

   

3. Verify를 클릭합니다.

4. Touch ID 인증 화면이 뜨면, Touch ID를 통해 인증후 로그인합니다.

   

5. 2차 인증 수단의 분실시에도 대체로 등록한 2차 인증 수단으로 로그인하였습니다.

6. OCI Console 로그인 후 오른쪽 위 프로파일에서 My profile을 클릭합니다.

7. Security 버튼을 클릭합니다.

8. 분실한 Mobile App 인증을 삭제합니다.

   

9. 다시 구성합니다.

   

10. Mobile App QR 코드가 보입니다. 처음 등록시와 동일한 절차를 통해 다시 등록합니다.

    

등록한 모든 2차 인증 수단 불가시 관리자 작업

방법 #1. 유저의 MFA 등록 초기화

1. 관리자는 해당 유저 정보를 확인 후, Reset factors를 클릭하여, 등록된 2차 인증 수단 전체를 초기화할 수 있습니다.

   

2. 해당 유저가 OCI Console에 유저/패스워드로 로그인하면, 처음 MFA 등록시의 절차를 다시 수행하게 됩니다.

방법 #2. 유저에게 임시 패스 코드 발송

1. 관리자는 해당 유저 정보를 확인 후, More actions > Generate bypass code를 클릭합니다.

   

2. 패스 코드를 생성합니다.

   

3. Email이 등록된 경우 메일 발송을 선택합니다.

   

4. 유저는 수신된 이메일을 확인합니다.

   

5. 유저는 OCI Console 로그인 시 2차 인증 수단으로 Bypass Code를 선택합니다.

   

6. 메일로 수신한 Bypass Code를 통해 인증 후 로그인합니다.

   

7. 로그인후, 등록된 인증 수단을 직접 업데이트 합니다.

2차 인증수단으로 이메일 사용하기

1. 관리자로 OCI Console에 로그인합니다.

2. 해당 Identity Domain을 선택하고, Security > MFA 메뉴를 클릭합니다.

3. Email을 추가로 체크하고 저장합니다.

   

4. Security > Sign-on policies 메뉴를 클릭합니다.

5. OCI Console에 대한 사인인 정책을 변경합니다.

   

6. 수정할 규칙, 여기서는 일반 유저에 대한 규칙을 수정합니다.

   

7. 규칙상의 인증 수단에 Email을 추가하고 저장합니다.

   

8. 기존 사용자 설정 방법

   1. OCI Console 로그인 후 오른쪽 위 프로파일에서 My profile을 클릭합니다.

   2. Security 버튼을 클릭합니다.

   3. 2차 인증 수단으로 Email이 추가되었습니다. Configure를 클릭하여 설정합니다.

      

   4. 등록된 Email에 발송된 OTP 코드를 사용하여 인증합니다.

      

   5. 이후 로그인시 2차 인증 수단으로 Email이 있는 것을 확인할 수 있습니다. Email로 발송된 OTP 코드를 2차 인증 수단으로 사용하면 됩니다.

      

9. 신규 유저 또는 기존 유저 Reset Factors 한 경우

   1. 유저/패스워드로 로그인 후 2차 인증 등록 수단으로 Email이 추가된 것을 볼 수 있습니다. Email 선택시 발송된 OTP 코드로 이메일 인증하여 등록합니다.

   

Mobile App으로 제3자 OTP 인증수단 사용하기 - Google Authenticator 사용하기

다른 용도로 이미 다른 OTP 앱을 사용하는 경우가 있습니다. 제3자 OTP를 등록하여 사용하는 것 가능하며, 여기서는 Oracle Mobile Authenticator 대신 Google Authenticator를 사용하는 법을 알아봅니다.

1. 2차 인증 수단 등록시 기본 확인 수단으로 모바일 애플리케이션(Mobile App)을 선택합니다.

2. Offline Mode or Use Another Authenticator App을 체크합니다. 그러면 QR 코드 모양이 변경됩니다.

   

3. Google Authenticator를 실행하여 QR 코드 스캔합니다.

4. Google Authenticator에서 생성된 현재 OTP 코드를 입력하고 Verify를 클릭합니다.

   • Google Authenticator

     

   • OTP 코드를 입력

     

5. 등록이 완료되었습니다.

6. 이후 다시 로그인시, Username과 비밀번호를 입력하여 로그인하면, Passcode를 통한 추가 인증을 요구합니다.

   

7. Passcode에 등록시와 동일한 방식으로 Google Authenticator에서 생성된 현재 OTP 코드를 입력하고 Verify를 클릭합니다. Oracle Mobile Authenticator를 디폴트로 사용시는 Push Notification 방식으로 가능하지만, 다른 앱을 사용시는 Passcode 방식으로 직접 입력해야 하는 차이가 있습니다.

8. 필요한 경우 등록된 이름을 변경합니다.

   1. OCI Console 로그인 후 오른쪽 위 프로파일에서 My profile을 클릭합니다.

   2. Security 버튼을 클릭합니다.

   3. Rename을 클릭하여 이름을 변경합니다.

      • 변경 전

        

      • 변경 후

        

   4. 변경 후 다시 로그인하면 아래와 같이 표시됩니다.