싱글 사인온(SSO) 설정

네트워크 마스크 없이 SSO를 사용하는 도메인의 경우 최고 관리자는 Google 사용자 이름 및 비밀번호로 로그인해야 하며 최고 관리자가 아닌 사용자는 SSO 로그인 페이지로 리디렉션됩니다.

Google Apps는 Google Apps for Work, Education 또는 ISP를 사용하는 고객에게 싱글 사인온(SSO) 서비스를 제공합니다. SSO를 사용하면 사용자는 SSO 로그인 페이지에 한번만 로그인하면 모든 Google Apps(관리 콘솔 포함)에 액세스할 수 있습니다. 사용자가 관리 콘솔에 로그인하거나 기타 Google 서비스를 사용하려고 시도하면 SSO 로그인 페이지로 리디렉션됩니다.

Google은 LDAP 또는 다른 SSO 시스템과 통합하는 데 사용할 수 있도록 SAML 기반의 SSO API를 제공합니다.LDAP(Lightweight Directory Access Protocol)는 TCP/IP를 통해 실행되는 디렉토리 서비스를 조회하고 수정하는데 사용되는 네트워크 프로토콜입니다.

SSO에서는 RSA 또는 DSA 알고리즘 방식으로 생성된 공개 키 및 인증서를 사용합니다. 서비스를 사용하려면 공개 및 비공개 키의 조합과 공개 키가 포함된 X.509 인증서를 생성해야 합니다. 공개 키 또는 인증서가 생성되면 이를 Google에 등록해야 하며, Google 관리 콘솔에서 키 또는 인증서를 간단히 업로드하여 등록할 수 있습니다.

내 Google 관리 콘솔에서 키 및 인증서를 업로드하려면 어떻게 해야 하나요?
  1. Google 관리 콘솔에 로그인합니다
  2. 보안 > 고급 설정을 클릭합니다. 어디에 있나요? 
  3. 싱글 사인온(SSO) 설정을 클릭합니다.
  4. 해당 URL을 입력하고 확인 인증서를 업로드합니다.

자세한 내용은 SSO 참조 문서를 확인하세요.

Google Apps 싱글 사인온(SSO) 서비스를 사용하기 위해 키 및 인증서를 생성하려면 어떻게 해야 하나요?

키와 인증서를 생성하는 방법은 개발 플랫폼 및 프로그래밍 언어의 환경설정에 따라 다릅니다. .NET 환경에서는 OpenSSL, Certificate Creation 도구 및 Pvk2pfx 도구를, Java 환경에서는 Keytool 및 Java Cryptography Architecture를 사용하여 공개 및 비공개 키 조합을 만들 수 있습니다. 추가 정보

확인 인증서는 어떻게 작동합니까?

인증서 파일은 공개 키가 포함된 X.509 형식의 인증서입니다. 공개 키는 DSA 또는 RSA 알고리즘을 사용할 수 있습니다. Google은 이 키를 사용하여 사용자가 보내온 SAML 응답의 발신지(즉, SSO 어설션이 해당 사용자에게서 왔는지 여부)와 무결성(즉, 전송 중에 어설션이 수정되었는지 여부)을 확인합니다.

X.509 인증서에 포함된 공개 키는 사용자가 SAML 응답에 서명할 때 사용한 비공개 키와 일치해야 합니다.

기존 인증서 없는 관리자에 대한 우수 사례는 지원하지 않지만 X509 인증서는 openssl 명령을 사용하여 생성할 수 있습니다. 추가 정보

SAML 요청에서 '발행자'(즉, 엔티티 ID) 요소는 어떻게 작동합니까?

발행자는 ID 제공업체(IdP)에 보내는 SAML 요청에 포함되며, 표준 발행자 또는 도메인 전용 발행자 중에 선택할 수 있습니다. 여러 도메인이 동일한 IdP 어그리게이터로 SSO를 사용할 경우, IdP 어그리게이터는 SAML 요청에 대한 올바른 도메인 이름을 파악하기 위해 도메인 전용 발행자를 파싱할 수 있습니다. 도메인 전용 발행자를 활성화하는 체크박스를 선택하지 않으면 Google에서 SAML 요청에 표준 발행자(google.co.kr)를 포함하여 전송합니다. 이 기능을 활성화하는 체크박스를 선택하면 Google에서 도메인의 전용 발행자(google.com/a/your_domain.com, 'your_domain.com'은 실제 도메인 이름으로 변경)를 전송합니다.

네트워크 마스크의 기본 원리는 무엇인가요?

네트워크 마스크는 CIDR(Classless Inter-Domain Routing, 클래스 없는 도메인간 라우팅) 기호를 사용하여 표현되는 IP 주소입니다.CIDR은 IP 주소에 얼마나 많은 비트가 포함되어야 하는지에 대한 규격입니다. Google은 네트워크 마스크를 사용하여 SSO 기능에 제공할 IP 또는 IP 범위를 결정합니다.

각 네트워크 마스크는 올바른 형식을 사용해야 합니다. 다음은 IPv6의 예입니다.

  • 2001:db8::/32(슬래시 및 그 뒤의 숫자가 CIDR을 나타냄)
이 예에서 마지막 96비트는 고려되지 않으며 네트워크 범위에 있는 모든 IP가 영향을 받습니다.

다음은 IPv4의 예입니다.
  • 64.233.187.0/24

이 예에서 마지막 8비트(예: 0)는 고려되지 않으며 64.233.187.0 - 64.233.187.255 범위에 있는 모든 IP가 영향을 받습니다.

네트워크 마스크가 없는 도메인의 경우 최고 관리자가 아닌 사용자에게 ID 제공업체(IdP)를 추가합니다.

SSO를 사용 설정하면 사용자 로그인에 어떠한 영향을 주나요?

관리 콘솔의 로그인 페이지는 admin.google.com이며(accounts.google.com으로 리디렉션), 개별 Google 서비스의 로그인 페이지는 <service>.google.com/a/<your_domain>.com입니다. 도메인에 SSO를 구성하는 경우, 페이지의 작동 방식은 로그인한 사용자가 최고 관리자 권한이 있는지 또는 도메인에 네트워크 마스크가 있는지에 따라 다릅니다.

네트워크 마스크가 있고 SSO가 사용 설정된 도메인

  • 최고 관리자 권한 유무와 관계없이 사용자가 accounts.google.com에 로그인하려는 경우 전체 Google 이메일 주소(사용자 이름 및 도메인 포함) 및 비밀번호를 입력하라는 메시지가 표시되고 로그인하면 관리 콘솔로 바로 이동됩니다. 네트워크 마스크와 관계없이 Google에서 SSO 서버로 리디렉션하지 않습니다.
  • 최고 관리자 권한 유무와 관계없이 네트워크 마스크 내의 사용자가 <service>.google.com/a/<your_domain>.com으로 로그인하려는 경우 SSO 서버로 리디렉션됩니다.
  • 최고 관리자 권한 유무와 관계없이 네트워크 마스크 외부의 사용자가 <service>.google.com/a/<your_domain>.com으로 로그인하려는 경우 SSO 서버로 리디렉션되지 않습니다.

네트워크 마스크가 없고 SSO를 사용하는 도메인

  • 최고 관리자가 accounts.google.com으로 로그인하려는 경우 Google 이메일 주소(사용자 이름 및 도에인 포함) 및 비밀번호를 입력하라는 메시지가 표시되고 로그인하면 바로 관리콘솔로 연결됩니다.SSO 서버로 리디렉션되지 않습니다.
  • 최고 관리자 권한이 없는 사용자가 accounts.google.com에 로그인하려는 경우 SSO 서버로 리디렉션됩니다.
  • 최고 관리자 권한이 없는 사용자(예: 위임된 관리자)가 admin.google.com에 로그인하려는 경우 Google 사용자 이름을 입력하고 로그인을 클릭하면 SSO 서버로 리디렉션됩니다.
  • 최고 관리자 권한 유무와 관계없이 사용자가 <service>.google.com/a/<your_domain>.com에 로그인하려는 경우 SSO 서버로 리디렉션됩니다.
SSO는 최고 관리자에게 어떤 영향을 주나요?

SSO는 admin.google.com을 통해 SSO를 사용하는 도메인에 로그인하려는 최고 관리자에게는 영향을 주지 않습니다.

도메인에 SSO를 사용 설정한 후에 최고 관리자가 이메일 주소를 입력하면 사용자 이름 및 비밀번호를 입력하라는 메시지가 표시되는 대신 관리 콘솔에서 지정한 로그인 페이지로 리디렉션됩니다. 이 경우에 최고 관리자는 최대 48시간까지 로그인할 수 없습니다. 48시간이 지난 후 최고 관리자는 이 설정을 우회할 수 있습니다. 이는 SSO를 사용 설정한 모든 계정에 로그인할 때 적용됩니다.

최고 관리자가 드라이브 동기화 클라이언트에 로그인할 때는 SSO 설정을 우회합니다.

최고 관리자가 네트워크 마스크와 관계없이 admin.google.com을 통해 SSO를 사용하는 도메인에 로그인하려는 경우 전체 Google 관리자 계정 이메일 주소와 연결된 Google 비밀번호(SSO 사용자 이름 및 비밀번호가 아님)를 입력하고 로그인을 클릭해야 관리 콘솔에 바로 액세스할 수 있습니다.SSO 로그인 페이지로 리디렉션되지 않습니다.이는 브라우저, 모바일 앱(예: iOS 기기 및 Gmail 앱), Android 계정 활성화 절차 등에서 로그인할 때 적용됩니다.

최고 관리자가 <service>.google.com/a/<your_domain>.com에서 기타 Google 서비스에 로그인하려는 경우에는 도메인 네트워크 마스크내에서 로그인할 때만 SSO 로그인 페이지로 리디렉션됩니다. 최고 관리자가 도메인의 네트워크 마스크 외부에 있는 경우 또는 네트워크 마스크가 없는 도메인의 경우 Google 사용자 이름과 비밀번호를 입력하라는 메시지가 표시됩니다.

iOS용 Gmail 앱, iOS용 드라이브 앱, Chrome 브라우저 동기화, Android 설정 등의 클라이언트는 Google 인증을 사용합니다. 이러한 클라이언트를 통해 로그인하려는 경우 전체 Google 이메일 주소(사용자 이름 및 도메인 포함)를 입력하라는 메시지가 표시됩니다. 로그인한 후에 애플리케이션으로 바로 이동합니다. 네트워크 마스크와 관계없이 SSO 서버로 리디렉션되지 않습니다.

Chrome 기기에 SSO를 설정하려면 어떻게 해야 하나요?

자세히 알아보려면 Chrome 기기용 SAML SSO로 이동하세요.

위에 언급되지 않은 추가 문의사항이 있습니다.

싱글 사인온(SSO) FAQ 페이지에서 자주 하는 질문에 대한 답을 찾아보거나 싱글 사인온(SSO) 관련 도움말을 참조하시기 바랍니다. 또한 SSO 솔루션과 관련 전문 서비스를 제공하는 상용 제품이나 시스템 통합업체가 많습니다. Google Apps Marketplace에서 SSO 지원을 제공하는 Google for Work 파트너 및 타사에 대한 전문 서비스를 검색해 보세요.

Google Apps를 SSO와 통합할 때 발생할 수 있는 일반적인 문제를 해결하려면 싱글 사인온(SSO) 문제해결을 참조하세요.