로그인 인증 개요
Mantis의 로그인 방식(일반·SSO·LDAP)과 2단계 인증, 자동 계정 생성, 비상 로그인의 전체 구조를 설명합니다.
관리자 가이드
Mantis는 세 가지 로그인 방식과, 그 위에 얹는 추가 보안 계층(MFA)을 제공합니다. 조직 상황에 맞게 선택하거나 조합할 수 있습니다.
| 방식 | 설명 | 자세히 |
|---|---|---|
| 일반(로컬) | 이메일 + 비밀번호 | 기본 제공 |
| SSO | 조직 IdP(Okta·Google·Azure AD 등)로 통합 로그인 (SAML 2.0 / OIDC) | SSO 설정 |
| LDAP | 회사 디렉토리 계정(이메일 또는 사번) | LDAP 설정 |
| MFA(2단계 인증) | 위 방식에 인증 앱 6자리 코드를 추가 | MFA 정책 |
로그인 화면은 설정에 따라 달라집니다
Mantis는 조직 설정을 자동으로 감지해 로그인 화면을 구성합니다.
| 조직 설정 | 로그인 화면 |
|---|---|
| 일반만 | 아이디·비밀번호 입력 폼 |
| SSO만 | SSO로 계속하기 버튼이 중심, 비밀번호는 보조 |
| SSO + LDAP | SSO / 아이디·비밀번호 두 가지를 선택 |
💡 어떤 방식이든 Owner 계정은 항상 비밀번호 로그인을 사용할 수 있습니다. 인증 설정에 문제가 생겨도 Owner가 들어와 고칠 수 있도록 한 안전장치입니다.
자동 계정 생성(JIT)
SSO·LDAP로 처음 로그인하면 Mantis 계정이 자동으로 만들어집니다(JIT 프로비저닝).
- SSO: 자동 생성 시 Member 역할로 배정 → 바로 사용 가능(원하면 Owner가 역할 변경)
- LDAP: 자동 생성 시 승인 대기(pending) 상태 → Owner가 멤버 관리에서 승인해야 사용 가능
인증 우선순위와 규칙
- LDAP을 쓰는 조직에서 LDAP 사용자는 LDAP 인증이 우선합니다. LDAP 사용자는 로컬 비밀번호 로그인이 막힙니다(단, Owner는 예외로 비밀번호 로그인 가능).
- SSO 전용 사용자가 비밀번호로 로그인하려 하면 "이 계정은 SSO 로그인이 필요합니다" 안내가 표시됩니다.
비상 로그인 (SSO 장애 대비)
SSO를 쓰는 중 IdP에 연결할 수 없을 때, 로그인 화면에 비상 로그인 안내가 나타납니다.
- Owner는 IdP 상태와 무관하게 항상 비상(비밀번호) 로그인 가능
- 일반 사용자는 IdP가 장애(unhealthy) 일 때만 비상 로그인 허용
- SSO로만 가입해 비밀번호가 없는 계정은 비상 로그인 불가
🔒 인증 설정(SSO/LDAP)의 민감 정보를 DB에 안전하게 저장하려면 서버에
SSO_ENCRYPTION_KEY환경 변수가 설정되어 있어야 합니다. 없으면 설정을 저장해도 로그인 기능이 동작하지 않습니다. (SSO/LDAP 설정 화면 상단에 경고가 표시됩니다.)
어떤 방식을 선택할까요?
- 이미 Okta/Google/Azure AD 등을 쓴다면 → SSO
- 사내 AD/LDAP 디렉토리로 계정을 관리한다면 → LDAP
- 별도 ID 인프라가 없다면 → 일반(로컬) + 필요 시 MFA 필수