다요소인증(Multi-factor authentication, MFA)에 관한 안내입니다.

최근에 MFA를 필수로 실행해야 하는 서비스제공자가 등장하고 있습니다. 아이디 페더레이션 환경에서 MFA의 실행은 회원기관에 구축된 아이디제공자가 담당합니다.

다요소 인증이 필요한 KAFE 회원기관은 다음 안내를 참고하여 아이디제공자와 서비스제공자를 구성해주시기 바랍니다.

KAFE 아이디제공자 소프트웨어 2.0 버전은 OTP(일회용 비밀번호)를 기본적으로 탑재하고 있습니다. 또한, 기관에서 구매해 사용 중인 OTP 소프트웨어도 API를 통해 연동할 수 있습니다.

KAFE는 사용자 편의성과 보안관리 측면을 고려해 기관에서 구매한 OTP 소프트웨어의 아이디제공자 연동을 권장합니다.

이메일 OTP와 SMS OTP는 보안상 안전하지 않으므로[1] 사용을 권장하지 않습니다. 이메일 OTP의 사용은 금지되어 있으므로 아이디제공자에서 사용하실 수 없습니다.

아이디제공자는 특정 서비스제공자에게만 OTP를 실행시킬 수 있습니다. OTP의 선택적 실행을 위해, 아이디제공자는 서비스제공자의 개체식별자(entityID)를 알아야 합니다.  아래 URL에서 서비스제공자의 개체식별자를 확인한 후, KAFE 아이디제공자 소프트웨어 2.0 버전의 관리자 메뉴에서 개체식별자를 등록하면 해당 서비스제공자에 한해 OTP를 실행시킬 수 있습니다. 

* 연합메타데이터 URL: https://fedinfo.kreonet.net/signedmetadata/federation/KAFE-profed/metadata.xml 

OTP를 적용해야 하는 서비스제공자는 다음 REFEDS MFA 구문[2]에 따라 OTP의 실행을 요청하고 실행 여부를 검증해야 합니다. 서비스제공자가 https://refeds.org/profile/mfa 문자열을 수신하지 못한 경우, OTP가 실행되지 않은 것으로 간주됩니다.

* OTP 실행 요청

<saml2p:RequestedAuthnContext>

 <saml2:AuthnContextClassRef> https://refeds.org/profile/mfa </saml2:AuthnContextClassRef>

</saml2p:RequestedAuthnContext>

* OTP 실행 결과 수신

<saml2p:AuthnContext>

 <saml2:AuthnContextClassRef> https://refeds.org/profile/mfa </saml2:AuthnContextClassRef>

</saml2p:AuthnContext>

OTP를 필수적으로 실행해야 하는 서비스제공자는 KAFE의 중앙형 인증 관리 시스템인 trustHub에 등록하는 것을 고려할 수 있습니다. 

trustHub에 등록된 서비스제공자는 아이디제공자가 OTP를 지원하지 않거나 REFEDS MFA 프로필을 준수하지 않아도 trustHub가 탑재한 기능을 활용해 OTP를 실행시킬 수 있습니다. 

trustHub 등록과 관련하여 지원이 필요한 경우 support@kafe.or.kr로 문의하시기 바랍니다.

감사합니다.

[1] NIST 800-63, https://pages.nist.gov/800-63-3/

[2] REFEDS MFA Profile, https://refeds.org/profile/mfa