키 및 확인 인증서 만들기 및 업로드
서비스 제공업체(SP)가 Google인 SAML 인스턴스를 사용하는 SSO를 설정하려면 공개 및 비공개 키의 조합과 공개 키가 포함된 X.509 인증서를 생성해야 합니다. 공개 키 및 인증서는 RSA 또는 DSA 알고리즘 방식으로 생성하여 Google에 등록해야 합니다. Google 관리 콘솔에서 키 및 인증서를 업로드하여 등록할 수 있습니다.
키와 인증서를 생성하는 방법은 개발 플랫폼 및 프로그래밍 언어의 환경설정에 따라 달라집니다. X509 인증서는 openssl
명령을 사용하여 생성할 수 있습니다. .NET 환경에서는 OpenSSL, Certificate Creation 도구, Pvk2pfx 도구를, Java 환경에서는 Keytool 또는 Java Cryptography Architecture를 사용하여 공개 및 비공개 키 조합을 만들 수 있습니다. 자세한 내용은 SSO용 키 및 인증서 생성을 참조하세요.
- 확인 인증서를 업로드합니다.
인증서 파일은 공개 키가 포함된 X.509 형식의 인증서여야 합니다.
인증서 파일에는 Google에서 로그인 요청을 확인할 수 있도록 공개 키가 포함되어 있어야 합니다.
공개 키는 DSA 또는 RSA 알고리즘으로 생성되어야 하고 Google은 이 키를 사용하여 사용자가 보내는 SAML 응답(SSO Assertion이 해당 사용자에게서 왔는지 여부)을 확인합니다. 또한 SSO Assertion이 전송 중에 수정되지는 않았는지 확인합니다.
X.509 인증서에 포함된 공개 키는 사용자가 SAML 응답에 서명할 때 사용한 비공개 키와 일치해야 합니다.
Chrome에서만 사용자의 인증서가 업로드되었음을 확인할 수 있으며 다른 브라우저에서는 확인할 수 없습니다. - 필요한 경우 도메인별 발행자 사용 체크박스를 선택하여 도메인별 발행자를 사용 설정합니다. 이 기능을 사용 설정하면 Google에서 도메인 전용 발행자(google.com/a/your_domain.com, your_domain.com은 실제 도메인 이름으로 대체됨)를 전송합니다.
SSO를 설정할 때 도메인 발행자 사용 체크박스를 선택하지 않은 경우 Google은 SAML 요청에 표준 발행자(google.com)를 포함하여 전송합니다.
- 변경사항 저장을 클릭합니다.
자세한 내용은 파트너 제공 SAML 싱글 사인온(SSO) 서비스를 참조하세요.