Google Apps 계정에 싱글 사인온(SSO) 설정

네트워크 마스크 없이 싱글 사인온(SSO)을 사용하는 도메인의 경우 최고 관리자는 Google Apps 사용자 이름 및 비밀번호로 로그인해야 하며 최고 관리자가 아닌 사용자는 SSO 로그인 페이지로 리디렉션됩니다.

SSO는 Google Apps for Work Education 및 Government 버전에서 사용할 수 있습니다. SSO가 사용 설정된 경우 사용자는 한 번의 로그인으로 모든 Google Apps 서비스(관리자의 관리 콘솔 로그인 포함)에 액세스할 수 있습니다. SSO가 설정된 경우 사용자가 관리 콘솔에 로그인하거나 다른 Google 서비스를 사용하려고 시도하면 SSO 로그인 페이지로 리디렉션됩니다.

Google은 LDAP(Lightweight Directory Access Protocol) 또는 다른 SSO 시스템과 통합하는 데 사용할 수 있도록 SAML(Security Assertion Markup Language) 기반의 SSO API를 제공합니다. LDAP는 TCP/IP를 통해 실행되는 디렉토리 서비스를 조회하고 수정하는 데 사용하는 네트워크 프로토콜입니다.

SSO를 사용하려면 공개 및 비공개 키의 조합과 공개 키가 포함된 X.509 인증서를 생성해야 합니다. 공개 키 및 인증서는 RSA 또는 DSA 알고리즘 방식으로 생성하여 Google에 등록해야 합니다. Google 관리 콘솔에서 키 및 인증서를 업로드하여 등록할 수 있습니다.

SSO를 설정하고 키 및 확인 인증서를 업로드하려면 다음 단계를 따르세요.
  1. Google 관리 콘솔에 로그인합니다
  2. 보안 > 고급 설정을 클릭합니다. 어디에 있나요? 
  3. 타사 ID 제공업체에 SSO 설정 체크박스를 선택합니다.
  4. 해당 URL을 입력하여 타사 ID 제공업체(IdP)를 설정합니다.
  5. 확인 인증서를 업로드합니다.

    인증서 파일에는 Google에서 로그인 요청을 확인할 수 있도록 공개 키가 포함되어 있어야 합니다.

  6. 필요한 경우 도메인별 발행자 사용 체크박스를 선택하여 도메인별 발행자를 사용 설정합니다. 이 기능을 사용 설정하면 Google에서 도메인 전용 발행자(google.com/a/your_domain.com, your_domain.com은 실제 도메인 이름으로 대체됨)를 전송합니다.

    SSO를 설정할 때 도메인 발행자 사용 체크박스를 선택하지 않은 경우 Google은 SAML 요청에 표준 발행자(google.com)를 포함하여 전송합니다.

  7. 변경사항 저장을 클릭합니다.

모든 URL은 HTTPS를 사용해야 합니다(예: https://sso.domain.com).

자세한 내용은 Google Apps 용 SAML SSO 서비스를 참조하세요.

Google Apps SSO 서비스를 사용하기 위해 키 및 인증서를 생성하려면 어떻게 해야 하나요?

키와 인증서를 생성하는 방법은 개발 플랫폼 및 프로그래밍 언어의 환경설정에 따라 다릅니다. .NET 환경에서는 OpenSSL, Certificate Creation 도구, Pvk2pfx 도구를, Java 환경에서는 Keytool을 그리고 Java Cryptography Architecture를 사용하여 공개 및 비공개 조합 키를 생성할 수 있습니다. 자세한 내용은 Google Apps SSO용 키 및 인증서 생성을 참조하세요.

확인 인증서는 어떻게 작동합니까?

인증서 파일은 공개 키가 포함된 X.509 형식의 인증서여야 합니다. 공개 키는 DSA 또는 RSA 알고리즘으로 생성되어야 하고 Google은 이 키를 사용하여 사용자가 보내는 SAML 응답(SSO 어설션이 해당 사용자에게서 왔는지 여부)을 확인합니다. 또한 SSO 어설션이 전송중에 수정되지는 않았는지 확인합니다.

X.509 인증서에 포함된 공개 키는 사용자가 SAML 응답에 서명할 때 사용한 비공개 키와 일치해야 합니다.

기존 인증서가 없는 관리자에 대한 우수 사례는 현재 지원하지 않지만 X509 인증서는 openssl 명령어를 사용하여 생성할 수 있습니다. 자세한 내용은 Google Apps SSO용 키 및 인증서 생성을 참조하세요.

발행자(즉, SAML 요청의 엔티티 ID 요소)는 어떻게 작동합니까?

발행자는 ID 제공업체(IdP)에 보내는 SAML 요청에 포함되며 표준 발행자 또는 도메인 전용 발행자 중에 선택할 수 있습니다. 여러 도메인이 동일한 IdP 애그리게이터로 SSO를 사용할 경우, IdP 애그리게이터는 SAML 요청에 대한 올바른 도메인 이름을 파악하기 위해 도메인 전용 발행자를 파싱할 수 있습니다. 도메인 전용 발행자를 사용 설정하는 체크박스를 선택하지 않으면 Google에서 SAML 요청에 표준 발행자(google.co.kr)를 포함하여 전송합니다. 이 기능을 사용 설정하는 체크박스를 선택하면 Google에서 도메인의 전용 발행자(google.com/a/your_domain.com, your_domain.com은 실제 도메인 이름으로 대체됨)를 전송합니다.

네트워크 마스크는 어떻게 작동합니까?

네트워크 마스크는 CIDR(Classless Inter-Domain Routing, 클래스 없는 도메인간 라우팅) 기호를 사용하여 표현되는 IP 주소입니다. CIDR은 IP 주소에 얼마나 많은 비트가 포함되어야 하는지 지정합니다. Google은 네트워크 마스크를 사용하여 SSO 서비스에 제공할 IP 또는 IP 범위를 결정합니다. 네트워크 마스크가 없는 도메인의 경우 최고 관리자가 아닌 사용자를 ID 제공업체(IdP)에 추가해야 합니다.

각 네트워크 마스크를 올바른 형식으로 사용해야 합니다. 다음 IPv6의 예에서 슬래시 및 그 뒤의 숫자가 CIDR을 나타냅니다. 이 예에서 마지막 96비트는 고려되지 않으며 네트워크 범위에 있는 모든 IP가 영향을 받습니다.

  • 2001:db8::/32

IPv4의 예에서 마지막 8비트(예: 0)는 고려되지 않으며 64.233.187.0~64.233.187.255 범위에 있는 모든 IP가 영향을 받습니다.

  • 64.233.187.0/24

참고:

네크워크 마스크가 사용 설정되면 모든 사용자 및 최고 관리자는 Google 로그인 페이지(account.google.com)에서 자신의 SSO 로그인 페이지로 리디렉션되지 않습니다.

SSO를 사용 설정하면 사용자 로그인에 어떠한 영향을 주나요?

관리 콘솔의 로그인 페이지는 admin.google.com이며(accounts.google.com으로 리디렉션됨), 개별 Google 서비스의 로그인 페이지는 service.google.com/a/your_domain>.com입니다. 도메인에 SSO를 구성하는 경우, 페이지의 작동 방식은 로그인한 사용자가 최고 관리자 권한이 있는지 또는 도메인에 네트워크 마스크가 있는지에 따라 다릅니다.

네트워크 마스크가 없고 SSO를 사용하는 도메인

  • 최고 관리자가 accounts.google.com으로 로그인하려는 경우 Google Apps 이메일 주소(사용자 이름 및 도메인 포함) 및 비밀번호를 입력하라는 메시지가 표시되고 로그인하면 관리 콘솔로 리디렉션됩니다. SSO 서버로 리디렉션되지는 않습니다.
  • 최고 관리자 권한이 없는 사용자가 accounts.google.com에 로그인하려는 경우 SSO 로그인 페이지로 리디렉션됩니다.
  • 최고 관리자 권한이 없는 사용자(예: 위임된 관리자)가 admin.google.com에 로그인하려는 경우 Google Apps 계정 세부정보에 로그인하면 SSO 서버로 리디렉션됩니다.
  • 최고 관리자 권한 유무와 관계없이 사용자가 service.google.com/a/your_domain.com에 로그인하려는 경우 SSO 로그인 페이지로 리디렉션됩니다.

네트워크 마스크가 있고 SSO가 사용 설정된 도메인

  • 최고 관리자 권한 유무와 관계없이 사용자가 accounts.google.com에 로그인하려는 경우 전체 Google 이메일 주소(사용자 이름 및 도메인 포함) 및 비밀번호를 입력하라는 메시지가 표시되고 로그인하면 관리 콘솔로 바로 이동됩니다. 네트워크 마스크와 관계없이 Google에서 SSO 서버로 리디렉션하지 않습니다.
  • 최고 관리자 권한 유무와 관계없이 네트워크 마스크 내의 사용자가 service.google.com/a/your_domain.com에 로그인하려는 경우 SSO 로그인 페이지로 리디렉션됩니다.
  • 최고 관리자 권한 유무와 관계없이 네트워크 마스크 외부의 사용자가 service.google.com/a/your_domain.com에 로그인하려는 경우 SSO 로그인 페이지로 리디렉션되지 않습니다.
비밀번호 변경 URL은 비밀번호 변경에 어떤 영향을 주나요?

비밀번호 URL 변경 옵션에서 URL을 지정하는 경우 https://myaccount.google.com에서 비밀번호를 변경하려는 모든 사용자는 지정된 URL로 이동됩니다. SSO를 사용 설정하지 않았고 네트워크 마스크가 적용되지 않는 경우에도 이 설정은 적용됩니다.

SSO는 최고 관리자에게 어떤 영향을 주나요?
  • SSO는 admin.google.com을 통해 SSO를 사용 설정한 도메인에 로그인하려는 최고 관리자에게는 영향을 주지 않습니다.
    도메인에 SSO를 사용 설정한 후에 최고 관리자가 이메일 주소를 입력하면 사용자 이름 및 비밀번호를 입력하라는 메시지가 표시되지 않고 관리 콘솔에서 지정한 로그인 페이지로 리디렉션됩니다.
  • 최고 관리자가 Google 드라이브 동기화 클라이언트에 로그인할 때는 SSO 설정을 우회합니다.
  • 최고 관리자가 네트워크 마스크와 관계없이 admin.google.com을 통해 SSO를 사용하는 도메인에 로그인하려는 경우 전체 Google 관리자 계정 이메일 주소와 연결된 Google 비밀번호(SSO 사용자 이름 및 비밀번호가 아님)를 입력하고 로그인을 클릭해야 관리 콘솔에 바로 액세스할 수 있습니다. SSO 로그인 페이지로 리디렉션되지 않습니다. 이는 브라우저, 모바일 앱(예: iOS 기기 및 Gmail 앱), Android 계정 활성화 절차 등에서 로그인할 때 적용됩니다.
  • 최고 관리자가 <service>.google.com/a/your_domain>.com에서 다른 Google 서비스에 로그인하려는 경우에는 도메인 네트워크 마스크내에서 로그인할 때만 SSO 로그인 페이지로 리디렉션됩니다. 최고 관리자가 도메인의 네트워크 마스크 외부인 경우 또는 네트워크 마스크가 없는 도메인의 경우 Google 사용자 이름과 비밀번호를 입력하라는 메시지가 표시됩니다.
  • iOS용 Gmail, iOS용 드라이브, Chrome 브라우저 동기화, Android 설정 등의 클라이언트는 Google 인증을 사용합니다. 이러한 클라이언트로 로그인하려는 경우 전체 Google Apps 계정 이메일 주소(사용자 이름과 도메인 포함)를 입력하라는 메시지가 표시되고 로그인하면 애플리케이션으로 바로 이동합니다. 네크워크 마스크와 관계없이 SSO 로그인 페이지로 리디렉션되지 않습니다.
Chrome 기기에 SSO를 설정하려면 어떻게 해야 하나요?

자세히 내용은 Chrome 기기용 SAML 싱글 사인온(SSO) 구성을 참조하세요.

위에 언급되지 않은 추가 문의사항이 있습니다.

SAML SSO FAQ 페이지에서 자주 하는 질문에 대한 답을 찾아보거나 싱글 사인온(SSO) 관련 도움말을 참조하시기 바랍니다. 또한 SSO 솔루션 및 관련 전문 서비스를 제공하는 상용 제품이나 시스템 통합업체가 많습니다. Google Apps Marketplace에서 SSO 지원을 제공하는 Google for Work 파트너 및 타사를 검색해 보세요.

Google Apps 계정에 싱글 사인온을 설정할 때 발생할 수 있는 일반적인 문제를 해결하려면 싱글 사인온(SSO) 문제해결을 참조하세요.