TheKoguryo's 기술 블로그

OCI Console 로그인을 위한 MFA 설정하기

처음 MFA 등록하는 과정

1. 사용자 등록후, 패스워드 초기화한 후 처음 로그인하거나, MFA 초기화 이후 유저/패스워드로 로그인하면, MFA를 위한 추가 보안 기기 등록 화면이 뜹니다. Enable Secure Verification을 클릭합니다.

   

2. 기본 확인 수단은 모바일 애플리케이션(Mobile App)과 FIDO 인증자(Authenticator) 2가지입니다.

   • Mobile App: 스마트 폰에 인증용 앱을 설치하여, 모바일 OTP를 2차 인증 수단으로 사용합니다.

   • FIDO Authenticator: Fast Identity Online (FIDO)를 지원하는 기기를 2차 인증 수단으로 사용합니다.

     • 예, Windows Hello, Mac Touch ID 등등

   

3. 여기서는 Mobile App을 선택합니다.

   

4. Oracle Mobile Authenticator 앱을 스마트폰에 설치 후, 해당 앱에서 QR 코드를 스캔하여 등록합니다.

   

5. 추가 보안 확인 방법이 등록되었습니다.

   

6. 이후 다시 로그인시, Username과 비밀번호를 입력하여 로그인하면, 추가 인증을 요구합니다.

   

7. Oracle Mobile Authenticator에 수신된 통지를 확인하고 허용하면, 로그인이 완료됩니다.

   

8. 패스워드외에 모바일 애플리케이션 2차 인증을 통해 로그인 되었습니다.

FIDO 인증자를 추가 2차 인증 수단으로 추가 경우

2차 인증 수단으로 Mobile App을 등록하고, 대체 수단으로 FIDO Authenticator를 추가하는 과정입니다.

1. OCI Console 로그인 후 오른쪽 위 프로파일에서 My profile을 클릭합니다.

2. Security 버튼을 클릭합니다.

   

3. FIDO passkey authenticator에 Configure를 클릭합니다.

   

4. FIDO 인증자 등록은 Identity Cloud 서비스 콘솔에서 등록하게 됩니다. 팝업 설명을 확인 후 클릭합니다.

5. 앞서 등록한 모바일 애플리케이션 2차 인증을 다시 한번 거치고 IDCS(Identity Cloud 서비스) 콘솔로 이동합니다.

6. IDCS 콘솔상의 FIDO Passkey Authenticator에 Configure를 한번 더 클릭합니다.

   

7. 맥북에 Touch ID가 활성화되어 있는 경우, Touch ID를 사용할지 묻습니다.

   

8. Touch ID를 통해 등록합니다.

   • 오른쪽 위 취소를 클릭하면, 그 다음으로 브라우저에서 지원하는 방식에서 선택할 수 있습니다. 아래는 맥에서 크롬 브라우저로 실행 경우 예시입니다.

     

9. 여기서는 Mac Touch ID로 등록하였습니다. 각자 원하는 방식을 사용합니다. 체크 표시가 되어 있는 것이 디폴트로 사용하는 옵션입니다.

   

10. 오른쪽 위 메뉴를 통해 디폴트 사용 방법을 변경할 수 있습니다. 현재는 Mobile App Notification이 기본 선택되어 있습니다.

    

스마트폰 분실 또는 스마트폰 기기변경으로 인해 기존 Mobile App을 사용할 수 없는 경우

1. OCI Console로 돌아가 로그아웃하고, 다시 로그인 합니다.

2. 디폴트인 모바일 애플리케이션 인증 화면이 보입니다. 아래 Show alternative login methods를 클릭하고, FIDO Authenticator를 선택합니다.

   

3. Verify를 클릭합니다.

4. Touch ID 인증 화면이 뜨면, Touch ID를 통해 인증후 로그인합니다.

   

5. 2차 인증 수단의 분실시에도 대체로 등록한 2차 인증 수단으로 로그인하였습니다.

6. OCI Console 로그인 후 오른쪽 위 프로파일에서 My profile을 클릭합니다.

7. Security 버튼을 클릭합니다.

8. 분실한 Mobile App 인증을 삭제합니다.

   

9. 다시 구성합니다.

   

10. Mobile App QR 코드가 보입니다. 처음 등록시와 동일한 절차를 통해 다시 등록합니다.

    

등록한 모든 2차 인증 수단 불가시 관리자 작업

방법 #1. 유저의 MFA 등록 초기화

1. 관리자는 해당 유저 정보를 확인 후, Reset factors를 클릭하여, 등록된 2차 인증 수단 전체를 초기화할 수 있습니다.

   

2. 해당 유저가 OCI Console에 유저/패스워드로 로그인하면, 처음 MFA 등록시의 절차를 다시 수행하게 됩니다.

방법 #2. 유저에게 임시 패스 코드 발송

1. 관리자는 해당 유저 정보를 확인 후, More actions > Generate bypass code를 클릭합니다.

   

2. 패스 코드를 생성합니다.

   

3. Email이 등록된 경우 메일 발송을 선택합니다.

   

4. 유저는 수신된 이메일을 확인합니다.

   

5. 유저는 OCI Console 로그인 시 2차 인증 수단으로 Bypass Code를 선택합니다.

   

6. 메일로 수신한 Bypass Code를 통해 인증 후 로그인합니다.

   

7. 로그인후, 등록된 인증 수단을 직접 업데이트 합니다.

2차 인증수단으로 이메일 사용하기

1. 관리자로 OCI Console에 로그인합니다.

2. 해당 Identity Domain을 선택하고, Security > MFA 메뉴를 클릭합니다.

3. Email을 추가로 체크하고 저장합니다.

   

4. Security > Sign-on policies 메뉴를 클릭합니다.

5. OCI Console에 대한 사인인 정책을 변경합니다.

   

6. 수정할 규칙, 여기서는 일반 유저에 대한 규칙을 수정합니다.

   

7. 규칙상의 인증 수단에 Email을 추가하고 저장합니다.

   

8. 기존 사용자 설정 방법

   1. OCI Console 로그인 후 오른쪽 위 프로파일에서 My profile을 클릭합니다.

   2. Security 버튼을 클릭합니다.

   3. 2차 인증 수단으로 Email이 추가되었습니다. Configure를 클릭하여 설정합니다.

      

   4. 등록된 Email에 발송된 OTP 코드를 사용하여 인증합니다.

      

   5. 이후 로그인시 2차 인증 수단으로 Email이 있는 것을 확인할 수 있습니다. Email로 발송된 OTP 코드를 2차 인증 수단으로 사용하면 됩니다.

      

9. 신규 유저 또는 기존 유저 Reset Factors 한 경우

   1. 유저/패스워드로 로그인 후 2차 인증 등록 수단으로 Email이 추가된 것을 볼 수 있습니다. Email 선택시 발송된 OTP 코드로 이메일 인증하여 등록합니다.