관리자는 Microsoft Entra ID 테넌트와 Google Workspace 또는 Cloud ID 계정 간에 사용자 프로비저닝 및 싱글 사인온(SSO)을 설정할 수 있습니다. 그러면 사용자가 ChromeOS 기기의 Google 로그인 화면이 아닌 Microsoft Entra ID 인증 페이지에 로그인할 수 있습니다.
ChromeOS 기기의 보안 보장 마크업 언어(SAML) 싱글 사인온(SSO) 지원을 통해 사용자는 조직 내에서 사용하는 것과 동일한 인증 메커니즘을 사용하여 기기에 로그인할 수 있습니다. 이 경우 비밀번호는 조직의 ID 공급업체(IdP) 내에 보관될 수 있습니다. 로그인하는 과정은 SAML SSO를 통해 브라우저에서 Google Workspace 계정에 로그인하는 것과 매우 유사합니다. 하지만 사용자가 기기에 로그인하는 것이므로 추가로 고려해야 할 사항이 몇 가지 있습니다.
시작하기 전에
- 도메인이 Microsoft Entra ID 및 Google (Workspace 또는 Cloud ID)에 구성되어 있습니다.
- 사용자 계정 이름은 Microsoft Entra ID와 Google에서 동일합니다. Microsoft Entra ID 디렉터리에는 도메인이 등록된 하위 도메인으로 저장됩니다.
- 이 단계에는 ADFS(Active Directory Federation Service)와 같은 로컬 페더레이션이 필요하지 않습니다. 하지만 Microsoft Entra ID 무료 등급과 함께 번들로 제공되는 동급의 클라우드 기반 서비스를 사용합니다.
방법
1단계: 엔터프라이즈 애플리케이션 만들기
- Microsoft Azure 포털에 로그인합니다.
- 상단의 검색창에 엔터프라이즈 애플리케이션을 입력하고 검색결과 목록에서 선택합니다.
- 'Enterprise applications'(엔터프라이즈 애플리케이션) 창 상단에서 New application(새 애플리케이션)을 클릭합니다.
- 'Cloud platforms'(클라우드 플랫폼) 아래에서 Google Cloud Platform을 클릭합니다.
- Google Cloud/G Suite Connector by Microsoft를 클릭합니다.
- 이름에 Google Cloud/G Suite Connector by Microsoft를 입력합니다.
- Create(만들기)를 클릭합니다.
2단계: 엔터프라이즈 애플리케이션에 특정 사용자 할당하기
Microsoft Azure 포털에서 다음 단계를 따르세요.
- 왼쪽의 'Manage'(관리) 아래에서 Users and groups(사용자 및 그룹)를 클릭합니다. 또는 'Overview'(개요) 페이지의 'Getting started'(시작하기)에서 Assign users and groups(사용자 및 그룹 할당)를 클릭합니다.
- 'Users and groups'(사용자 및 그룹) 창 상단에서 Add user/group(사용자/그룹 추가)을 클릭합니다.
- 왼쪽의 'Add Assignment'(할당 추가) 창의 'Users'(사용자)에서 None selected(선택한 항목 없음)를 클릭합니다.
- 'Users'(사용자) 창에서 원하는 사용자를 선택합니다.
- Select(선택)를 클릭합니다.
- 'Add Assignment'(할당 추가) 창에서 Assign(할당)을 클릭합니다.
3단계: SAML로 SSO 설정하기
Microsoft Azure 포털에서 다음 단계를 따르세요.
- 왼쪽의 'Manage'(관리) 아래에서 Single sign-on(싱글 사인온(SSO))을 클릭합니다.
- 싱글 사인온(SSO) 방법을 선택합니다. SAML을 클릭합니다.
- SAML 기반 로그인 페이지에서 Basic SAML Configuration(기본 SAML 구성)으로 이동합니다.
- Edit(수정)을 클릭합니다.
- 식별자(엔티티 ID)를 구성합니다. 다음 URL을 추가합니다.
- google.com/a/yourdomain.com
- https://google.com/a/yourdomain.com
- 답장 URL(Assertion Consumer Service URL)을 구성합니다.
- 다음 URL을 추가합니다.
- https://www.google.com/acs
- https://www.google.com/a/yourdomain.com/acs
- 기본값을 다음과 같이 설정합니다.
- https://www.google.com/a/yourdomain.com/acs 옆의 Default(기본값) 체크박스를 선택합니다.
- 다음 URL을 추가합니다.
- 로그인 URL을 구성합니다. 다음 URL을 추가합니다.
- https://www.google.com/a/yourdomain.com/ServiceLogin?continue=https://mail.google.com
- 저장을 클릭합니다.
- 인증서의 Base64 버전을 다운로드합니다.
- SAML 기반 로그인 페이지에서 SAML Signing Certificate(SAML 서명 인증서)로 이동합니다.
- 'Certificate(Base64)'(인증서(Base64)) 옆의 Download(다운로드)를 클릭합니다.
- Microsoft Entra ID와 연결하기 위해 Microsoft 애플리케이션이 Google Cloud/G Suite Connector를 구성하는 데 필요한 정보를 수집합니다.
- SAML 기반 로그인 페이지에서 Set up Google Cloud/G Suite Connector by Microsoft(Google Cloud/G Suite Connector by Microsoft 설정)로 이동합니다.
- 다음 URL을 복사합니다.
- 로그인 URL: 사용자가 시스템 및 Google Workspace에 로그인하는 페이지입니다.
- 로그아웃 URL: 사용자가 로그아웃한 다음 리디렉션되는 페이지입니다.
4단계: Microsoft Entra SSO SSO 구성하기
서드 파티 IdP 설정 구성
-
-
관리 콘솔에서 메뉴
보안
개요로 이동합니다.
- 서드 파티 IdP로 싱글 사인온(SSO) 설정을 클릭합니다.
- SSO 프로필 추가를 클릭합니다.
- 서드 파티 ID 공급업체로 SSO 설정 체크박스를 선택합니다.
- 서드 파티 IdP URL을 입력합니다.
- Replace certificate(인증서 교체)를 클릭합니다.
- 사용할 파일을 선택하고 Open(열기)을 클릭합니다.
- 도메인별 발행자 사용 체크박스를 클릭합니다.
- 'Change password URL(비밀번호 변경 URL)'에 다음 URL을 입력합니다.
- https://account.activedirectory.windowsazure.com/changepassword.aspx
- 저장을 클릭합니다.
사용자 설정 구성
계속해서 관리 콘솔에서 다음을 수행합니다.
-
관리 콘솔에서 메뉴
기기
Chrome 브라우저 클라우드 관리에 가입한 경우 메뉴
Chrome 브라우저
- 모든 사용자 및 등록된 브라우저에 설정을 적용하려면 상위 조직 단위가 선택된 상태로 두세요. 그렇지 않으면 하위 조직 단위를 선택하세요.
- 보안으로 이동합니다.
- 싱글 사인온(SSO)에서 Chrome 기기용 SAML 기반 싱글 사인온(SSO) 사용을 선택합니다.
- (선택사항) SAML 싱글 사인온(SSO) 로그인 실행 빈도에 비밀번호 만료 시간보다 작은 값을 입력합니다. 설정에 관한 자세한 내용은 사용자 또는 브라우저에 적용할 Chrome 정책 설정하기를 참고하세요.
- 저장을 클릭합니다.
기기 설정 구성
계속해서 관리 콘솔에서 다음을 수행합니다.
- 페이지 상단에서 Device settings(기기 설정)를 클릭합니다. 또는 관리 콘솔 홈페이지에서 기기
Chrome
- 모든 사용자 및 등록된 브라우저에 설정을 적용하려면 상위 조직 단위가 선택된 상태로 두세요. 그렇지 않으면 하위 조직 단위를 선택하세요.
- 로그인 설정으로 이동합니다.
- 싱글 사인온(SSO) IdP 리디렉션에서 사용자가 바로 SAML SSO IdP 페이지로 이동하도록 허용을 선택합니다. 설정에 관한 자세한 내용은 Chrome 기기 정책 설정하기를 참고하세요.
- 싱글 사인온(SSO) 쿠키 동작에서 로그인 시 SAML SSO 쿠키를 사용자 세션에 전달을 선택합니다. 설정에 관한 자세한 내용은 Chrome 기기 정책 설정하기를 참고하세요.
- 저장을 클릭합니다.
Chrome5단계: ChromeOS 기기 테스트하기
- 관리 ChromeOS 기기를 켭니다.
- Chromebook 로그인 페이지에서 다음을 클릭합니다.
- Microsoft 로그인 페이지에서 AD 사용자 이름을 입력합니다.
- 다음을 클릭합니다.
- 비밀번호를 입력합니다.
- 로그인을 클릭합니다.
- 로그인 상태를 유지하고 사용자 세션에 액세스하려면 Yes를 클릭합니다.
6단계: Microsoft Entra ID 사용자 프로비저닝 구성하기
Cloud ID 또는 Google Workspace에 가입하면 최고 관리자 계정이 생성됩니다. Microsoft Entra ID에 사용할 수도 있지만 Microsoft Entra ID에서만 사용되는 별도의 최고 관리자 계정을 만드는 것이 좋습니다.
사용자 만들기
-
- 관리 콘솔에서 메뉴
디렉터리
- 페이지 상단에서 새 사용자 추가를 클릭합니다.
- 계정 정보를 입력합니다. 자세한 내용은 새 사용자의 계정 추가하기를 참고하세요.
- 새 사용자 추가를 클릭합니다.
- 새 사용자 추가를 완료하려면 완료를 클릭합니다.
사용자를 최고 관리자로 지정하기
계속해서 관리 콘솔에서 다음을 수행합니다.
- 관리 콘솔에서 메뉴
- 사용자 목록에서 방금 만든 새 사용자를 찾습니다.
- 사용자 이름을 클릭하여 사용자의 계정 페이지를 엽니다.
- 관리자 역할 및 권한을 클릭합니다.
- 역할 할당을 클릭합니다.
- 최고 관리자 역할 옆의 슬라이더를 클릭하여 할당됨
으로 표시합니다.
- 저장을 클릭합니다.
도움말: 새 관리자가 계정에 복구 옵션을 추가하도록 합니다.
사용자는 보통 몇 분 내에 새로운 관리자가 되지만, 최대 24시간이 소요될 수도 있습니다.
사용자 계정 프로비저닝 관리
- Microsoft Azure 포털에 로그인합니다.
- 상단의 검색창에 엔터프라이즈 애플리케이션을 입력하고 검색결과 목록에서 선택합니다.
- Google Cloud/G Suite Connector by Microsoft를 검색하여 클릭합니다.
- 왼쪽의 'Manage'(관리)에서 Provisioning(프로비저닝)을 클릭합니다.
- Get started(시작하기)를 클릭합니다.
- 'Provisioning mode'(프로비저닝 모드)의 경우 Automatic(자동)을 선택합니다.
- Admin Credentials(관리자 사용자 인증 정보)를 클릭합니다.
- Authorize(승인)를 클릭합니다.
- 방금 만든 새로운 최고 관리자 계정을 사용하여 로그인합니다.
- Allow(허용)를 클릭하여 Cloud ID API에 대한 액세스를 확인합니다.
- 관리자 사용자 인증 정보에서 Test Connection(연결 테스트)을 클릭합니다. 프로비저닝을 사용 설정할 권한이 있는지 여부를 알려주는 메시지가 표시됩니다.
- (선택사항) 매핑에서 사용자 또는 그룹 프로비저닝을 구성합니다. 기본 설정을 사용하는 것이 좋습니다.
- 저장을 클릭합니다.
- 'Provisioning'(프로비저닝) 페이지 상단에서 Start provisioning(프로비저닝 시작)을 클릭합니다.
- 동기화가 완료될 때까지 기다립니다.
관련 주제
- ChromeOS 기기의 SAML 싱글 사인온(SSO) 설정하기
- Microsoft Entra ID 사용자 프로비저닝 및 싱글 사인온(SSO)
- 튜토리얼: Microsoft Entra SSO와 Google Cloud / G Suite Connector by Microsoft 통합
Google 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.