도메인 전체 위임으로 API 액세스 제어하기

도메인 전체 위임은 클라이언트 애플리케이션에 사용자의 동의 없이도 Workspace 사용자 데이터에 대한 액세스 권한을 부여할 수 있는 강력한 기능입니다. 다음 두 가지 방법으로 도메인 전체 위임을 사용할 수 있습니다.

  1. 사용자 대신 데이터에 액세스할 수 있도록 서비스 계정을 승인합니다. 서비스 계정에서는 다음과 같은 유형의 앱을 사용할 수 있습니다.
    • 다른 서비스의 사용자 콘텐츠를 Google Workspace로 복제하는 이전 및 동기화 도구

    • 개발자가 조직용으로 만드는 내부 앱(예: 자동화 앱). 예를 들어 Calendar API를 사용하는 애플리케이션에 액세스 권한을 위임하여 사용자의 캘린더에 일정을 추가하도록 할 수 있습니다.

  2. 사용자가 동의 화면을 보지 않고 OAuth 클라이언트 앱을 사용하도록 허용합니다. 사용자가 앱에 액세스할 때 사용자에게 동의를 요청하는 메시지가 표시되지 않으며, 관리자는 앱에서 어떤 사용자 데이터를 액세스할 수 있는지 지정할 수 있습니다.

관리자는 Google Workspace Marketplace 앱의 도메인 전체 설치를 관리하고 관련 API 범위를 볼 수도 있습니다. Marketplace 앱 데이터 액세스설치에 관해 알아보세요.

모두 열기   |   모두 닫기

시작하기 전에
  • Google Workspace 계정에 대한 최고 관리자 권한이 있는지 확인합니다.
  • 도메인 전체 위임 권장사항 및 서비스 계정 사용 권장사항을 검토합니다.
  • 앱 또는 서비스 계정에 필요한 API 범위 목록을 확인합니다. 앱 또는 서비스 계정의 액세스 범위가 적절하게 제한되어 있는지 확인합니다.
  • (OAuth 앱을 위임하는 경우) 앱 개발자로부터 OAuth 클라이언트 ID를 가져옵니다.
  • (서비스 계정을 위임하는 경우) 서비스 계정의 클라이언트 ID를 가져옵니다. 서비스 계정 소유자인 경우 다음과 같이 ID를 찾을 수 있습니다.
      best practices for using service accounts
    1. 최고 관리자로 Google Cloud에 로그인합니다.
    2. IAM 및 관리자다음서비스 계정다음[서비스 계정 이름]을 클릭합니다.
    3. 고급 설정을 펼치고 클라이언트 ID를 복사합니다.
  • 도메인 전체 위임을 사용하면 앱에서 모든 사용자의 데이터에 액세스할 수 있습니다. 따라서 서비스 계정을 정기적으로 검토하도록 설정하고 더 이상 사용하지 않는 계정은 삭제하는 것이 좋습니다.
클라이언트에 도메인 전체 위임 설정하기
  1. Google 관리 콘솔로그인하세요.

    @gmail.com으로 끝나지 않는 최고 관리자 권한이 있는 계정을 사용하여 로그인하세요.

  2. 관리 콘솔에서 메뉴 그런 다음 보안그런 다음액세스 및 데이터 관리그런 다음API 관리그런 다음도메인 전체 위임 관리로 이동합니다.
    이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.
  3. 새로 추가를 클릭합니다.
  4. 서비스 계정 또는 OAuth2 클라이언트의 클라이언트 ID를 입력합니다. 

  5. OAuth 범위 내 애플리케이션에서 액세스할 수 있는 각 범위를 추가합니다. 이 범위는 적절히 제한되어야 합니다. Google API의 OAuth 2.0 범위를 모두 사용할 수 있습니다. 예를 들어 애플리케이션에서 Google Drive API 및 Google Calendar API에 대한 도메인 전체 액세스 권한이 필요하면 https://www.googleapis.com/auth/drivehttps://www.googleapis.com/auth/calendar를 입력합니다.
  6. 승인을 클릭합니다. 오류가 표시된다면 클라이언트 ID가 Google에 등록되지 않았거나 중복되는 범위 또는 지원되지 않는 범위가 있을 수 있습니다.

    참고: 조직에 복수 사용자 승인 체계가 사용 설정된 경우 클라이언트 앱에 대한 도메인 전체 위임을 승인하려면 다른 최고 관리자의 승인이 필요합니다.

  7. '새 클라이언트 ID'를 선택한 후 세부정보 보기를 클릭합니다. 모든 범위가 목록에 나오는지 확인합니다.

    목록에 없는 범위가 있다면 수정을 클릭하고 누락된 범위를 입력한 후 승인을 클릭합니다. 클라이언트 ID는 수정할 수 없습니다.

변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빠르게 적용됩니다. 자세히 알아보기

클라이언트 및 범위 보기, 수정, 삭제하기

앱의 범위를 주기적으로 확인하고 필요하지 않거나 자주 사용되지 않는 범위는 삭제하는 것이 가장 좋습니다. 더 이상 필요하지 않은 클라이언트도 삭제하세요. 예를 들어 이전을 완료한 후 이전 도구의 액세스 권한을 삭제합니다.

  1. Google 관리 콘솔로그인하세요.

    @gmail.com으로 끝나지 않는 최고 관리자 권한이 있는 계정을 사용하여 로그인하세요.

  2. 관리 콘솔에서 메뉴 그런 다음 보안그런 다음액세스 및 데이터 관리그런 다음API 관리그런 다음도메인 전체 위임 관리로 이동합니다.
    이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.
  3. 클라이언트 이름을 클릭하고 다음 옵션 중 하나를 선택합니다.
  • 세부정보 보기: 전체 클라이언트 이름 및 범위 목록을 봅니다.
  • 수정: 범위를 추가하거나 삭제합니다. 클라이언트 ID는 수정할 수 없습니다. 변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빠르게 적용됩니다. 자세히 알아보기
  • 삭제: 클라이언트 승인에 종속되는 애플리케이션은 즉시 작동이 중지됩니다.

    참고: 조직에 복수 사용자 승인 체계가 사용 설정된 경우 클라이언트 앱의 범위 수정 또는 도메인 전체 위임 삭제는 다른 최고 관리자의 승인이 필요합니다.

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?
검색
검색어 지우기
검색 닫기
기본 메뉴
854752647666950588
true
도움말 센터 검색
true
true
true
true
true
73010
false
false