Cloud/GCP

[GCP] 2단계(MFA) 인증을 조직 단위로 설정하기

달빛궁전- 2024. 3. 25. 14:16
목적 : 도메인을 사용하여, 조직에 속하게 되면 사용자들에게 로그인시 2단계 인증을 강제할 수 있습니다.
단순히 ID/Password 보다 2차인증(문자, 앱, 통화등)을 받을 수 있으므로, 보안성 향상에 도움을 받을 수 있습니다.
무엇보다 Cloud ID(Free)를 사용해도 무료로 지원됩니다.

 

 

  • 조직설정
admin.google.com 접속하여 아래의 메뉴로 접근합니다.
메뉴 → 보안 → 인증 → 2단계 인증을 선택합니다.
 
조직을 볼 수 있으며, 오른쪽 탭에서 인증 사용여부를 알 수 있습니다.
 
각 기능 옵션은 다음과 같습니다.
→ 사용자가 2단계 인증을 사용하도록 허용
체크시 : 사용자들은 2단계 인증을 자율적으로 설정 진행할 수 있습니다.
체크해제시 : 사용자들은 2단계 인증 자체를 사용할 수 없습니다. 

→ 사용 or 다음 날짜에 사용 설정 선택
새 사용자 등록기간에 적절한 기간을 주시는 것이 좋습니다. 사유는 아래와 같습니다.

2단계 인증 시행시에는 내부적으로 충분히 안내가 필요합니다.
사용 설정이 되면, 등록되지 않은 사용자들은 계정 로그인이 불가합니다.
→ 새 사용자 등록 기간
신규로 조직에 등록된 사용자는 2단계 인증을 설정한 기간만큼은 예외 됩니다.
2단계 인증을 사용하고, 새 사용자 등록 기간을 주지 않으면 신규 가입한 사용자는 로그인이 불가하여 2단계 인증이 불가합니다.
하여 2단계 사용을 하면 적절한 기간을 주어야 합니다.

 

→ 빈도
사용자가 신뢰할 수 있는 기기에서는 2단계 인증을 반복하지 않게 할 수 있습니다.
사용에 체크를 하면 사용자가 신규기기에서 처음으로 로그인할때 기기를 신뢰할 것이냐는 체크박스가 생성되며, 체크하면 해당 기기에서는 2단계 인증을 진행하지 않습니다.
해당 기기는 사용자가 웹브라우져에서 쿠기를 삭제하거나, 관리자가 기기를  아래와 같이 삭제하지 않는 이상 유지됩니다.
 
 
 
  • 사용자가 2단계 인증 설정 진행
GCP 사용자들은 아래의 링크로 접속합니다.
보안탭 → 2단계 인증을 선택하여 핸드폰으로 인증을 받습니다.
 
인증을 받은 이후에는 아래와 같이 문자외에 여러가지 MFA 도구들을 선택할 수 있습니다.
다만 해당 도구는 위의 admin.google.com 에서 보안 설정에 따라 모두 / 문자(인증코드) / 보안키 각각 적용될 수 있습니다.