MFA - Without Identity Domains (IDCS)

클라우드 신규 가입자분들은 아래 방법으로 진행하면 됩니다.

2023.03.30 - [5. 보안 Security] - MFA - IAM with Identity Domain

 

이하 설명은 MFA - Without Identity Domains (IDCS)로 이 방법은 오래전에 가입하고 IDCS (Identity Cloud Service) 방식으로 로그인해야 했던 그리고 아직 IAM with Identity Domain 방식으로 이관이 안 되어 있는 분들이 참고하면 됩니다.

 

사전 확인 사항

• 라이선스 종류에 따라서 서비스 범위가 다르므로 아래 링크를 통해 확인 필요
• 무료 라이선스(Foundation) 로도 MFA 설정이 가능하지만 유료로 업그레이드되지 않은 트라이얼 상태에서는 일정 기간이 지나면 작동하지 않음

https://docs.oracle.com/en/cloud/paas/identity-cloud/uaids/oracle-identity-cloud-service-pricing-models.html#GUID-E0D2A7F9-528A-4557-9A28-E6FF2DC518E5

 

• 모바일 인증앱 권고 (Oracle Mobile Authenticator app)

https://docs.oracle.com/en/cloud/paas/identity-cloud/usids/use-oracle-mobile-authenticator-app-authentication-method.html

 

• 잘못 설정된 정책을 활성화할 경우 모든 사용자가 로그인을 못 하고 고립될 수가 있기 때문에 별도의 사용자, 그룹을 만들고 사전 충분히 테스트한 후 활성화 필요

 

• (새로 생성되는) IDCS의 그룹들과 IAM 그룹들이 매핑되어 있어야 함

 

• 사용자가 (모바일 분실과 같은) 모바일 인증을 할 수 없는 상황에 활용할 수 있도록 OTP와 같은 역할을 하는 bypass code 도 활성화 필요

https://docs.oracle.com/en/cloud/paas/identity-cloud/uaids/generate-and-use-bypass-code.html

 

 

MFA 설정하기

 

1. OCI 콘솔 로그인 후 Identity - Federation - OracleIdentityCloudService 선택, 상세 정보 페이지에서 Oracle Identity Cloud Service Console 링크 확인 후 연결

 

2. IDCS 서비스 콘솔에서 Security - MFA로 이동

 

3. Sign-On Policy, Rule 생성 그리고 APP 추가 (Enrollment를 통해서 MFA를 필수/옵션으로 할 것인지 선택 가능)

 

※ 전체 사용자를 대상으로 하고자 할 경우의 설정

And is a member of these groups  빈칸 + And is an administrator 체크가 되어 있지 않음

 

아래는 특정 그룹만 테스트할 목적으로 그룹을 선택함.

 

4. 정책 활성화

 

MFA 리셋이 필요한 경우 IDCS 사용자 상페 페이지로 이동하여 우측 상단의 메뉴를 클릭한 후 Reset Factors를 하면 됨

 

 

 

 

 

참고

https://docs.oracle.com/en-us/iaas/Content/Security/Reference/iam_security_topic-iam_mfa_no_identity_domains.htm#iam_security_topic-iam_mfa_with_identity_domains