MFA - IAM with Identity Domain

현재 신규 OCI사용자는 계정관리를 위해 new IAM (with Identity Domain) Service가 사용한다.

new IAM Service는 기존의 OCI Native로 제공하던 IAM 서비스와 Oracle에서 PaaS 형태로 제공하던 IDCS 서비스의 기능을 통합한 OCI Native한 새로운 IDaaS 서비스이다.

 

1. 사전 준비사항

AppStore에서 핸드폰에 Oracle Mobile Authenticator app을 설치한다.

2. MFA방식설정

아래 메뉴에서 MFA방식을 설정한다.

여러 MFA Factor을 선택할 수 있다.

- Mobile app passcode: 로그인 시 Mobile app이 OTP값을 추가로 입력해야 한다.

- Mobile app notification: 로그인 하면 Mobile app에 로그인 승인/거절 알람이 온다.

Enable trusted devices를 uncheck하는 것이 더 안전합니다.

- Trusted devices: 로그인 시 아래의 장치신뢰 Option에 대한 제어설정
  화면에 '15일동안 이 장치 신뢰' 가 보여지고 이것을 Check하고 로그인 시 그 기간동안 내 장치에서는MFA없이
  로그인가능해 진다.

- Sign-in rules: MFA시도 실패가능횟수

Trusted device설정 시 위 내용보여짐

mobile app password와 mobile app notification선택 시 아래처럼 대체로그인 방법을 변경가능하다.

3. MFA정책설정

Security Policy for OCI Console이 추가되어 있으면 그 Policy를 사용합니다.

'Create sign-on policy'버튼을 통해 새로운 Sign-on Policy를 생성할 수 있다.

사용자가 많지 않은 경우 아래처럼 Default Sign-on Policy에 설정해서 사용할 수도 있다.

Login을 막을 경우 Deny access를 선택한다.

- Prompt for an additional factor: MFA를 사용할지 여부를 선택

- Any Factor: 선택한 여러 MFA Factor중에 하나라도 적용하면 Pass

 

> Frequency

- Once per session or trusted device: 세션유지기간 내에는 추가 인증요구 없음

- Every time: 매시간마다 추가인증요청

 

> Enrollment

- Required: 모든사용자에 MFA적용강제, 안전한 사용을 위해 Required에 Check
- Optional: 사용자가 MFA적용여부 선택가능

 

※ 안전한 OCI사용을 위해 고객의 Tenancy에 MFA설정을 위한 ‘Security Policy for OCI Console‘ 정책이 기본으로 추가되었습니다. 추가된 ‘Security Policy for OCI Console‘ 정책에 대한 내용은 아래Link를 참고하세요.

https://oracle-cloud.tistory.com/entry/Security-Policy-for-OCI-Console-Sign-on-Policy

4. Log-in수행

MFA로 로그인하기 위해서는 먼저 핸드폰에 Oracle Mobile Authenticator app을 설치해야 한다.

(App Store에서 Oracle Mobile Authenticator 검색)

MFA설정 후 처음 로그인 시 MFA설정하는 창이 뜬다. Enrollment가 Optional일 때는 MFA설정거부를 할 수 있다.

Enable Secure Verification을 누르고 다음화면에서 모바일 애플리케이션을 누르면

MFA를 설정하기위한 QR코드가 뜹니다.

 

그 QR코드를 Mobile App인 Oracle Mobile Authenticator으로 QR코드를 인식하면 해당계정에 대한 OTP 생성기가 만들어지고 OTP번호가 보여진다.

Oracle Mobile Authenticator을 실행하면 아래처럼 App이 실행되고 +버튼을 눌러서 QR코드를 인식하면 된다.

5. MFA설정 변경

User가 직접 아래의 과정을 통해 MFA설정을 할 수 있다.

위 QR코드를 Mobile App으로 찍으면 자동으로 화면이 닫히고 MFA설정 활성화된다.

MFA factor재설정이 필요하면 해당User에 대한 Reset factors 처리가능하다.

> 모바일 기기 추가하기

하나의 User에 여러 모바일기기를 추가할 수 있다.

여러 모바일 기기를 추가하면 로그인 시에 Multi Factor를 위한 모바일기기를 선택할 수 있게 된다

6. email을 MFA Factor로 추가하기

https://oracle-cloud.tistory.com/entry/Email%EC%9D%84-MFA-Factor%EB%A1%9C-%EC%B6%94%EA%B0%80%ED%95%98%EA%B8%B0

 

7. 우회코드로 Login 하기

핸드폰 분실들으로 인해서 MFA로그인이 안되는 경우 Admin User에게 우회코드를 요청해서 로그인할 수 있습니다.

(사전 설정 필요)

https://the-team-oasis.github.io/security/oci-mfa-use-bypasscode-idcs/

 

8. 핸드폰 분실로 MFA로그인이 안되는 경우

핸드폰 분실로 2Factor 코드를 받을 수 없고 우회코드도 사전에 설정해 놓지 않은 경우 로그인을 하려면 고객 Cloud Account의 SR로 MFA 초기화 요청을 해야 한다.

이 경우 Cloud Console로 로그인이 안되므로 아래 와 같은 방법으로 SR을 등록할 수 있다.

1. Oracle Support를 통해 SR등록(고객 CSI로 등록해야 함)
    https://support.oracle.com/portal/
2. 전화를 통해 SR등록
1588-8501
-> 1번: 한국어
-> 2번: 신규 SR등록
-> 3번: Oracle Cloud 선택
-> CSI번호 등록
-> Hub팀에게 말로 SR내용 전달 

---

작성자: 손창호(primelyson@gmail.com) / Cloud Engineer, 정보시스템감리사, DAP, PIA

개인의 시간을 할애하여 작성된 글로서 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.