싱글 사인온(SSO)을 설정하면 사용자가 각각의 애플리케이션에 사용자 이름과 비밀번호를 입력하지 않고도 여러 애플리케이션에 액세스할 수 있습니다. 보안 보장 마크업 언어(SAML)는 사용자 인증 및 승인 데이터를 교환하는 안전한 웹 도메인을 지원하는 XML 표준입니다.
서비스 제공업체 및 ID 공급업체의 역할
Google은 파트너 회사가 보안 콘텐츠에 액세스하려는 호스팅된 사용자를 승인하고 인증할 수 있도록 SAML 기반 SSO 서비스를 제공합니다. Google은 온라인 서비스 제공업체 역할을 수행하며, Google 캘린더 및 Gmail과 같은 서비스를 제공합니다. Google 파트너는 Google이 호스팅하는 웹 애플리케이션에 대한 온라인 ID 제공업체 역할을 하고 사용자를 식별하고 인증하여 승인하는 데 사용되는 사용자 이름, 비밀번호, 기타 정보를 관리합니다.
여러 오픈소스 및 상업적인 ID 공급업체에서 Google을 통한 SSO 구현을 지원합니다.
데스크톱 클라이언트에 로그인 필요
SSO 솔루션은 웹 애플리케이션에만 적용됩니다. 사용자가 데스크톱 클라이언트를 통해 Google 서비스에 액세스하도록 설정할 수 있습니다. 예를 들어 Outlook을 통해 Gmail에 POP 액세스를 제공하려면 사용자에게 사용 가능한 비밀번호를 제공하고 Admin SDK의 Directory API를 사용하여 비밀번호를 내부 사용자 데이터베이스에 동기화해야 합니다. 비밀번호를 동기화할 때 관리자 제어판 로그인 URL을 사용하여 사용자를 인증하는 방법을 파악하고 있어야 합니다.
파트너 제공 SAML 기반 SSO에 대한 이해
그림 1은 사용자가 파트너가 제공하는 SAML 기반 SSO 서비스를 통해 Gmail과 같은 Google 애플리케이션에 로그인하는 프로세스를 보여줍니다. 이미지에 표시된 번호 목록은 각 단계를 자세하게 설명합니다.
중요: 이 과정이 시작되려면 파트너가 Google이 SAML 응답을 확인할 때 사용해야 하는 공개 키와 SSO 서비스 URL을 제공해야 합니다.
그림 1: SAML 기반 SSO 서비스를 사용하여 Google에 로그인하는 프로세스를 보여줍니다.
이 이미지는 다음 단계를 설명합니다.
- 사용자가 Gmail, Google Calendar 또는 기타 Google 서비스와 같은 호스팅된 Google 애플리케이션에 도달하려고 시도합니다.
- Google은 파트너 SSO 서비스용 URL에 인코딩되어 삽입되는 SAML 인증 요청을 생성합니다. 사용자가 도달하려는 Google 애플리케이션의 인코딩된 URL이 포함된 RelayState 매개변수도 SSO URL에 삽입됩니다. 이 RelayState 매개변수는 수정 또는 검사 없이 되돌려 보내지는 불투명한 식별자입니다.
- 사용자 브라우저로 리디렉션이 전송됩니다. 리디렉션 URL에는 파트너의 SSO 서비스에 제출되어야 하는 인코딩된 SAML 인증 요청이 포함됩니다.
- 브라우저가 SSO URL로 리디렉션됩니다.
- 파트너는 SAML 요청을 디코딩하여 Google Assertion 일반 고객 서비스(ACS) 및 사용자의 대상 URL(RelayState 매개변수) 둘 다를 위한 URL을 추출합니다.
- 그런 다음 파트너가 사용자를 인증합니다. 파트너는 유효한 로그인 사용자 인증 정보를 요청하거나 유효한 세션 쿠키를 검사하여 사용자를 인증할 수 있습니다.
- 파트너가 인증된 사용자의 사용자 이름을 포함하는 SAML 응답을 생성합니다. 이 응답은 SAML v2.0 사양에 따라 파트너의 공개 및 비공개 DSA/RSA 키로 디지털 서명됩니다.
- 파트너가 SAML 응답 및 RelayState 매개변수를 인코딩하여 정보를 사용자 브라우저로 반환합니다. 파트너는 브라우저가 정보를 Google ACS에 전달할 수 있는 메커니즘을 제공합니다. 예를 들어 파트너는 SAML 응답 및 도착 URL을 양식에 삽입하고 사용자가 양식을 Google에 제출하기 위해 클릭할 수 있는 버튼을 제공할 수 있습니다. 또한 파트너는 양식을 Google에 제출할 수 있는 페이지에 자바스크립트를 포함할 수 있습니다.
- 브라우저에서 ACS URL로 응답을 보냅니다. Google ACS가 파트너의 공개 키를 사용하여 SAML 응답을 확인합니다. 응답이 성공적으로 확인되면 ACS에서 사용자를 대상 URL로 리디렉션합니다.
- 사용자가 Google 앱에 로그인되어 있습니다.
