이중 인증 강제
이중 인증(2FA)은 사용자가 신원을 증명하기 위해 두 가지 다른 요소를 제공해야 하는 인증 방법입니다:
- 사용자 이름과 비밀번호.
- 응용프로그램에서 생성된 코드와 같은 두 번째 인증 방법.
2FA를 통해 무단으로 계정에 접근하는 것이 더 어려워지는데, 이는 두 가지 요소가 필요하기 때문입니다.
참고: SSO 사용 및 강제의 경우 IDP 측에서 이미 2FA를 강제하고 있을 수 있습니다. 따라서 GitLab에서도 2FA를 강제할 필요가 없을 수 있습니다.
모든 사용자에 대해 2FA 강제
관리자는 두 가지 다른 방법으로 모든 사용자에 대해 2FA를 강제할 수 있습니다:
- 다음 로그인 시 강제.
-
다음 로그인 시 권장하고, 강제하기 전에 유예 기간 부여.
구성된 유예 기간이 경과하면 사용자는 로그인할 수 있지만, 2FA 구성 영역을
/-/profile/two_factor_auth에서 떠날 수 없습니다.
사용자의 모든 2FA를 강제하는데 UI나 API를 사용할 수 있습니다.
UI 사용
- 왼쪽 사이드바에서 아래쪽에서 관리자를 선택합니다.
- 설정 > 일반을 선택합니다.
-
로그인 제한을 확장합니다:
- 이 기능을 활성화하려면 이중 인증 강제를 선택합니다.
-
2FA 유예 기간에 시간을 입력합니다. 다음 로그인 시 2FA를 강제하려면
0을 입력합니다.
API 사용
다음 설정을 수정하려면 application settings API을 사용하십시오:
-
require_two_factor_authentication. -
two_factor_grace_period.
자세한 내용은 API 호출을 통해 액세스할 수 있는 설정 목록을 확인하십시오.
관리자 사용자에 대해 2FA 강제
관리자는 자체 관리 인스턴스에서 관리자 사용자에 대해 2FA를 강제할 수 있습니다.
- 왼쪽 사이드바에서 아래쪽에서 관리자를 선택합니다.
- 설정 > 일반을 선택합니다.
-
로그인 제한 섹션을 확장합니다:
- 관리자에게 2FA 활성화 필수를 선택합니다.
-
2FA 유예 기간에 시간을 입력합니다. 다음 로그인 시 2FA를 강제하려면
0을 입력합니다.
- 변경 사항 저장을 선택합니다.
참고: 외부 제공업체를 사용하여 GitLab에 로그인하는 경우, 이 설정은 사용자에게 2FA를 강제하지 않습니다.
그룹의 모든 사용자에 대해 2FA 강제
전제 조건:
- 그룹에 대한 Maintainer 또는 Owner 역할이 있어야 합니다.
특정 그룹에 대해 2FA를 강제하려면:
- 왼쪽 사이드바에서 검색 또는 이동하여 그룹 찾기를 선택하고 그룹을 찾습니다.
- 설정 > 일반을 선택합니다.
- 권한 및 그룹 기능을 확장합니다.
- 이 그룹의 모든 사용자는 2FA 설정하도록 설정을 선택합니다.
- 선택 사항. 2FA 강제 지연(시간 단위)에 유예 기간을 입력합니다. 최상위 그룹 및 해당 하위 그룹 및 프로젝트에 여러 다른 유예 기간이 있는 경우, 가장 짧은 유예 기간이 사용됩니다.
- 변경 사항 저장을 선택합니다.
이를테면 그룹의 직접 및 상속된 멤버에 모두 영향을 줍니다.
액세스 토큰은 API 기반이기 때문에 두 번째 요인을 제공할 필요가 없습니다. 2FA가 강제되기 전에 생성된 토큰은 유효합니다.
GitLab 수신 이메일 기능은 2FA 강제를 따르지 않습니다. 사용자는 2FA로 스스로 인증하지 않고도 이메일 기능을 사용할 수 있습니다. 이는 2FA가 강제되더라도 해당 기능을 사용할 수 있다는 의미입니다.
하위 그룹에서의 2FA
최상위 그룹과 동일한 방식으로 개별 하위 그룹에 대해 2FA를 사용하고 강제할 수 있습니다.
하위 그룹이 자체 2FA 규칙을 설정하지 못하도록 할 수 있습니다:
- 최상위 그룹의 설정 > 일반으로 이동합니다.
- 권한 및 그룹 기능 섹션을 확장합니다.
- 하위 그룹이 자체 이중 인증 규칙을 설정하는 것을 허용 확인란을 선택 취소합니다.
이 작업으로 2FA 요구 사항이 있는 모든 하위 그룹에서 멤버가 2FA를 요구하지 않게됩니다.
프로젝트에서의 2FA
2FA를 활성화하거나 강제하는 그룹에 속한 프로젝트가 공유되는 경우 2FA를 활성화하지 않거나 강제하지 않는 그룹의 멤버는 2FA를 사용하지 않고도 해당 프로젝트에 액세스할 수 있습니다. 예를 들어:
- 그룹 A에서 2FA가 활성화되고 강제됩니다. 그룹 B에서 2FA가 활성화되어 있지 않습니다.
- 그룹 A에 속한 프로젝트 P가 그룹 B와 공유되거나 할당된 경우, 그룹 B의 멤버는 2FA 없이도 프로젝트 P에 액세스할 수 있습니다.
이를 방지하려면 프로젝트 공유 방지를 수행하십시오.
그룹 또는 하위 그룹이나 프로젝트에 멤버를 추가하면 그룹 또는 하위 그룹이나 프로젝트에 2FA가 활성화되어 있어도 해당 멤버에 대해 2FA가 강제되지 않습니다.
2FA 비활성화
개별 사용자 또는 모든 사용자에 대해 2FA를 비활성화할 수 있습니다.
이는 영구적이며 돌이킬 수 없는 조치입니다. 사용자는 다시 2FA를 활성화해야 합니다.
경고: 사용자의 2FA를 비활성화해도 모든 사용자에 대해 2FA 강제 또는 그룹의 모든 사용자에 대해 2FA 강제 설정은 비활성화되지 않습니다. 사용자가 GitLab에 다음으로 로그인할 때 2FA 설정을 다시 하라는 메시지가 표시되지 않도록 강제된 2FA 설정도 비활성화해야 합니다.
단일 사용자용
관리자
단일 관리자의 2단계 인증을 해제하려면 Rails 콘솔을 사용할 수 있습니다.
admin = User.find_by_username('<USERNAME>')
user_to_disable = User.find_by_username('<USERNAME>')
TwoFactor::DestroyService.new(admin, user: user_to_disable).execute
관리자에게 2단계 인증이 해제되었음을 알립니다.
비관리자
GitLab 15.2 이상에서 비관리자의 2단계 인증을 해제하려면 Rails 콘솔 또는 API 엔드포인트를 사용할 수 있습니다.
자체 계정의 2단계 인증을 해제할 수 있습니다.
API 엔드포인트를 사용하여 관리자의 2단계 인증을 해제할 수 없습니다.
모든 사용자용
강제 2단계 인증이 해제된 상태에서도 모든 사용자의 2단계 인증을 해제하려면 다음 Rake 작업을 사용합니다.
-
Linux 패키지를 사용하는 경우:
sudo gitlab-rake gitlab:two_factor:disable_for_all_users -
직접 컴파일한 설치인 경우:
sudo -u git -H bundle exec rake gitlab:two_factor:disable_for_all_users RAILS_ENV=production
SSH 작업용 2단계 인증
- 기본적으로 기능 플래그에 따라 배포가 비활성화됩니다.
- Push 알림 지원은 GitLab 15.3에서 소개되었습니다.
two_factor_for_cli라는 기능 플래그를 활성화할 수 있습니다. GitLab.com 및 전용 GitLab에서는 이 기능을 사용할 수 없습니다. 이 기능은 프로덕션 환경에 사용할 준비가 되지 않았습니다. 또한, 이 기능 플래그는 2단계 인증이 활성화된 경우 Git 작업의 세션 기간을 사용자 정의하는 데 영향을 미칩니다.SSH 작업에 2단계 인증을 강제할 수 있습니다. 그러나 ED25519_SK 또는 ECDSA_SK SSH 키를 사용해야 합니다. 2단계 인증은 Git 작업에 대해서만 강제되며, personal_access_token과 같은 내부 명령은 제외됩니다.
일회용 비밀번호(OTP) 확인을 위해 다음을 실행합니다.
ssh git@<hostname> 2fa_verify
그런 다음 다음 중 하나를 사용하여 인증합니다.
- 정확한 OTP 입력
- GitLab 15.3 이상에서 FortiAuthenticator가 활성화돼 있는 경우, 기기 푸시 알림에 응답
성공적으로 인증되면 연관된 SSH 키로 SSH 작업을 15분(기본값) 동안 수행할 수 있습니다.
보안 제약
2단계 인증은 침해당한 개인 SSH 키를 보호하지 않습니다.
OTP가 확인되면 설정된 세션 기간에 대해 해당 개인 SSH 키로 누구나 Git over SSH를 실행할 수 있습니다.
도움말