관리자는 재인증 없이 Google Cloud Console 및 Cloud SDK에 액세스할 수 있는 시간을 사용자마다 다르게 설정할 수 있습니다. 예를 들어 프로젝트 소유자, 결제 관리자 또는 관리자 역할이 있는 다른 사용자와 같이 승격된 권한이 있는 사용자는 일반 사용자보다 재인증이 자주 필요할 수 있습니다. 세션 길이를 설정하면 새 세션을 시작할 때 다시 로그인하라는 메시지가 표시됩니다.
세션 길이 설정은 다음에 적용됩니다.
- Google Cloud Console
- gcloud 명령줄 도구(Cloud SDK)
- 서드 파티 애플리케이션이나 자체 애플리케이션 등 Google Cloud 범위에 관한 사용자 인증이 필요한 모든 애플리케이션. 앱 액세스 제어 UI에서 Google Cloud 범위가 필요한 앱을 검토하려면 서드 파티 및 내부 앱 중 어떤 앱에서 Google Workspace 데이터에 액세스할 수 있는지 설정하기를 참고하세요.
참고: Cloud 세션 길이 설정은 콘솔 모바일 앱에는 적용되지 않으며 콘솔 내에서는 제한사항이 있습니다. 이 기능은 모든 Google 웹 서비스에 세션 길이를 적용하는 Google 세션 제어와 함께 사용하는 것이 좋습니다.
재인증 정책 설정하기
-
-
관리 콘솔에서 메뉴 보안액세스 및 데이터 관리Google Cloud 세션 제어로 이동합니다.
- 왼쪽에서 세션 길이를 설정하려는 조직 단위를 선택합니다.
모든 사용자에 대해 설정을 적용하려면 최상위 조직 단위를 선택합니다. 처음에는 조직 단위에 상위 조직 단위의 설정이 상속됩니다. - 재인증 정책에서 재인증 필요를 선택하고 드롭다운 목록에서 재인증 빈도를 선택합니다.
허용되는 최소 세션 빈도는 1시간이며 최대 24시간입니다. 이 세션 빈도에는 사용자가 비활성 상태인 시간이 고려되지 않습니다. 이 시간은 고정된 시간으로, 이 시간이 경과하면 사용자가 다시 로그인해야 합니다.
신뢰할 수 있는 앱 제외 체크박스를 선택하여 신뢰할 수 있는 앱을 재인증에서 제외할 수도 있습니다. (신뢰할 수 있는 앱은 앱 액세스 제어 페이지에 '신뢰할 수 있음'으로 표시됩니다. 자세한 내용은 아래 광범위한 출시 준비하기를 참고하세요. 서드 파티 및 내부 앱 중 어떤 앱에서 Google Workspace 데이터에 액세스할 수 있는지 설정하기도 함께 참고하세요.)
- 재인증 방법에서 비밀번호 또는 보안 키를 선택하여 사용자가 어떤 방법으로 재인증해야 하는지 지정합니다.
- 조직 단위 수준에서 재인증 정책을 설정하는 경우, 상위 조직의 설정이 변경되더라도 설정이 그대로 유지되도록 오른쪽 하단의 재정의 버튼을 클릭합니다.
- 조직 단위의 상태가 이미 재정의인 경우 다음 옵션 중 하나를 선택합니다.
- 상속: 상위 조직과 동일한 설정으로 되돌아갑니다.
- 저장: 상위 조직 설정이 변경되더라도 새 설정을 저장합니다.
변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빠르게 적용됩니다. 자세히 알아보기
광범위한 출시 준비하기
여기에서 구성하는 재인증 정책은 Google Cloud 범위를 요구하여 Google Cloud 리소스에 액세스하는 모든 Google 앱 및 서드 파티 앱에 적용됩니다. 광범위한 출시로 넘어가기 전에, 소수의 사용자를 신뢰할 수 있는 앱 목록에 추가하여 해당 사용자를 대상으로 각 앱에 대해 정책이 어떻게 작동하는지 신중하게 테스트하는 것이 좋습니다.
조직에서 현재 사용 중인 앱을 검토하는 방법은 서드 파티 및 내부 앱 중 어떤 앱에서 Google Workspace 데이터에 액세스할 수 있는지 설정하기를 참고하세요. Google Cloud 서비스가 필요한 앱을 필터링해야 합니다.
구성된 세션 길이가 만료된 경우, 애플리케이션에서 사용자가 작업을 계속하려면 재인증해야 합니다. 이는 관리자가 해당 애플리케이션에 대한 갱신 토큰을 취소한 상황과 유사합니다.
일부 애플리케이션에서는 재인증 시나리오를 매끄럽게 처리하지 못해 애플리케이션이 비정상 종료되거나 스택 트레이스가 발생하여 혼란이 생길 수 있습니다. 또한 서버 간 사용 사례에 배포되는 애플리케이션의 경우에는 서비스 계정의 사용자 인증 정보를 이용하는 것이 권장되지만, 사용자의 사용자 인증 정보를 사용하는 애플리케이션도 있습니다. 이 경우 정기적으로 재인증할 사용자가 존재하지 않습니다.
이러한 시나리오에 해당하는 경우 관련 앱을 신뢰할 수 있는 목록에 추가하면, 해당 앱을 일시적으로 세션 길이 제약에서 제외하면서 다른 모든 Google Cloud 관리 영역에 대한 세션 제어를 적용할 수 있습니다. 이렇게 하려면 해당 앱을 앱 액세스 제어의 '신뢰할 수 있는 앱' 목록에 추가하고 Cloud 세션 제어 설정에서 신뢰할 수 있는 앱 제외 체크박스를 선택합니다.
재인증 관련 오류 복구
세션이 만료된 후 서드 파티 앱에서 재인증 관련 오류 응답을 받을 수 있습니다. 이러한 앱을 다시 사용하려면 사용자가 앱에 다시 로그인하여 새 세션을 시작하면 됩니다.
사용자 인증 정보와 함께 애플리케이션 기본 사용자 인증 정보(ADC)를 사용하는 앱은 서드 파티 앱으로 간주됩니다. 이 사용자 인증 정보는 구성된 세션 길이에 대해서만 유효합니다. 세션이 만료되면 ADC를 사용하는 앱에서 재인증 관련 오류 응답도 반환할 수 있습니다. 개발자는 gcloud auth application-default login
명령어를 실행하여 앱을 다시 인증하면 새 사용자 인증 정보를 가져올 수 있습니다.
고려사항
사용자가 로그인하는 경우 및 방법
일부 사용자가 다른 사용자보다 더 자주 로그인하도록 하려면 해당 사용자를 다른 조직 단위에 배치한 다음 다른 세션 길이를 적용하세요. 이렇게 하면 다시 로그인을 할 필요가 없는 사용자의 로그인 상태가 유지됩니다.
보안 키가 필요한 경우, 보안 키가 없는 사용자는 보안 키 설정 전까지 Console 또는 Cloud SDK를 사용할 수 없습니다. 보안 키 설정 후 사용자는 보안 키 대신 비밀번호를 사용하도록 전환할 수도 있습니다.
타사 ID 공급업체
- Console 사용: 사용자가 비밀번호를 사용하여 다시 인증해야 하는 경우 ID 공급업체(IdP)로 리디렉션됩니다. 사용자에게 이미 IdP로 활성화된 세션이 있는 경우 IdP에서는 사용자가 다른 Console 세션을 시작할 때 비밀번호를 다시 입력하도록 요구하지 않을 수도 있습니다. 세션을 활성 상태로 유지되게 하는 다른 애플리케이션을 사용 중이기 때문입니다.
사용자가 보안 키를 터치하여 재인증해야 하는 경우 Console에서 재인증할 수 있으며 IdP로 리디렉션되지 않습니다.
- Cloud SDK 사용: 재인증에 비밀번호가 필요한 경우 gcloud는 사용자에게 gcloud auth login 명령어를 실행하여 세션을 갱신하도록 요구합니다. 그러면 브라우저 창이 열리고 IdP로 이동하며, 이때 IdP와 관련된 활성 세션이 없으면 사용자 인증 정보를 입력하라는 메시지가 표시될 수 있습니다.
사용자가 보안 키를 터치하여 재인증해야 하는 경우 Cloud SDK에서 재인증할 수 있으며 IdP로 리디렉션되지 않습니다.