이 기능은 Enterprise Plus, Education Standard, Education Plus 버전에서 사용할 수 있습니다. 사용 중인 버전 비교하기
Google Workspace 클라이언트 측 암호화(CSE)에 필요한 외부 키 관리 서비스를 선택한 후 Google Workspace를 ID 공급업체(IdP)(서드 파티 IdP 또는 Google ID)에 연결해야 합니다. 콘텐츠를 암호화하기 위해 선택한 암호화 키 관리 서비스는 사용자가 콘텐츠를 암호화하거나 해당 콘텐츠에 액세스하기 전에 IdP를 사용하여 사용자를 인증합니다.
참고: IdP를 구성한 후 조직의 클라이언트 측에서 암호화한 콘텐츠에 대한 외부 액세스를 허용하도록 게스트 IdP를 구성할 수 있습니다. 자세한 내용은 게스트 IdP 구성하기를 참고하세요.
시작하기 전에
CSE에서 사용하려는 암호화 키 관리 서비스를 선택했는지 확인합니다. 자세한 내용은 외부 키 관리 서비스 선택하기를 참고하세요.
1단계: IdP 연결 계획하기
IdP 연결을 사용하면 지원되는 모든 Google Workspace 웹 애플리케이션에 CSE를 설정할 수 있습니다.
- Google Drive
- Google Docs
- Google Sheets
- Google Slides
- Gmail
- Google Calendar
- Google Meet(오디오, 동영상, 채팅 메시지)
ldP 연결을 사용하면 다음 데스크톱 및 모바일 애플리케이션에도 CSE를 설정할 수 있습니다.
CSE를 통해 암호화 키 관리 서비스를 사용하려면 OpenID Connect(OIDC) 표준을 지원하는 ID 공급업체(IdP)가 필요합니다. 아직 Google Workspace에서 OIDC IdP를 사용하지 않는 경우 다음 두 가지 방법 중 하나로 키 관리 서비스에 사용할 IdP를 설정할 수 있습니다.
옵션 1: 서드 파티 IdP 사용하기(권장)
보안 모델에서 암호화된 데이터를 Google에서 더 격리해야 하는 경우 OIDC 서드 파티 IdP를 사용합니다.
이미 SAML 기반 싱글 사인온(SSO)에 서드 파티 IdP를 사용하는 경우: 해당 IdP가 OIDC를 지원한다면 Google Workspace 서비스에 액세스하는 데 사용하는 것과 동일한 CSE용 IdP를 사용하는 것이 좋습니다. Google Workspace에서 SAML 기반 SSO를 사용하는 방법 자세히 알아보기
옵션 2: Google ID 사용하기
보안 모델에서 암호화된 데이터를 Google에서 추가로 격리할 필요가 없다면 기본 Google ID를 IdP로 사용할 수 있습니다.
CSE에 서드 파티 IdP를 사용하는 경우 사용자의 브라우저에서 IdP의 서드 파티 쿠키를 허용하는 것이 좋습니다. 그렇지 않으면 사용자가 CSE를 사용할 때 IdP에 더 자주 로그인해야 할 수 있습니다.
- 조직에서 Chrome Enterprise를 사용하는 경우: CookiesAllowedForUrls 정책을 사용할 수 있습니다.
- 기타 브라우저의 경우: 서드 파티 쿠키를 허용하는 방법에 관한 안내는 브라우저의 지원 콘텐츠를 확인하세요.
조직의 웹사이트에서 호스팅된 .well-known 파일 또는 관리 콘솔(IdP 대체)을 사용하여 IdP(서드 파티 IdP 또는 Google ID)를 설정할 수 있습니다. 아래 표에 설명된 대로 각 방법마다 고려해야 할 사항이 몇 가지 있습니다.
참고: 게스트 IdP를 구성하는 경우 관리 콘솔을 사용해야 합니다.
| 고려사항 | .well-known 설정 | 관리 콘솔 설정(예비 IdP) |
|---|---|---|
| Google에서 격리 | IdP 설정은 자체 서버에 저장됩니다. | IdP 설정은 Google 서버에 저장됩니다. |
| 관리자 책임 | 웹마스터가 Google Workspace 최고 관리자 대신 설정을 관리할 수 있습니다. | Google Workspace 최고 관리자만 IdP 설정을 관리할 수 있습니다. |
| CSE 사용 가능 여부 | CSE 사용 가능 여부(가동시간)는 .well-known 파일을 호스팅하는 서버의 가용성에 따라 결정됩니다. | CSE 사용 가능 여부는 Google Workspace 서비스의 전반적인 가용성에 따라 결정됩니다. |
| 설정의 편의성 | 관리 콘솔 외부에서 서버의 DNS 설정을 변경해야 합니다. | 관리 콘솔에서 설정을 구성합니다. |
| 조직 외부 회원과의 공유 | 공동작업자의 외부 키 관리 서비스에서 IdP 설정에 쉽게 액세스할 수 있습니다. 이 액세스는 자동화될 수 있으며 공동작업자의 서비스에서 IdP 설정 변경 시 즉시 액세스할 수 있도록 합니다. |
공동작업자의 외부 키 관리 서비스에서 관리 콘솔의 IdP 설정에 액세스할 수 없습니다. 암호화된 파일을 처음 공유하기 전과 IdP 설정을 변경할 때마다 공동작업자에게 직접 IdP 설정을 제공해야 합니다. |
2단계: CSE의 클라이언트 ID 만들기
클라이언트 ID를 만든 다음 지원되는 Google Workspace 웹 애플리케이션의 리디렉션 URI를 추가해야 합니다. 지원되는 앱 목록은 이 페이지 앞부분의 지원되는 웹, 데스크톱, 모바일 애플리케이션을 참고하세요.
웹 애플리케이션용 클라이언트 ID를 만드는 방법은 서드 파티 IDP를 사용하는지 또는 Google ID를 사용하는지에 따라 다릅니다.
참고: 게스트 IdP를 구성하는 경우 게스트가 회의에 초대되었는지 확인하는 데 사용되는 Google Meet 액세스를 위한 추가 클라이언트 ID를 생성해야 합니다. 자세한 내용은 게스트 IdP 구성하기를 참고하세요.
CSE에 서드 파티 IdP를 사용하는 경우
IdP의 관리 콘솔을 사용하여 클라이언트 ID를 만들고, 다음 리디렉션 URI를 IdP의 관리 콘솔에 추가해야 합니다.
웹 서비스:
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
데스크톱용 Drive:
http://localhost
Android 및 iOS 모바일 앱:
https://client-side-encryption.google.com/oidc/gmail/native/callbackhttps://client-side-encryption.google.com/oidc/meet/native/callbackhttps://client-side-encryption.google.com/oidc/calendar/native/callbackhttps://client-side-encryption.google.com/oidc/drive/native/callbackhttps://client-side-encryption.google.com/oidc/gmail/meet/native/callback
CSE에 Google ID를 사용하는 경우
Google Cloud 콘솔에서 클라이언트 ID를 만들어야 합니다. 또한 자바스크립트 출처(교차 출처 리소스 공유 또는 CORS라고도 함)를 설정하고 리디렉션 URI 를 추가합니다.
- console.cloud.google.com으로 이동합니다.
- 새 Google Cloud 프로젝트를 만듭니다. 방법 알아보기
원하는 대로 프로젝트를 설정할 수 있습니다. 단지 인증 정보를 보관하기 위한 것입니다.
- 콘솔에서 메뉴
API 및 서비스
- CSE에서 사용할 새로운 웹 앱의 OAuth 클라이언트 ID를 만듭니다. 전체 도움말 보기
- 자바스크립트 출처를 다음과 같이 업데이트합니다.
https://admin.google.comhttps://client-side-encryption.google.com
- 승인된 리디렉션 URI를 다음과 같이 업데이트합니다.
웹 서비스:
https://client-side-encryption.google.com/callbackhttps://client-side-encryption.google.com/oidc/cse/callbackhttps://client-side-encryption.google.com/oidc/drive/callbackhttps://client-side-encryption.google.com/oidc/gmail/callbackhttps://client-side-encryption.google.com/oidc/meet/callbackhttps://client-side-encryption.google.com/oidc/calendar/callbackhttps://client-side-encryption.google.com/oidc/docs/callbackhttps://client-side-encryption.google.com/oidc/sheets/callbackhttps://client-side-encryption.google.com/oidc/slides/callback
데스크톱용 Drive:
http://localhostAndroid 및 iOS 모바일 앱:
Android 및 iOS 모바일 앱에는 추가 구성이 필요하지 않습니다.
OAuth 클라이언트 ID가 생성되면 .well-known/cse-configuration 파일 또는 관리 콘솔에서 사용할 수 있도록 저장합니다.
사용자가 데스크톱 및 모바일 애플리케이션에서 CSE를 사용하도록 하려면 해당 앱에 대한 클라이언트 ID가 필요합니다. 모바일 앱별로 각 플랫폼(Android 및 iOS)에 클라이언트 ID가 하나씩 필요합니다. 지원되는 앱 목록은 이 페이지 앞부분의 지원되는 웹, 데스크톱, 모바일 애플리케이션을 참고하세요.
데스크톱 및 모바일 애플리케이션을 위한 클라이언트 ID를 만드는 방법은 서드 파티 IDP를 사용하는지 또는 Google ID를 사용하는지에 따라 다릅니다.
참고: 이러한 클라이언트 ID는 PKCE의 authorization_code 권한 부여 유형(RFC 7636)을 지원해야 합니다.
CSE에 서드 파티 IdP를 사용하는 경우
IdP의 관리 콘솔을 사용하여 앱별로 별도의 클라이언트 ID를 만듭니다.
CSE에 Google ID를 사용하는 경우
다음 클라이언트 ID를 사용합니다.
- 데스크톱용 Drive: 클라이언트 ID
947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com을 사용합니다. - Android용 Drive: 클라이언트 ID
313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com을 사용합니다. - iOS용 Drive: 클라이언트 ID
313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com을 사용합니다. - Android용 Calendar: 클라이언트 ID
313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com을 사용합니다. - iOS용 Calendar: 클라이언트 ID
313892590415-283b3nilr8561tedgu1n4pb9hd6g3hr.apps.googleusercontent.com을 사용합니다. - Android용 Gmail: 클라이언트 ID
313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com을 사용합니다. - iOS용 Gmail: 클라이언트 ID
313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com을 사용합니다. - Android용 Meet: 클라이언트 ID
313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com을 사용합니다. - iOS용 Meet: 클라이언트 ID
313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com을 사용합니다.
3단계: CSE에 필요한 IdP에 연결하기
Google Workspace를 ID 공급업체에 연결하려는 경우 .well-known 파일 또는 관리 콘솔을 사용할 수 있습니다. 연결을 구성한 후 관리 콘솔에서 IdP를 허용해야 합니다.
참고: 게스트 IdP를 구성하는 경우 관리 콘솔을 사용해야 합니다.
옵션 1: .well-known 파일을 사용하여 IdP에 연결하기
이 옵션을 사용하여 서드 파티 또는 Google IdP를 설정하려면 .well-known 파일을 조직의 공개 웹사이트에 저장해야 합니다. 이 파일에서는 사용할 IdP를 구성하고 외부 공동작업자가 IdP 설정을 검색하도록 허용합니다.
IdP 구성이 도메인의 다음 URI에 있어야 합니다.
https://cse.subdomain.domain.tld/.well-known/cse-configuration
여기에서 subdomain.domain.tld는 이메일 주소의 도메인과 일치해야 합니다. 예를 들어 이메일 주소의 도메인이 solarmora.com인 경우 .well-known 파일을 다음과 같은 위치에 저장합니다.
https://cse.solarmora.com/.well-known/cse-configuration
참고: .well-known URI가 IETF(RFC 8615)에 등록되어 있지 않으므로 접두어 https://cse.가 필요합니다.
well-known/cse-configuration에서 .well-known 파일의 콘텐츠는 JSON으로 인코딩(RFC 8259)되어야 하며 다음 필드가 포함되어야 합니다.
| 필드 | 설명 |
|---|---|
|
|
IdP 이름이며 원하는 이름을 사용할 수 있습니다. 이 이름은 Drive 및 Docs 편집기와 같은 Google 서비스에서 사용자의 IdP 오류 메시지에 표시됩니다. |
|
|
CSE 클라이언트 웹 애플리케이션에서 JSON 웹 토큰(JWT)을 가져오는 데 사용하는 OpenID Connect(OIDC) 클라이언트 ID입니다. 클라이언트 ID를 만들 때 Google Cloud 콘솔에서 리디렉션 URI도 추가합니다. 클라이언트 ID 만들기에 대한 자세한 내용은 이 페이지 앞부분의 웹 애플리케이션용 클라이언트 ID 만들기를 참고하세요. |
discovery_uri |
이 OpenID 사양에 정의된 OIDC 검색 URL입니다. |
|
서드 파티 IdP를 사용하는 경우 IdP에서 제공하는 이 URL은 일반적으로 |
|
|
Google ID를 사용하는 경우
|
|
grant_type |
CSE 클라이언트 웹 애플리케이션에서 OIDC에 사용되는 OAuth 흐름입니다. |
|
서드 파티 IdP를 사용하는 경우 CSE 웹 애플리케이션에 |
|
|
Google ID를 사용하는 경우 웹 애플리케이션에는 |
|
|
|
CSE를 사용할 추가 클라이언트 애플리케이션입니다. 각 앱의 클라이언트 ID를 .well-known 파일에 추가해야 합니다. 참고: 이러한 클라이언트 ID는 PKCE의 클라이언트 ID 만들기에 대한 자세한 내용은 이 페이지 앞부분의 데스크톱 및 모바일 애플리케이션용 클라이언트 ID 만들기를 참고하세요. |
서드 파티 IdP를 사용하는 경우 .well-known 파일은 다음과 같습니다.
{
"name" : "name of your IdP",
"client_id" : "ID from IdP",
"discovery_uri" : "https://your_idp.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "ID from IdP"
},
"drive-android": {
"client_id": "ID from IdP"
},
"drive-ios": {
"client_id": "ID from IdP"
},
"calendar-android": {
"client_id": "ID from IdP"
},
"calendar-ios": {
"client_id": "ID from IdP"
},
"gmail-android": {
"client_id": "ID from IdP"
},
"gmail-ios": {
"client_id": "ID from IdP"
},
"meet-android": {
"client_id": "ID from IdP"
},
"meet-ios": {
"client_id": "ID from IdP"
}
}
}
Google ID를 사용하는 경우 .well-known 파일은 다음과 같습니다.
{
"name" : "Google Identity",
"client_id" : "Google Cloud의 ID(위에서 생성)",
"discovery_uri" : "https://accounts.google.com/.well-known/openid-configuration",
"applications":{
"drivefs":{
"client_id": "947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com"
},
"drive-android":{
"client_id": "313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com"
},
"drive-ios":{
"client_id": "313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com"
},
"calendar-android":{
"client_id": "313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com"
},
"calendar-ios":{
"client_id": "313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com"
},
"gmail-android":{
"client_id": "313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com"
},
"gmail-ios":{
"client_id": "313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com"
},
"meet-android":{
"client_id": "313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com"
},
"meet-ios":{
"client_id": "313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com"
}
}
}
IdP에 Google ID를 사용하는 경우: 클라이언트 ID를 만들 때 Google Cloud 콘솔에서 CORS를 설정합니다. 자세한 내용은 이 페이지 앞부분의 웹 애플리케이션용 클라이언트 ID 만들기를 참고하세요.
서드 파티 IdP를 사용하는 경우: .well-known/openid-configuration 및 .well-known/cse-configuration은 CORS(교차 출처 리소스 공유) 호출에 대한 출처 URL을 허용해야 합니다. IdP의 관리 콘솔에서 다음과 같이 구성을 설정합니다.
.well-known/openid-configuration(검색 URI)
- 메서드: GET
- 허용된 출처:
https://admin.google.comhttps://client-side-encryption.google.com
.well-known/cse-configuration
- 메서드: GET
- 허용된 출처:
https://admin.google.comhttps://client-side-encryption.google.com
옵션 2: 관리 콘솔을 사용하여 IdP에 연결하기
관리 콘솔을 사용하여 IdP에 연결하려면 IdP에 대한 다음 정보가 필요합니다.
| IdP 이름 | 자세한 내용은 이 페이지 앞부분의 .well-known 파일 구성하기를 참고하세요. |
| 웹 애플리케이션용 클라이언트 ID | 자세한 내용은 이 페이지 앞부분의 웹 애플리케이션용 클라이언트 ID 만들기를 참고하세요. |
| 검색 URI | 자세한 내용은 이 페이지 앞부분의 .well-known 파일 구성하기를 참고하세요. |
| 데스크톱 및 모바일 앱용 클라이언트 ID(선택사항) | 자세한 내용은 이 페이지 앞부분의 데스크톱 및 모바일 애플리케이션용 클라이언트 ID 만들기를 참고하세요. |
Google ID를 사용하는 경우: 클라이언트 ID를 만들 때 Google Cloud 콘솔에서 교차 출처 리소스 공유(CORS)를 설정합니다. 자세한 내용은 이 페이지 앞부분의 웹 애플리케이션용 클라이언트 ID 만들기를 참고하세요.
서드 파티 IdP를 사용하는 경우: IdP의 관리 콘솔에서 교차 출처 리소스 공유(CORS) 호출에 출처 URL을 허용하도록 다음과 같이 검색 URI를 구성합니다.
- Method: GET
- 허용된 출처:
https://admin.google.comhttps://client-side-encryption.google.com
이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.
-
- 관리 콘솔에서 메뉴
보안
참고: ID 공급업체 구성에 Google Workspace .well-known 파일에 연결할 수 없다는 메시지가 표시되지만 관리 콘솔을 사용하여 IdP에 연결하므로 이 메시지를 무시해도 됩니다.
- ID 공급업체 구성에서 예비 IdP 구성을 클릭합니다.
또는 게스트 IdP를 구성하는 경우 게스트 IdP 구성을 클릭합니다.
- IdP에 대한 다음 정보를 입력합니다.
- 이름
- 클라이언트 ID(웹 애플리케이션용)
- 검색 URI
-
연결 테스트를 클릭합니다.
Google Workspace를 IdP에 연결할 수 있는 경우 '연결 성공'이라는 메시지가 표시됩니다.
- 게스트 IdP를 구성하는 경우 계속을 클릭한 다음 게스트 액세스를 제공할 웹 앱을 선택합니다. 그런 다음 저장을 클릭하여 카드를 닫습니다.
참고: 현재는 Google Meet만 사용할 수 있습니다.
- (선택사항) 특정 애플리케이션에서 CSE를 사용하려면 다음 안내를 따릅니다.
- Google 데스크톱 및 모바일 애플리케이션 인증(선택사항)에서 CSE를 사용할 애플리케이션을 선택합니다.
- 클라이언트 ID에 애플리케이션의 클라이언트 ID를 입력합니다.
- 공급업체 추가를 클릭하여 카드를 닫습니다.
4단계(서드 파티 IdP만 해당): 관리 콘솔의 허용 목록에 IdP 추가하기
다음 단계
IdP를 설정한 후 키 암호화 서비스를 설정할 수 있습니다.
