본문으로 건너뛰기

MFA 구성하기

Logto에서 MFA 설정 구성하기

Logto는 다양한 보안 요구 사항을 충족할 수 있도록 유연한 MFA 구성 옵션을 제공합니다. 모든 사용자에게 글로벌 수준에서 MFA를 구성하거나, 멀티 테넌트 애플리케이션의 경우 조직별로 활성화할 수 있습니다.

글로벌 MFA 구성

사용자의 Logto 로그인 플로우에서 MFA를 활성화하려면 다음 단계를 따르세요:

  1. 이동: 콘솔 > 다단계 인증 (MFA).
  2. 사용자에게 지원할 인증 요소를 활성화하세요.
    1. 주요 인증 요소:
      • 인증 앱 OTP: 가장 일반적이고 널리 사용되는 방법입니다. Google Authenticator 또는 Authy와 같은 인증 앱에서 생성되는 시간 기반 일회용 비밀번호(TOTP)를 사용합니다.
      • 패스키 (WebAuthn): 기기 생체인증 또는 보안 키 등을 지원하는 웹 제품에 적합한 고보안 옵션으로, 강력한 보호를 보장합니다.
    2. 백업 인증 요소:
      • 백업 코드: 사용자가 위의 주요 인증 요소를 사용할 수 없을 때를 위한 백업 옵션입니다. 이 옵션을 활성화하면 사용자가 원활하게 접근할 수 있습니다.
  3. MFA 필수 옵션을 활성화할지 선택하세요:
    • 활성화: 사용자는 로그인 과정에서 MFA 설정을 반드시 완료해야 하며, 건너뛸 수 없습니다. 사용자가 MFA를 설정하지 않거나 MFA 설정을 삭제하면, 다시 MFA를 설정할 때까지 계정에 접근할 수 없습니다.
    • 비활성화: 사용자는 회원가입 과정에서 MFA 설정을 건너뛸 수 있습니다. 이후 셀프 서비스 계정 설정 페이지를 통해 MFA를 설정할 수 있습니다. 사용자 계정 설정 페이지 구현에 대해 자세히 알아보기. 그리고 MFA 설정 프롬프트 정책을 계속 선택하세요:
      • 사용자에게 MFA 설정을 요청하지 않음: 로그인 시 MFA 설정 프롬프트가 표시되지 않습니다.
      • 회원가입 시 MFA 설정 요청: 신규 사용자는 회원가입 시 MFA 설정 프롬프트를 받고, 기존 사용자는 다음 로그인 시 프롬프트를 받습니다. 사용자는 이 단계를 건너뛸 수 있으며, 이후 다시 표시되지 않습니다.
      • 회원가입 후 로그인 시 MFA 설정 요청: 신규 사용자는 회원가입 후 두 번째 로그인 시 MFA 설정 프롬프트를 받고, 기존 사용자는 다음 로그인 시 프롬프트를 받습니다. 사용자는 이 단계를 건너뛸 수 있으며, 이후 다시 표시되지 않습니다.
MFA 설정

조직별 MFA 구성

조직을 지원하는 멀티 테넌트 아키텍처 제품의 경우, 모든 사용자에게 MFA를 필수로 요구할 필요가 없는 경우가 많습니다. 대신, 조직별로 MFA를 활성화하여 각 고객의 요구에 맞게 요구 사항을 맞춤화할 수 있습니다. 시작하려면 조직 구성원에게 MFA 요구하기를 참조하세요.

MFA 사용자 플로우

MFA 설정 플로우

MFA가 활성화되면, 사용자는 로그인 및 회원가입 과정에서 MFA 설정을 요청받게 됩니다. "사용자 제어 MFA" 정책이 활성화된 경우에만 사용자가 이 설정 과정을 건너뛸 수 있습니다.

  1. 로그인 또는 회원가입 페이지 방문: 사용자가 로그인 또는 회원가입 페이지로 이동합니다.
  2. 로그인 또는 회원가입 완료: 사용자가 로그인 또는 회원가입 플로우 내에서 아이덴티티 인증 과정을 완료합니다.
  3. MFA 주요 인증 요소 설정: 사용자는 주요 MFA 인증 요소(인증 앱 OTP 또는 WebAuthn) 설정을 요청받습니다. 여러 주요 인증 요소가 활성화된 경우, 원하는 옵션을 선택할 수 있습니다. "사용자 제어 MFA" 정책이 활성화된 경우, "건너뛰기" 버튼을 선택하여 이 단계를 건너뛸 수 있습니다.
  4. MFA 백업 인증 요소 설정: 백업 코드가 활성화된 경우, 사용자는 주요 인증 요소 설정 후 백업 코드 설정을 요청받습니다. 자동 생성된 백업 코드가 사용자에게 표시되며, 다운로드하여 안전하게 보관할 수 있습니다. 사용자는 MFA 설정을 완료하기 위해 백업 코드를 수동으로 확인해야 합니다.
MFA 설정 플로우

MFA 인증 플로우

MFA를 설정한 사용자는 로그인 시 설정한 MFA 인증 요소로 아이덴티티를 인증해야 합니다. 인증 요소는 Logto의 MFA 설정 및 사용자 설정에 따라 달라집니다.

  • 사용자가 하나의 인증 요소만 설정한 경우, 해당 요소로 바로 인증합니다.
  • 사용자가 여러 인증 요소(2FA)를 설정한 경우, 인증할 요소를 선택해야 합니다.
  • 활성화된 모든 주요 인증 요소를 사용할 수 없고, 백업 코드가 활성화된 경우, 일회용 백업 코드를 사용하여 인증할 수 있습니다.
MFA 인증 플로우

MFA 관리

로그인/회원가입 시 초기 설정 외에도, 사용자는 셀프 서비스 계정 센터를 통해 MFA 설정을 관리할 수 있습니다. 이를 통해 사용자는 필요에 따라 MFA 인증 요소를 바인딩하거나 해제할 수 있습니다.

계정 센터 구축

Logto의 Account API를 사용하여 포괄적인 계정 센터를 구축할 수 있습니다. 이를 통해 사용자는 다음을 할 수 있습니다:

  • 새 MFA 인증 요소 바인딩: 추가 인증 앱, 패스키 추가 또는 백업 코드 재생성
  • 기존 MFA 인증 요소 해제: 더 이상 사용하지 않는 MFA 방법 제거
  • 현재 MFA 상태 확인: 현재 설정된 MFA 인증 요소 확인

로그인 후 MFA 설정 프롬프트

초기 회원가입 시 MFA가 필수가 아닌 애플리케이션의 경우, MFA 설정을 유도하는 지능형 프롬프트를 구현할 수 있습니다:

  • 조건부 프롬프트: 사용자 행동 또는 계정 가치에 따라 MFA 설정 권장 메시지 표시
  • 보안 대시보드: MFA 활성화 시 보안 점수가 향상되는 대시보드 제공
  • 점진적 온보딩: MFA 설정을 점진적 보안 강화 플로우의 일부로 안내

이러한 패턴 구현에 대해 Account API로 자세히 알아보세요.