Looker는 Looker를 통해 액세스 가능한 데이터를 보호하기 위해 추가 보안 계층으로 2단계 인증 (2FA)을 제공합니다. 2단계 인증을 사용 설정하면 로그인하는 모든 사용자가 휴대기기에서 생성된 일회용 코드로 인증해야 합니다. 일부 사용자에게 2단계 인증을 사용 설정하는 옵션은 없습니다.
관리 메뉴의 인증 섹션에 있는 2단계 인증 페이지에서 2단계 인증을 사용 설정하고 구성할 수 있습니다.
2단계 인증은 Looker API 사용에 영향을 미치지 않습니다.
2단계 인증은 LDAP, SAML, Google OAuth, OpenID Connect와 같은 외부 시스템을 통한 인증에 영향을 미치지 않습니다. 2단계 인증은 이러한 시스템에서 사용되는 대체 로그인 사용자 인증 정보에 영향을 미칩니다.
2단계 인증 사용
다음은 2단계 인증을 설정하고 사용하는 대략적인 워크플로입니다. 2단계 인증의 올바른 작동을 위해 필요한 시간 동기화 요구사항을 확인하세요.
관리자가 Looker의 관리 설정에서 2단계 인증을 사용 설정합니다.
2단계 인증을 사용 설정하면 Looker에 로그인한 모든 사용자가 로그아웃되고 2단계 인증을 사용하여 다시 로그인해야 합니다.
처음 로그인하면 다음과 같이 컴퓨터 화면에 QR 코드 사진이 표시되며, Google OTP 앱을 사용하여 휴대전화로 스캔합니다.
사용자가 휴대전화로 QR 코드를 스캔할 수 없는 경우, 휴대전화로 입력할 수 있는 텍스트 코드를 생성할 수 있는 옵션이 있습니다.
이 단계를 완료하면 사용자가 Looker용 인증 키를 생성할 수 있습니다.
이후 Looker에 로그인할 때 사용자는 사용자 이름과 비밀번호를 제출한 후 인증 키를 입력해야 합니다.
사용자가 신뢰할 수 있는 컴퓨터입니다 옵션을 사용 설정하면 키가 30일 동안 로그인 브라우저를 인증합니다. 이 기간 동안 사용자는 사용자 이름과 비밀번호로만 로그인할 수 있습니다. 30일마다 Looker에서 Google OTP로 브라우저를 다시 인증해야 합니다.
시간 동기화 요구사항
Google OTP는 시간 기반 토큰을 생성하는데, 이 토큰을 사용하려면 Looker 서버와 각 휴대기기 간에 시간 동기화가 필요합니다. Looker 서버와 휴대기기가 동기화되지 않으면 휴대기기 사용자가 2단계 인증을 이용하지 못하게 될 수 있습니다. 시간 소스를 동기화하려면 다음 단계를 따르세요.
- 네트워크와의 자동 시간 동기화를 위해 휴대기기를 설정합니다.
- 고객이 호스팅하는 Looker 배포의 경우 NTP가 실행 중이고 서버에서 구성되었는지 확인합니다. 서버가 AWS에서 프로비저닝되는 경우 AWS 네트워크 ACL에서 NTP를 명시적으로 허용해야 할 수 있습니다.
- Looker 관리자는 서버와 휴대기기 간에 허용되는 차이의 정도를 정의하는 Looker 관리자 패널에서 허용되는 최대 시간 드리프트를 설정할 수 있습니다. 휴대기기의 시간 설정이 허용된 드리프트보다 더 큰 경우 인증 키가 작동하지 않습니다. 기본값은 90초입니다.
2단계 인증 재설정
사용자가 2단계 인증을 재설정해야 하는 경우 (예: 새 휴대기기를 사용하는 경우)
- Looker의 관리 섹션에 있는 사용자 페이지에서 사용자 행의 오른쪽에 있는 수정을 클릭하여 사용자의 계정 정보를 수정합니다.
- 2단계 보안 비밀 섹션에서 재설정을 클릭합니다. 이렇게 되면 다음에 사용자가 Looker 인스턴스에 로그인하려고 할 때 Looker에서 사용자에게 Google OTP 앱을 사용하여 QR 코드를 다시 스캔하도록 요청합니다.