MFA 구성하기
Logto에서 MFA 설정 구성하기
Logto는 다양한 보안 요구 사항을 충족할 수 있도록 유연한 MFA 구성 옵션을 제공합니다. 모든 사용자에게 전역적으로 MFA를 설정하거나, 다중 테넌트 애플리케이션의 경우 조직별로 활성화할 수 있습니다.
전역 MFA 구성
사용자의 Logto 로그인 흐름에서 MFA를 활성화하려면 다음 단계를 따르세요:
- 다음으로 이동하세요: 콘솔 > 다단계 인증 (MFA).
- 사용자에게 지원할 인증 요소를 활성화하세요.
- 주요 인증 요소:
- 패스키 (WebAuthn): 웹 제품에서 디바이스 생체인식 또는 보안 키 등을 지원하는 경우에 적합한 고보안 옵션으로, 강력한 보호를 제공합니다.
- 인증 앱 OTP: 가장 일반적이고 널리 사용되는 방법입니다. Google Authenticator 또는 Authy와 같은 인증 앱에서 생성된 시간 기반 일회용 비밀번호 (TOTP)를 사용합니다.
- SMS 인증: 사용자의 등록된 휴대폰 번호로 SMS를 통해 일회용 인증 코드를 전송하는 편리한 방법으로, 별도의 앱 없이 모바일 인증을 선호하는 사용자에게 적합합니다.
- 이메일 인증: 사용자의 등록된 이메일 주소로 일회용 인증 코드를 전송하는 널리 접근 가능한 방법으로, 모든 플랫폼과 디바이스에서 사용하기 적합합니다.
- 백업 인증 요소:
- 백업 코드: 위의 주요 인증 요소로 인증할 수 없는 경우를 대비한 백업 옵션입니다. 이 옵션을 활성화하면 사용자의 접근 성공률이 높아집니다.
- 주요 인증 요소:
- MFA 필수 요구를 활성화할지 선택하세요:
- 활성화: 사용자는 로그인 과정에서 MFA를 반드시 설정해야 하며, 이 과정을 건너뛸 수 없습니다. 사용자가 MFA를 설정하지 않거나 MFA 설정을 삭제하면, 다시 MFA를 설정할 때까지 계정에 접근할 수 없습니다.
- 비활성화: 사용자는 회원가입 과정에서 MFA 설정을 건너뛸 수 있습니다. 이후 셀프 서비스 계정 설정 페이지에서 MFA를 설정할 수 있습니다. 사용자 계정 설정 페이지 구현에 대해 자세히 알아보기. 그리고 MFA 설정 안내 정책을 계속 선택하세요:
- 사용자에게 MFA 설정을 요청하지 않음: 로그인 시 사용자에게 MFA 설정을 요청하지 않습니다.
- 회원가입 시 사용자에게 MFA 설정 요청: 신규 사용자는 회원가입 시 MFA 설정을 요청받고, 기존 사용자는 다음 로그인 시 안내를 받습니다. 사용자는 이 단계를 건너뛸 수 있으며, 다시 나타나지 않습니다.
- 회원가입 후 로그인 시 사용자에게 MFA 설정 요청: 신규 사용자는 회원가입 후 두 번째 로그인 시 MFA 설정을 요청받고, 기존 사용자는 다음 로그인 시 안내를 받습니다. 사용자는 이 단계를 건너뛸 수 있으며, 다시 나타나지 않습니다.
조직별 MFA 구성
조직을 지원하는 다중 테넌트 아키텍처 제품의 경우, 대부분 모든 사용자에게 MFA를 필수로 요구할 필요가 없습니다. 대신, 조직별로 MFA를 활성화하여 각 고객의 요구에 맞게 요구 사항을 맞춤화할 수 있습니다. 시작하려면 조직 구성원에게 MFA 요구하기를 참고하세요.
MFA 사용자 흐름
MFA 설정 흐름
MFA가 활성화되면, 사용자는 로그인 및 회원가입 과정에서 MFA 설정을 요청받게 됩니다. “MFA 필수 요구” 정책이 비활성화된 경우에만 사용자는 이 설정 과정을 건너뛸 수 있습니다.
- 로그인 또는 회원가입 페이지 방문: 사용자가 로그인 또는 회원가입 페이지로 이동합니다.
- 로그인 또는 회원가입 완료: 사용자가 로그인 또는 회원가입 흐름 내에서 아이덴티티 인증 과정을 완료합니다.
- MFA 주요 인증 요소 설정: 사용자는 주요 MFA 인증 요소(패스키, 인증 앱 OTP, SMS 코드, 이메일 코드 중 하나)를 설정하도록 안내받습니다.
- 여러 주요 인증 요소가 활성화된 경우, 사용자는 원하는 옵션을 선택할 수 있습니다.
- 주요 인증 요소가 회원가입 식별자와 동일한 경우(예: SMS 또는 이메일), 사전 인증이 완료되어 인증 단계를 건너뛰고 다음 단계(예: "다른 2단계 인증 추가" 또는 "백업 인증 요소 저장")로 바로 진행할 수 있습니다.
- “MFA 필수 요구” 정책이 비활성화된 경우, "건너뛰기" 버튼을 선택하여 이 단계를 건너뛸 수 있습니다.
- MFA 백업 인증 요소 설정: 백업 코드가 활성화된 경우, 사용자는 주요 인증 요소 설정을 완료한 후 백업 코드를 저장하도록 안내받습니다. 자동 생성된 백업 코드는 사용자에게 표시되며, 다운로드 및 안전하게 보관할 수 있습니다. 사용자는 MFA 설정을 완료하기 위해 백업 코드를 수동으로 확인해야 합니다.
MFA 인증 흐름
MFA를 설정한 사용자는 로그인 시 설정한 MFA 인증 요소로 아이덴티티를 인증해야 합니다. 인증 요소는 Logto의 MFA 설정 및 사용자 설정에 따라 달라집니다.
- 사용자가 하나의 인증 요소만 설정한 경우, 해당 요소로 바로 인증합니다.
- 사용자가 2FA를 위해 여러 인증 요소를 설정한 경우, 시스템은 다음 우선순위 규칙에 따라 인증 옵션을 제시합니다:
- 패스키 우선: 사용자가 패스키를 설정한 경우, 기본 인증 방법으로 제시됩니다.
- 마지막 사용 선호: 패스키가 없는 경우, 사용자가 마지막으로 성공적으로 사용한 인증 방법이 우선시됩니다.
- 선택 목록: 위의 우선순위가 적용되지 않는 경우, 2단계 인증 페이지에서 사용자가 선택할 수 있도록 모든 사용 가능한 인증 방법이 표시됩니다.
- 사용자는 언제든지 "다른 인증 방법 시도"를 클릭하여 인증 옵션을 전환할 수 있습니다.
- 모든 활성화된 주요 인증 요소를 사용할 수 없고, 백업 코드가 활성화된 경우, 일회용 백업 코드를 사용하여 인증할 수 있습니다.
MFA 관리
최초 로그인/회원가입 시 설정 외에도, 사용자는 셀프 서비스 계정 센터를 통해 MFA 설정을 관리할 수 있습니다. 이를 통해 사용자는 필요에 따라 MFA 인증 요소를 추가하거나 해제할 수 있습니다.
계정 센터 구축하기
Logto의 Account API를 사용하여 포괄적인 계정 센터를 구축할 수 있습니다. 이를 통해 사용자는 다음을 할 수 있습니다:
- 새 MFA 인증 요소 바인딩: 추가 인증 앱, 패스키 추가 또는 백업 코드 재생성
- 기존 MFA 인증 요소 해제: 더 이상 사용하지 않는 MFA 방법 제거
- 현재 MFA 상태 확인: 현재 설정된 MFA 인증 요소 확인
로그인 후 MFA 설정 안내
초기 회원가입 시 MFA가 필수가 아닌 애플리케이션의 경우, MFA 설정을 유도하는 지능형 안내를 구현할 수 있습니다:
- 조건부 안내: 사용자 행동 또는 계정 가치에 따라 MFA 설정 권장 안내 표시
- 보안 대시보드: MFA 활성화 시 보안 점수가 향상되는 대시보드 제공
- 점진적 온보딩: MFA 설정을 점진적 보안 강화 흐름의 일부로 안내
이러한 패턴 구현에 대해 Account API로 자세히 알아보세요.
콘솔에서 사용자 MFA 관리
콘솔 > 사용자 관리에서 관리자는 사용자 MFA 설정을 효과적으로 관리할 수 있습니다:
- 사용자 MFA 상태 확인: 각 사용자에 대해 활성화된 MFA 인증 요소 확인
- 사용자 MFA 제거: 사용자의 모든 MFA 인증 요소를 삭제하여, 사용자가 다시 MFA를 설정하도록 요구
자주 묻는 질문
관리자가 사용자의 기존 MFA 인증 요소를 제거하면 어떻게 되나요?
관리자가 사용자의 모든 주요 MFA 인증 요소(패스키, 인증 앱 OTP, SMS, 이메일)를 제거하면, 다음 로그인 시 다음과 같은 상황이 발생합니다:
상황 1: MFA 인증 요소가 남아 있지 않은 경우
- MFA 인증 요소(백업 코드 포함)가 전혀 없고, MFA 정책에서 MFA를 필수로 요구하는 경우, 사용자는 MFA 인증 없이 로그인할 수 있으며, 즉시 MFA 설정을 다시 안내받게 됩니다.
상황 2: 백업 코드가 남아 있는 경우
- 백업 코드가 남아 있다면, 사용자는 로그인 시 먼저 백업 코드로 인증해야 합니다.
- 백업 코드 인증에 성공하면, 새로운 주요 MFA 인증 요소를 설정하도록 안내받습니다.
- 사용자가 이 설정을 건너뛸 수 있는지는 구성한 MFA 정책에 따라 다릅니다.
- 이 방식은 주요 인증 요소가 없을 때 사용자가 계정에 접근하지 못하는 상황을 방지합니다.