OCI Console 로그인을 위한 MFA 설정하기
처음 MFA 등록하는 과정
-
사용자 등록후, 패스워드 초기화한 후 처음 로그인하거나, MFA 초기화 이후 유저/패스워드로 로그인하면, MFA를 위한 추가 보안 기기 등록 화면이 뜹니다. Enable Secure Verification을 클릭합니다.
-
기본 확인 수단은 모바일 애플리케이션(Mobile App)과 FIDO 인증자(Authenticator) 2가지입니다.
-
Mobile App: 스마트 폰에 인증용 앱을 설치하여, 모바일 OTP를 2차 인증 수단으로 사용합니다.
-
FIDO Authenticator: Fast Identity Online (FIDO)를 지원하는 기기를 2차 인증 수단으로 사용합니다.
- 예, Windows Hello, Mac Touch ID 등등
-
-
여기서는 Mobile App을 선택합니다.
-
Oracle Mobile Authenticator 앱을 스마트폰에 설치 후, 해당 앱에서 QR 코드를 스캔하여 등록합니다.
-
추가 보안 확인 방법이 등록되었습니다.
-
이후 다시 로그인시, Username과 비밀번호를 입력하여 로그인하면, 추가 인증을 요구합니다.
-
Oracle Mobile Authenticator에 수신된 통지를 확인하고 허용하면, 로그인이 완료됩니다.
-
패스워드외에 모바일 애플리케이션 2차 인증을 통해 로그인 되었습니다.
FIDO 인증자를 추가 2차 인증 수단으로 추가 경우
2차 인증 수단으로 Mobile App을 등록하고, 대체 수단으로 FIDO Authenticator를 추가하는 과정입니다.
-
OCI Console 로그인 후 오른쪽 위 프로파일에서 My profile을 클릭합니다.
-
Security 버튼을 클릭합니다.
-
FIDO passkey authenticator에 Configure를 클릭합니다.
-
FIDO 인증자 등록은 Identity Cloud 서비스 콘솔에서 등록하게 됩니다. 팝업 설명을 확인 후 클릭합니다.
-
앞서 등록한 모바일 애플리케이션 2차 인증을 다시 한번 거치고 IDCS(Identity Cloud 서비스) 콘솔로 이동합니다.
-
IDCS 콘솔상의 FIDO Passkey Authenticator에 Configure를 한번 더 클릭합니다.
-
맥북에 Touch ID가 활성화되어 있는 경우, Touch ID를 사용할지 묻습니다.
-
Touch ID를 통해 등록합니다.
-
오른쪽 위 취소를 클릭하면, 그 다음으로 브라우저에서 지원하는 방식에서 선택할 수 있습니다. 아래는 맥에서 크롬 브라우저로 실행 경우 예시입니다.
-
-
여기서는 Mac Touch ID로 등록하였습니다. 각자 원하는 방식을 사용합니다. 체크 표시가 되어 있는 것이 디폴트로 사용하는 옵션입니다.
-
오른쪽 위 메뉴를 통해 디폴트 사용 방법을 변경할 수 있습니다. 현재는 Mobile App Notification이 기본 선택되어 있습니다.
스마트폰 분실 또는 스마트폰 기기변경으로 인해 기존 Mobile App을 사용할 수 없는 경우
-
OCI Console로 돌아가 로그아웃하고, 다시 로그인 합니다.
-
디폴트인 모바일 애플리케이션 인증 화면이 보입니다. 아래 Show alternative login methods를 클릭하고, FIDO Authenticator를 선택합니다.
-
Verify를 클릭합니다.
-
Touch ID 인증 화면이 뜨면, Touch ID를 통해 인증후 로그인합니다.
-
2차 인증 수단의 분실시에도 대체로 등록한 2차 인증 수단으로 로그인하였습니다.
-
OCI Console 로그인 후 오른쪽 위 프로파일에서 My profile을 클릭합니다.
-
Security 버튼을 클릭합니다.
-
분실한 Mobile App 인증을 삭제합니다.
-
다시 구성합니다.
-
Mobile App QR 코드가 보입니다. 처음 등록시와 동일한 절차를 통해 다시 등록합니다.
등록한 모든 2차 인증 수단 불가시 관리자 작업
방법 #1. 유저의 MFA 등록 초기화
-
관리자는 해당 유저 정보를 확인 후, Reset factors를 클릭하여, 등록된 2차 인증 수단 전체를 초기화할 수 있습니다.
-
해당 유저가 OCI Console에 유저/패스워드로 로그인하면, 처음 MFA 등록시의 절차를 다시 수행하게 됩니다.
방법 #2. 유저에게 임시 패스 코드 발송
-
관리자는 해당 유저 정보를 확인 후, More actions > Generate bypass code를 클릭합니다.
-
패스 코드를 생성합니다.
-
Email이 등록된 경우 메일 발송을 선택합니다.
-
유저는 수신된 이메일을 확인합니다.
-
유저는 OCI Console 로그인 시 2차 인증 수단으로 Bypass Code를 선택합니다.
-
메일로 수신한 Bypass Code를 통해 인증 후 로그인합니다.
-
로그인후, 등록된 인증 수단을 직접 업데이트 합니다.
2차 인증수단으로 이메일 사용하기
-
관리자로 OCI Console에 로그인합니다.
-
해당 Identity Domain을 선택하고, Security > MFA 메뉴를 클릭합니다.
-
Email을 추가로 체크하고 저장합니다.
-
Security > Sign-on policies 메뉴를 클릭합니다.
-
OCI Console에 대한 사인인 정책을 변경합니다.
-
수정할 규칙, 여기서는 일반 유저에 대한 규칙을 수정합니다.
-
규칙상의 인증 수단에 Email을 추가하고 저장합니다.
-
기존 사용자 설정 방법
-
OCI Console 로그인 후 오른쪽 위 프로파일에서 My profile을 클릭합니다.
-
Security 버튼을 클릭합니다.
-
2차 인증 수단으로 Email이 추가되었습니다. Configure를 클릭하여 설정합니다.
-
등록된 Email에 발송된 OTP 코드를 사용하여 인증합니다.
-
이후 로그인시 2차 인증 수단으로 Email이 있는 것을 확인할 수 있습니다. Email로 발송된 OTP 코드를 2차 인증 수단으로 사용하면 됩니다.
-
-
신규 유저 또는 기존 유저 Reset Factors 한 경우
- 유저/패스워드로 로그인 후 2차 인증 등록 수단으로 Email이 추가된 것을 볼 수 있습니다. Email 선택시 발송된 OTP 코드로 이메일 인증하여 등록합니다.
이 글은 개인으로서, 개인의 시간을 할애하여 작성된 글입니다. 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.