Microsoft Entra ID의 인증 방법 - OATH 토큰

  • 아티클

OATH TOTP(시간 기반 일회용 암호)는 OTP(일회용 암호) 코드가 생성되는 방법을 지정하는 개방형 표준입니다. OATH TOTP는 코드를 생성하는 소프트웨어 또는 하드웨어를 사용하여 구현할 수 있습니다. Microsoft Entra ID는 다른 코드 생성 표준인 OATH HOTP를 지원하지 않습니다.

OATH 소프트웨어 토큰

소프트웨어 OATH 토큰은 일반적으로 Microsoft Authenticator 앱 및 다른 인증자 앱과 같은 애플리케이션입니다. Microsoft Entra ID는 앱에 입력되고 각 OTP를 생성하는 데 사용되는 비밀 키 또는 시드를 생성합니다.

Authenticator 앱은 푸시 알림을 수행하도록 설정된 경우 자동으로 코드를 생성하므로 디바이스가 연결되지 않은 경우에도 사용자에게 백업이 있습니다. OATH TOTP를 사용하여 코드를 생성하는 타사 애플리케이션을 사용할 수도 있습니다.

일부 OATH TOTP 하드웨어 토큰은 프로그래밍 가능합니다. 즉, 사전 프로그래밍된 비밀 키 또는 시드가 제공되지 않습니다. 이러한 프로그래밍 가능한 하드웨어 토큰은 소프트웨어 토큰 설정 흐름에서 얻은 비밀 키 또는 시드를 사용하여 설정할 수 있습니다. 고객은 선택한 공급업체에서 이러한 토큰을 구매하고 해당 공급업체의 설정 프로세스에서 비밀 키 또는 시드를 사용할 수 있습니다.

OATH 하드웨어 토큰(미리 보기)

Microsoft Entra ID는 30초 또는 60초마다 코드를 새로 고치는 OATH-TOTP SHA-1 토큰 사용을 지원합니다. 고객은 자신이 선택한 공급업체에서 이러한 토큰을 구매할 수 있습니다. 하드웨어 OATH 토큰은 Microsoft Entra ID P1 또는 P2 라이선스가 있는 사용자가 사용할 수 있습니다.

Important

미리 보기는 Azure Global 및 Azure Government 클라우드에서만 지원됩니다.

OATH TOTP 하드웨어 토큰은 일반적으로 토큰에서 사전 프로그래밍된 비밀 키 또는 시드를 제공합니다. 이러한 키는 다음 단계에 설명된 대로 Microsoft Entra ID에 입력되어야 합니다. 비밀 키는 128자로 제한되며 일부 토큰과는 호환되지 않습니다. 비밀 키에는 a-z 또는 A-Z2-7까지의 숫자만 포함할 수 있으며, Base32로 인코딩해야 합니다.

다시 지정할 수 있는 프로그래밍 가능한 OATH TOTP 하드웨어 토큰은 소프트웨어 토큰 설정 흐름에서 Microsoft Entra ID를 사용하여 설정할 수도 있습니다.

OATH 하드웨어 토큰은 공개 미리 보기의 일부로 지원됩니다. 미리 보기에 대한 자세한 내용은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

OATH 토큰 관리 스크린샷

토큰을 획득하면 CSV(쉼표로 구분된 값) 파일 형식으로 업로드해야 합니다. 이 파일은 다음 예제와 같이 UPN, 일련 번호, 비밀 키, 시간 간격, 제조업체 및 모델을 포함해야 합니다.

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

참고 항목

CSV 파일에 머리글 행을 포함해야 합니다.

CSV 파일로 올바르게 형식이 지정되면 전역 관리자는 Microsoft Entra 관리 센터로 로그인하여 보안>다단계 인증>OATH 토큰으로 이동하여 결과 CSV 파일을 업로드합니다.

CSV 파일의 크기에 따라 처리하는 데 몇 분 정도가 소요될 수 있습니다. 현재 상태를 가져오려면 새로 고침 단추를 선택합니다. 파일에 오류가 있는 경우 오류가 나열된 CSV 파일을 다운로드하여 해결할 수 있습니다. 다운로드한 CSV 파일의 필드 이름은 업로드된 버전과 다릅니다.

오류가 모두 처리되면 관리자는 토큰에 대해 활성화를 선택하고 토큰에 표시된 OTP를 입력하여 각 키를 활성화할 수 있습니다. 5분마다 최대 200개의 OATH 토큰을 활성화할 수 있습니다.

사용자는 언제든지 사용할 수 있도록 구성된 Microsoft Authenticator 앱과 같은 인증자 애플리케이션 또는 최대 5개의 OATH 하드웨어 토큰을 조합할 수 있습니다. 하드웨어 OATH 토큰은 리소스 테넌트에서 게스트 사용자에게 할당할 수 없습니다.

Important

각 토큰을 단일 사용자에게만 할당해야 합니다. 향후에는 보안 위험을 방지하기 위해 단일 토큰을 여러 사용자에게 할당하는 지원이 중단됩니다.

업로드 처리 중 오류 문제 해결

경우에 따라 CSV 파일 업로드를 처리하면서 충돌이나 문제가 발생할 수 있습니다. 충돌 또는 문제가 발생하면 다음과 유사한 알림을 받게 됩니다.

업로드 오류 예제 스크린샷

오류 메시지를 확인하려면 세부 정보 보기를 선택합니다. 하드웨어 토큰 상태 블레이드가 열리고 업로드 상태에 대한 요약이 제공됩니다. 다음 예제와 같이 한 가지 또는 여러 개의 오류가 발생했음을 보여 줍니다.

하드웨어 토큰 상태 예제 스크린샷

나열된 오류의 원인을 확인하려면 보려는 상태 옆에 있는 확인란을 클릭해야 합니다. 그러면 다운로드 옵션이 활성화됩니다. 이제 식별된 오류가 포함된 CSV 파일이 다운로드됩니다.

다운로드 상태 예제 스크린샷

다운로드한 파일의 이름은 Failures_filename.csv입니다. 여기서 filename은 업로드된 파일의 이름입니다. 이 파일은 브라우저의 기본 다운로드 디렉터리에 저장됩니다.

이 예제에서는 테넌트 디렉터리에 현재 존재하지 않는 사용자로 식별된 오류를 보여 줍니다.

오류 원인 예제 스크린샷

나열된 오류를 해결했으면 성공적으로 처리될 때까지 CSV를 다시 업로드합니다. 각 시도에 대한 상태 정보는 30일 동안 유지됩니다. 상태 옆의 확인란을 클릭한 다음, 원하는 경우 삭제 상태를 선택하여 CSV를 수동으로 제거할 수 있습니다.

OATH 토큰 등록 유형 확인

사용자는 mysecurityinfo에 액세스하거나 내 계정에서 보안 정보를 선택하여 OATH 토큰 등록을 관리하고 추가할 수 있습니다. OATH 토큰 등록이 하드웨어 기반인지 소프트웨어 기반인지 구별하기 위해 특정 아이콘이 사용됩니다.

토큰 등록 유형 Icon
OATH 소프트웨어 토큰 소프트웨어 OATH 토큰
OATH 하드웨어 토큰 하드웨어 OATH 토큰

다음 단계

Microsoft Graph REST API를 사용하는 인증 구성 방법에 대해 자세히 알아봅니다. 암호 없는 인증과 호환되는 FIDO2 보안 키 공급자에 대해 알아봅니다.