기존 SSO에서 SSO 프로필로 이전하기

Google Workspace는 Google을 ID 공급업체의 신뢰 당사자로 지정하여 싱글 사인온(SSO)을 설정하는 두 가지 방법을 제공합니다.

  • 기존 SSO 프로필: 조직에 하나의 IdP만 구성할 수 있습니다.
  • SSO 프로필: SSO를 설정하는 최신 권장 방법입니다. 조직의 여러 사용자에게 다른 SSO 설정을 적용할 수 있으며, SAML과 OIDC를 모두 지원하고, 더 최신 API를 제공하며,향후 Google이 제공하는 새로운 기능의 중심이 될 예정입니다.

이러한 이점을 활용하려면 모든 고객이 SSO 프로필로 이전하는 것이 좋습니다. SSO 프로필은 조직의 SSO 프로필과 함께 사용할 수 있으므로 전체 조직을 전환하기 전에 새 SSO 프로필을 테스트할 수 있습니다.

이전 프로세스 개요

  1. 관리 콘솔에서 IdP의 SSO 프로필을 만들고 새 프로필을 IdP에 등록합니다.
  2. 새 프로필을 사용할 테스트 사용자를 할당하여 작동하는지 확인합니다.
  3. 최상위 조직 단위를 새 프로필에 할당합니다.
  4. 새 프로필을 사용하도록 도메인별 URL을 업데이트합니다.
  5. 정리: 이전 서비스 제공업체를 등록 취소하고 자동 사용자 프로비저닝이 계속 작동하는지 확인합니다.

1단계: SSO 프로필 만들기

  1. 이 단계에 따라 새 SAML SSO 프로필을 만듭니다. 새 프로필은 조직의 기존 SSO 프로필과 동일한 IdP를 사용해야 합니다.
  2. IdP에 새 SSO 프로필을 새 서비스 제공업체로 등록합니다.

    IdP는 새 프로필을 별도의 서비스 제공업체('앱' 또는 '신뢰 당사자'라고도 함)로 인식합니다. 새 서비스 제공업체를 등록하는 방법은 IdP에 따라 다르지만 일반적으로 새 프로필의 엔티티 ID 및 어설션 소비자 서비스(ACS) URL을 구성해야 합니다.

API 사용자를 위한 참고사항
  • 조직에 SSO 프로필을 사용하는 경우 Google Workspace Admin Settings API만 사용하여 SSO 설정을 관리할 수 있습니다.
  • Cloud Identity API는 SSO 프로필을 inboundSamlSsoProfiles로 관리하고 inboundSsoAssignments를 사용하여 그룹 또는 조직 단위에 SSO 프로필을 할당할 수 있습니다.
SSO 프로필과 기존 SSO 프로필의 차이점

최고 관리자 어설션

SSO 프로필은 최고 관리자에 관한 어설션을 허용하지 않습니다. 조직에 SSO 프로필을 사용하는 경우 어설션은 허용되지만 최고 관리자는 IdP로 리디렉션되지 않습니다. 예를 들어 다음 어설션은 허용됩니다.

  • 사용자가 IdP에서 앱 런처 링크(IdP에서 시작된 SAML)로 이동합니다.
  • 사용자가 도메인별 서비스 URL(예: https://drive.google.com/a/your_domain.com)로 이동합니다.
  • 사용자가 IdP로 직접 이동하도록 구성된 Chromebook에 로그인합니다. 자세히 알아보기 

사후 SSO 인증 설정

SSO 프로필의 경우 사후 SSO 인증을 제어하는 설정(예: 본인 확인 요청 또는 2단계 인증)이 조직의 SSO 프로필과 다릅니다. 혼동을 피하려면 두 설정을 모두 동일한 값으로 설정하는 것이 좋습니다. 자세히 알아보기

2단계: 프로필에 테스트 사용자 할당하기

모든 사용자를 전환하기 전에 먼저 하나의 그룹 또는 조직 단위의 사용자를 대상으로 새 SSO 프로필을 테스트하는 것이 좋습니다. 기존 그룹 또는 조직 단위를 사용하거나 필요에 따라 새 그룹 또는 조직 단위를 만듭니다.

관리 ChromeOS 기기가 있는 경우 ChromeOS 기기를 그룹이 아닌 조직 단위에 할당할 수 있으므로 조직 단위 기반 테스트를 사용하는 것이 좋습니다.

  1. (선택사항) 새 조직 단위 또는 구성 적용 그룹을 만들고 테스트 사용자를 새 조직 단위 또는 그룹에 할당합니다.
  2. 이 단계에 따라 사용자를 새 SSO 프로필에 할당합니다.
관리 ChromeOS 기기가 있는 조직을 위한 참고사항

사용자가 IdP로 직접 이동하도록 ChromeOS 기기에 SSO를 구성한 경우 이러한 사용자를 위해 SSO 동작을 별도로 테스트하는 것이 좋습니다.

로그인하려면 기기의 조직 단위에 할당된 SSO 프로필이 기기 사용자의 조직 단위에 할당된 SSO 프로필과 일치해야 합니다. 

예를 들어 현재 관리 Chromebook을 사용하고 IdP에 직접 로그인하는 직원을 위한 영업 조직 단위가 있는 경우, 'sales_sso_testing'과 같은 조직 단위를 만들고 새 프로필을 사용하도록 할당한 다음 일부 사용자와 해당 사용자가 사용하는 Chromebook을 해당 조직 단위로 이동합니다.

3단계: 최상위 조직 단위 할당하기 및 서비스 URL 업데이트하기

테스트 그룹 또는 조직 단위에서 새 SSO 프로필을 테스트한 후에는 다른 사용자를 전환할 수 있습니다.

  1. 보안다음서드 파티 IDP를 통한 SSO다음SSO 프로필 할당 관리로 이동합니다.
  2. 관리를 클릭합니다.
  3. 최상위 조직 단위를 선택하고 새 SSO 프로필에 할당합니다.
  4. (선택사항) 조직의 SSO 프로필에 다른 조직 단위 또는 그룹이 할당된 경우 새 SSO 프로필에 할당합니다.

4단계: 도메인별 URL 업데이트하기

조직에서 도메인별 URL(예: https://mail.google.com/a/your_domain.com)을 사용하는 경우 새 SSO 프로필을 사용하도록 설정을 업데이트합니다.

  1. 보안다음서드 파티 IDP를 통한 SSO다음도메인별 서비스 URL로 이동합니다.
  2. '다음 SSO 프로필의 서드 파티 IdP로 사용자를 자동으로 리디렉션'의 드롭다운 목록에서 새 SSO 프로필을 선택합니다.

5단계: 정리하기

  1. 보안다음서드 파티 IDP를 통한 SSO다음SSO 프로필에서 기존 SSO 프로필을 클릭하여 프로필 설정을 엽니다.
  2. 기존 SSO 프로필 사용 설정을 선택 해제하여 기존 프로필을 사용 중지합니다.
  3. IdP에 설정된 자동 사용자 프로비저닝이 새 SSO 프로필에서 올바르게 작동하는지 확인합니다.
  4. IdP에서 기존 서비스 제공업체의 등록을 취소합니다.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?

도움이 더 필요하신가요?

다음 단계를 시도해 보세요.

도움말 커뮤니티에 게시하기 커뮤니티 회원의 답변 받기
문의하기 자세히 알려주시면 도움을 드리겠습니다.
true
지금 14일 무료 평가판 사용

업무용 이메일, 온라인 저장용량, 공유 캘린더, 화상 회의 등 다양한 기능을 제공합니다. 지금 무료로 G Suite 평가판을 사용해 보세요.

검색
검색어 지우기
검색 닫기
Google 앱
기본 메뉴
12679855608217880814
true
도움말 센터 검색
true
true
true
true
true
73010
false
false
false
false