조직에 SSO 설정하기

Google을 서비스 제공업체로 하여 조직의 필요에 맞도록 다양한 방법으로 SSO를 설정할 수 있습니다. IdP 설정을 포함하는 SSO 프로필을 사용하면 다음과 같이 조직의 여러 사용자에게 다양한 SSO 설정을 유연하게 적용할 수 있습니다.

Google Workspace는 SAML 기반 및 OIDC 기반 SSO 프로토콜을 모두 지원합니다.

모든 사용자가 SAML을 사용하여 하나의 IdP를 통해 로그인하는 경우

1. 아래 조직의 SSO 프로필 구성하기에 설명된 단계를 따릅니다.
2. 일부 사용자가 SSO를 사용하지 않고 Google에 직접 로그인하도록 하려면 SSO 프로필에 '없음'을 할당할 수 있는 SSO를 사용해야 하는 사용자 결정하기의 단계를 따릅니다. 

사용자에 대해 여러 IdP를 사용하거나 OIDC를 사용하는 경우

IdP에서 사용되는 프로토콜(SAML 또는 OIDC)에 따라 수행 단계가 다릅니다.

• SAML
  1. 각 IdP에 대해 SSO 프로필 만들기에 설명된 단계를 따릅니다. 
  2. SSO를 사용해야 하는 사용자 결정하기
• OIDC
  1. 조직의 Azure AD 테넌트에서 OIDC의 다음 기본 요건을 설정했는지 확인합니다.
     • Azure AD 테넌트에 도메인을 인증해야 합니다.
     • 최종 사용자는 Microsoft 365 라이선스가 있어야 합니다.
  2. 선택한 OU/그룹에 사전 구성된 OIDC 프로필을 할당하려면 SSO를 사용해야 하는 사용자 결정하기 단계를 따르세요.

     참고: 현재 Google Cloud 명령줄 인터페이스는 OIDC를 통한 재인증을 지원하지 않습니다.

• 조직 단위(예: 하위 OU)에 SSO가 필요하지 않은 사용자가 있다면 할당을 사용하여 해당 사용자에 대해 SSO를 사용 중지할 수도 있습니다.

사용자가 도메인별 서비스 URL을 사용하여 Google 서비스(예: https://mail.google.com/a/example.com)에 액세스하는 경우 관리자는 이러한 URL이 SSO와 작동되는 방식을 관리할 수도 있습니다.

시작하기 전에

SAML SSO 프로필을 설정하려면 다음과 같이 IdP 지원팀 또는 문서의 몇 가지 기본 구성이 필요합니다.

• 로그인 페이지 URL: SSO URL 또는 SAML 2.0 엔드포인트(HTTP)라고도 하며, 여기에서 사용자가 IdP에 로그인합니다.
• 로그아웃 페이지 URL: 사용자가 Google 앱 또는 서비스를 종료한 후 이동되는 페이지입니다.
• 인증서 : IdP의 X.509 PEM 인증서입니다. X.509 인증서에 대한 자세한 내용은 SAML 키 및 확인 인증서를 참고하세요.
• 비밀번호 변경 URL: SSO 사용자가 Google에서 비밀번호를 변경하지 않고 이 페이지로 이동하여 비밀번호를 변경하게 됩니다.

조직의 SSO 프로필 구성하기

SSO를 사용하는 모든 사용자가 하나의 IdP를 사용하는 경우 이 옵션을 사용합니다. 

1. Google 관리 콘솔에 로그인하세요.

   @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.

2. 관리 콘솔에서 메뉴 보안 인증 서드 파티 IdP를 통한 SSO로 이동합니다.
3. 조직의 타사 SSO 프로필에서 SSO 프로필 추가를 클릭합니다.
4. 타사 ID 공급업체를 통해 SSO 설정 체크박스를 선택합니다.

다음과 같이 IdP 정보를 입력하세요.

• IdP의 로그인 페이지 URL 및 로그아웃 페이지 URL을 입력합니다.

  참고: 모든 URL은 반드시 입력해야 하고 반드시 HTTPS를 사용해야 합니다(예: https://sso.example.com).

• 인증서 업로드를 클릭하고 IdP에서 제공하는 X.509 인증서를 찾아 업로드합니다. 인증서 생성에 관한 자세한 내용은 SAML 키 및 확인 인증서를 참고하세요.
• Google의 SAML 요청에 도메인별 발급기관을 사용할지 선택합니다.

  IdP를 통해 SSO를 사용하는 도메인이 여러 개 있는 경우, 도메인별 발급기관을 사용하여 SAML 요청을 발행하는 올바른 도메인을 식별합니다.

  • 선택됨: Google은 도메인별 발급기관(google.com/a/example.com, 여기에서 example.com은 기본 Google Workspace 도메인 이름)을 전송합니다.
  • 선택 해제됨  Google은 SAML 요청에 표준 발급기관(google.com)을 전송합니다.
• (선택사항) 특정 IP 주소 범위 내의 사용자에게 SSO를 적용하려면 네트워크 마스크를 입력합니다. 자세한 내용은 네트워크 매핑 결과를 참고하세요.

  참고: 특정 조직 단위 또는 그룹에 SSO 프로필을 할당하여 부분 SSO를 설정할 수도 있습니다.

• IdP의 비밀번호 변경 URL을 입력합니다. 사용자는 Google 비밀번호 변경 페이지가 아닌 이 URL로 이동하여 비밀번호를 재설정하게 됩니다.

  참고: 여기에 URL을 입력하면 조직에서 SSO를 사용 설정하지 않은 경우에도 사용자에게 이 페이지가 표시됩니다.

모든 사용자에 대해 SSO 사용 중지하기

OU 또는 그룹의 SSO 프로필 할당을 변경하지 않고 모든 사용자에 대해 타사 인증을 사용 중지해야 하는 경우 타사 SSO 프로필을 사용 중지할 수 있습니다.

1. 타사 ID 공급업체를 통해 SSO 설정을 선택 해제합니다.
2. 저장을 클릭합니다.

SAML SSO 프로필 만들기

서드 파티 SSO 프로필을 만들려면 다음 단계를 따르세요. 조직에 최대 1,000개의 프로필을 만들 수 있습니다.

1. Google 관리 콘솔에 로그인하세요.

   @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.

2. 관리 콘솔에서 메뉴 보안 인증 서드 파티 IdP를 통한 SSO로 이동합니다.
3. 서드 파티 SSO 프로필에서 SAML 프로필 추가를 클릭합니다.
4. 프로필 이름을 입력합니다.
5. 로그인 페이지 URL 및 IdP에서 제공하는 기타 정보를 입력합니다.
6. IdP의 비밀번호 변경 URL을 입력합니다. 사용자는 Google 비밀번호 변경 페이지가 아닌 이 URL로 이동하여 비밀번호를 재설정하게 됩니다.
7. 인증서 업로드를 클릭한 다음 인증서 파일을 찾아 업로드합니다. 인증서 생성에 관한 자세한 내용은 SAML 키 및 확인 인증서를 참고하세요.
8. 저장을 클릭합니다.
9. SP 세부정보 섹션에서 엔티티 ID 및 ACS URL을 복사하여 저장합니다. IdP 관리자 제어판에서 Google을 통한 SSO를 구성하려면 이 값이 필요합니다.
10. (선택사항) IdP가 암호화 어설션을 지원하는 경우 인증서를 생성하고 IdP와 공유하여 암호화를 사용 설정할 수 있습니다. 각 SAML SSO 프로필에는 최대 2개의 SP 인증서를 포함할 수 있습니다.
    1. SP 세부정보 섹션을 클릭하여 수정 모드로 전환합니다.
    2. SP 인증서에서 인증서 생성을 클릭합니다. 인증서를 저장하면 표시됩니다.
    3. 저장을 클릭합니다. 인증서 이름, 만료일, 콘텐츠가 표시됩니다.
    4. 인증서 위에 있는 버튼을 사용하여 인증서 콘텐츠를 복사하거나 파일로 다운로드한 다음 인증서를 IdP와 공유합니다. 
    5. (선택사항) 인증서를 교체해야 하는 경우 SP 세부정보로 돌아가 다른 인증서 생성을 클릭한 다음 새 인증서를 IdP와 공유합니다. IdP에서 새 인증서를 사용하고 있음을 확인한 후에는 원본 인증서를 삭제할 수 있습니다.

SSO를 사용해야 하는 사용자 결정하기

SSO 프로필 및 연결된 IdP를 할당하여 OU 또는 그룹에 SSO를 사용 설정합니다. 또는 SSO 프로필에 '없음'을 할당하여 SSO를 사용 중지합니다. OU 또는 그룹 내에 혼합 SSO 정책을 적용할 수도 있습니다. 예를 들어 OU 전체에는 SSO를 사용 설정하고 하위 OU에는 사용 중지할 수 있습니다. 

1. SSO 프로필 할당 관리를 클릭합니다.
2. SSO 프로필을 처음 할당하는 경우 '시작하기'를 클릭합니다. 그렇지 않으면 관리를 클릭합니다.
3. 왼쪽에서 SSO 프로필을 할당할 조직 단위 또는 그룹을 선택합니다.
   • OU 또는 그룹의 SSO 프로필 할당이 도메인 전체 프로필 할당과 다른 경우 해당 OU 또는 그룹을 선택하면 재정의 경고가 표시됩니다.
   • 사용자별로 SSO 프로필을 할당할 수는 없지만 '사용자 뷰'에서 특정 사용자의 설정을 확인할 수 있습니다.
4. 선택한 OU 또는 그룹의 SSO 프로필 할당을 선택합니다.
   • OU 또는 그룹을 SSO에서 제외하려면 없음을 선택합니다. 해당 조직 단위 또는 그룹의 사용자는 Google로 직접 로그인하게 됩니다.
   • OU 또는 그룹에 다른 IdP를 할당하려면 다른 SSO 프로필을 선택한 다음 드롭다운 목록에서 SSO 프로필을 선택합니다.
5. (SAML SSO 프로필만 해당) SAML 프로필을 선택한 후 SSO 프로필의 서드 파티 IdP에 먼저 로그인하지 않고 Google 서비스로 바로 이동하는 사용자를 위한 로그인 옵션을 선택합니다. 사용자에게 Google 사용자 이름을 입력하라는 메시지를 표시한 다음 IdP로 리디렉션하거나 사용자에게 Google 사용자 이름과 비밀번호를 입력하도록 요구할 수 있습니다. 

   참고: 사용자가 Google 사용자 이름 및 비밀번호를 입력하도록 선택하면 이 SAML SSO 프로필의 비밀번호 URL 변경 설정(SSO 프로필 > IDP 세부정보에서 확인 가능)은 무시됩니다. 이렇게 하면 사용자가 필요에 따라 Google 비밀번호를 변경할 수 있습니다.

6. (Microsoft OIDC SSO 프로필만 해당) Microsoft 계정 비밀번호를 입력하고 로그인을 클릭하여 Microsoft SSO 구성을 확인합니다.

   Azure AD 조직 관리자는 조직을 대신하여 동의를 수락할 수 있습니다. 즉, 최종 사용자에게 OAuth 동의를 제공하라는 메시지가 표시되지 않습니다.

7. 저장을 클릭합니다.
8. 필요에 따라 SSO 프로필을 다른 OU 또는 그룹에 할당합니다.

SSO 프로필 할당 관리 카드를 닫으면 SSO 프로필 할당 관리 섹션에 OU 및 그룹에 대한 업데이트된 할당이 표시됩니다. 

SSO 프로필 할당 목록에서 할당 삭제하기

1. 그룹 또는 조직 단위 이름을 클릭하여 프로필 할당 설정을 엽니다.
2. 기존 할당 설정을 상위 조직 단위 설정으로 바꿉니다.
   • 조직 단위 할당의 경우 상속을 클릭합니다.
   • 그룹 할당의 경우 설정 취소를 클릭합니다.  
   • 루트 OU 할당의 경우 조직에 서드 파티 SSO 프로필을 사용하려면 할당을 없음(또는 조직의 서드 파티 SSO 프로필)으로 설정합니다.

도메인별 서비스 URL 관리하기

도메인별 서비스 URL 설정을 사용하면 사용자가 https://mail.google.com/a/example.com과 같은 서비스 URL을 사용하여 로그인할 때 발생하는 결과를 제어할 수 있습니다. 다음의 2가지 옵션이 있습니다.

• 사용자를 서드 파티 IdP로 리디렉션합니다. 이 사용자를 SSO 프로필 드롭다운 목록에서 선택한 타사 IdP로 항상 라우팅하려면 이 옵션을 선택합니다. 이는 조직의 SSO 프로필 또는 다른 타사 프로필(추가한 경우)일 수 있습니다.

  중요: SSO를 사용하지 않는 조직 단위 또는 그룹이 있는 경우 이 설정을 선택하지 마세요. SSO를 사용하지 않는 사용자는 자동으로 IdP로 라우팅되고 로그인할 수 없게 됩니다.

• 사용자에게 Google 로그인 페이지에 사용자 이름을 입력하도록 요청합니다. 이 옵션을 사용하면 도메인별 URL을 입력한 사용자가 Google 로그인 페이지로 먼저 이동됩니다. SSO 사용자인 경우 IdP 로그인 페이지로 리디렉션됩니다.

추가 정보

SSO로 로그인하기

SSO 문제 해결하기