ChromeOS 기기의 보안 보장 마크업 언어(SAML) 싱글 사인온(SSO) 지원을 통해 사용자는 조직 내에서 사용하는 것과 동일한 인증 메커니즘을 사용하여 기기에 로그인할 수 있습니다. 이 경우 비밀번호는 조직의 ID 공급업체(IdP) 내에 보관될 수 있습니다. 로그인하는 과정은 SAML SSO를 통해 브라우저에서 Google Workspace 계정에 로그인하는 것과 매우 유사합니다. 하지만 사용자가 기기에 로그인하는 것이므로 추가로 고려해야 할 사항이 몇 가지 있습니다.
자세한 내용은 타사 ID 공급업체를 통해 관리 Google 계정에 싱글 사인온(SSO) 설정하기를 참고하세요.
요구사항
- 버전 36 이상을 실행하는 ChromeOS 기기
- Google Workspace용 SAML SSO를 지원하도록 설정된 도메인
- HTTP 대신 HTTPS를 사용하는 SAML URL
- 기기의 ChromeOS 라이선스
1단계: SSO 설정하기
아직 설정하지 않았으면 타사 ID 공급업체를 통해 관리 Google 계정에 싱글 사인온(SSO)을 설정합니다.
2단계: SSO 테스트하기
소유한 테스트 도메인에서 SAML SSO를 설정하고 테스트합니다. 테스트 도메인이 없으면 테스트 그룹을 만들고 그룹 내의 사용자만 SSO 기능을 사용하도록 함으로써 소수의 사용자에 대해 SAML SSO 기능을 테스트합니다. 소규모 사용자를 대상으로 SAML SSO 기능을 테스트한 후 약 5%의 사용자에게 이 기능을 배포합니다.
-
-
관리 콘솔에서 메뉴
기기
Chrome
Chrome 브라우저 클라우드 관리에 가입한 경우 메뉴
Chrome 브라우저
- 모든 사용자 및 등록된 브라우저에 설정을 적용하려면 상위 조직 단위가 선택된 상태로 두세요. 그렇지 않으면 하위 조직 단위를 선택하세요.
- 보안으로 이동합니다.
- Single sign-on(싱글 사인온)을 클릭합니다.
- Chrome 기기용 SAML 기반 싱글 사인온(SSO) 사용 설정을 선택합니다.
- 저장을 클릭합니다.
(선택사항) 3단계: SAML SSO 쿠키 사용 설정하기
SAML SSO 쿠키를 사용 설정하면 싱글 사인온(SSO) 사용자가 이후에 기기에 로그인할 때 동일한 IdP를 이용하는 내부 웹사이트와 클라우드 서비스에 로그인할 수 있습니다.
-
-
관리 콘솔에서 메뉴
- 모든 사용자 및 등록된 브라우저에 설정을 적용하려면 상위 조직 단위가 선택된 상태로 두세요. 그렇지 않으면 하위 조직 단위를 선택하세요.
- 로그인 설정으로 이동합니다.
- 싱글 사인온(SSO) 쿠키 동작을 클릭합니다.
- 로그인 시 SAML SSO 쿠키를 사용자 세션에 전달을 선택합니다. 자세한 내용은 ChromeOS 기기 정책 설정하기를 참고하세요.
- 저장을 클릭합니다.
(선택사항) 4단계: 로컬 ChromeOS와 SAML SSO 비밀번호를 동기화 상태로 유지하기
ChromeOS 기기 로컬 비밀번호를 사용자의 SAML SSO 비밀번호와 동기화하도록 선택할 수 있습니다.
기본적으로 로컬 비밀번호는 사용자가 온라인으로 로그인할 때마다 업데이트됩니다. SAML 싱글 사인온(SSO) 로그인 실행 빈도 또는 SAML 싱글 사인온(SSO) 잠금 해제 빈도 설정을 사용하여 사용자가 온라인으로 로그인해야 하는 빈도를 설정할 수 있습니다. 하지만 사용자가 온라인으로 로그인하도록 다시 요청을 받기 전에 SAML SSO 비밀번호를 변경하는 경우도 있습니다. 이때 사용자는 다음에 온라인으로 로그인할 때까지 기존의 로컬 ChromeOS 비밀번호를 계속 사용합니다.
로컬 ChromeOS 비밀번호를 SAML SSO 비밀번호와 계속 동기화하려면 SAML SSO 비밀번호가 변경되는 즉시 온라인으로 로그인하도록 사용자에게 강제할 수 있습니다. 이렇게 하면 사용자는 ChromeOS 비밀번호를 거의 즉시 업데이트하게 됩니다.
- 사용자 비밀번호 변경을 Google에 알리려면 다음 방법 중 하나를 사용할 수 있습니다.
- IdP 통합: 예를 들어 Okta를 사용하는 경우 Okta 워크플로를 사용할 수 있습니다. 자세한 내용은 GitHub 문서를 참고하세요.
-
Microsoft Entra ID 통합 - Microsoft Entra ID의 CPN(Change Password Notifier)은 Microsoft Entra ID 비밀번호 변경을 Google에 알립니다. 자세한 내용은 Microsoft Entra ID용 Change Password Notifier를 사용하여 ChromeOS 비밀번호 동기화하기를 참고하세요.
- AD 통합: Active Directory의 Change Password Notifier(AD의 CPN)가 Microsoft AD 비밀번호 변경사항을 Google에 알립니다. 자세한 내용은 Active Directory용 Change Password Notifier를 사용하여 ChromeOS 비밀번호 동기화하기를 참고하세요.
- API 통합: IdP를 기기 토큰 API와 통합합니다. Chrome 기기 토큰 API는 여기에서 다운로드할 수 있습니다. 자세한 내용은 클라우드 프로젝트에 API 제품군 사용 설정하기를 참고하세요.
- 관련 설정을 구성합니다.
- SAML 싱글 사인온(SSO) 비밀번호 동기화 절차: 온라인 로그인을 로그인 화면에만 적용할지 아니면 로그인 화면과 잠금 화면 모두에 적용할지 선택합니다. 자세한 내용은 사용자 또는 브라우저에 Chrome 정책 설정하기를 참고하세요.
- SAML 싱글 사인온(SSO) 비밀번호 동기화: SSO 제공업체와 비밀번호를 동기화할 수 있도록 인증 절차 트리거를 선택합니다. 자세한 내용은 사용자 또는 브라우저에 Chrome 정책 설정하기를 참고하세요.
(선택사항) 5단계: 예정된 비밀번호 변경에 관해 사용자에게 알리기
ChromeOS 기기에서 예정된 비밀번호 변경에 관해 사용자에게 알릴 수 있습니다.
현재 Microsoft Entra ID에는 비밀번호 만료 알림이 지원되지 않습니다.
참고: 4단계: 로컬 ChromeOS와 SAML SSO 비밀번호를 동기화 상태로 유지하기 또는 5단계: 예정된 비밀번호 변경에 관해 사용자에게 알리기 중 한 가지를 따르는 것이 좋습니다.
예정된 비밀번호 변경에 관해 사용자에게 알리는 방법은 다음과 같습니다.
- Google 관리 콘솔에서 타사 ID 공급업체를 사용하여 관리 Google 계정에 싱글 사인온(SSO)을 설정합니다.
- SAML SSO 공급업체의 비밀번호 만료에 관한 SAML 어설션을 구성합니다. 아래 예를 참고하세요.
- 관리 콘솔을 사용하여 설정을 구성합니다.
- SAML 싱글 사인온(SSO) 로그인 실행 빈도: 비밀번호 만료 시간보다 작은 값을 입력합니다. ChromeOS는 온라인으로 로그인하는 동안에만 어설션을 업데이트합니다. 자세한 내용은 사용자 또는 브라우저에 Chrome 정책 설정하기를 참고하세요.
- SAML 싱글 사인온(SSO) 비밀번호 동기화: SSO 제공업체와 비밀번호를 동기화할 수 있도록 인증 절차 트리거를 선택합니다. 며칠 전에 사용자에게 알림을 전송할지 지정합니다. 0에서 90일 사이의 값을 입력할 수 있습니다. 비워두면 기본값으로 0이 사용되며 비밀번호가 만료될 경우에만 사용자에게 사전에 알림이 전송되지 않습니다. 자세한 내용은 사용자 또는 브라우저에 Chrome 정책 설정하기를 참고하세요.
AttributeStatement 예
예 설명:
- 속성 이름에 passwordexpirationtimestamp 포함: 사용자의 비밀번호 인증이 만료되는 타임스탬프입니다. 비밀번호가 만료되지 않으면 비워 둘 수 있으며 이미 만료되었으면 과거 시간일 수 있습니다. 원하는 경우 passwordModifiedtimestamp를 대신 사용해도 됩니다.
- 속성 값은 NTFS filetime입니다. 1601년 1월 1일(UTC) 이후 경과된 100ns 간격의 수입니다. 원하는 경우 Unix 시간이나 ISO 8601 날짜 및 시간을 대신 설정할 수 있습니다. 다른 형식은 허용되지 않습니다.
<AttributeStatement>
<Attribute
Name="http://schemas.google.com/saml/2019/passwordexpirationtimestamp">
<AttributeValue>132253026634083525</AttributeValue>
</Attribute>
</AttributeStatement>
(선택사항) 6단계: SAML SSO IdP 리디렉션 사용 설정하기
싱글 사인온(SSO) 사용자가 처음에 이메일 주소를 입력하지 않고 SAML IdP 페이지로 직접 이동하는 것을 허용하기 위해 SAML SSO IdP 리디렉션을 사용 설정할 수 있습니다.
-
-
관리 콘솔에서 메뉴
- 모든 사용자 및 등록된 브라우저에 설정을 적용하려면 상위 조직 단위가 선택된 상태로 두세요. 그렇지 않으면 하위 조직 단위를 선택하세요.
- 로그인 설정으로 이동합니다.
- 싱글 사인온(SSO) IdP 리디렉션을 클릭합니다.
- 사용자가 바로 SAML SSO IdP 페이지로 이동하도록 허용을 선택합니다. 자세한 내용은 ChromeOS 기기 정책 설정하기를 참고하세요.
- 저장을 클릭합니다.
(선택사항) 7단계: 사용자 이름 패스 스루
사용자가 사용자 이름을 두 번 입력하지 않도록 Google ID에서 서드 파티 IdP로 사용자 이름을 자동으로 전달할 수 있습니다.
시작하기 전에
- 이 기능은 SAML 쿼리의 일부로 사용자 이름 핸드오버를 허용하는 IdP에서만 사용할 수 있습니다. 자세한 내용은 SAML IdP 로그인 페이지의 사용자 이름 자동 완성을 참고하세요.
- 항상 7단계를 완료하여 사용자를 서드 파티 ID 공급업체(3P IdP)로 리디렉션하는 경우 사용자 이름 패스 스루가 재인증 과정으로 제한됩니다. 자세한 내용은 SAML 싱글 사인온(SSO) 로그인 실행 빈도 또는 SAML 싱글 사인온(SSO) 잠금 해제 빈도 설정을 참고하세요.
-
-
관리 콘솔에서 메뉴
- 모든 사용자 및 등록된 브라우저에 설정을 적용하려면 상위 조직 단위가 선택된 상태로 두세요. 그렇지 않으면 하위 조직 단위를 선택하세요.
- 로그인 설정으로 이동합니다.
- SAML IdP 로그인 페이지의 사용자 이름 자동 완성을 클릭합니다.
- URL 매개변수 이름을 입력합니다.
- 저장을 클릭합니다.
(선택사항) 8단계: 로그인 및 잠금 화면의 콘텐츠 제어하기
사용자 인증에 SAML 또는 OpenID Connect 싱글 사인온(SSO)이 사용되는 경우 또는 사용자 세션 외부의 종속 포털과의 네트워크 연결을 구성할 때 다음 정책을 사용하여 사용자 로그인 및 잠금 화면에서 URL을 차단하거나 허용할 수 있습니다. DeviceAuthenticationURLBlocklist 및 DeviceAuthenticationURLAllowlist
자세한 내용은 로그인/잠금 화면의 차단된 URL 및 로그인/잠금 화면의 차단된 URL 예외 항목을 참고하세요.
-
-
관리 콘솔에서 메뉴
- 모든 사용자 및 등록된 브라우저에 설정을 적용하려면 상위 조직 단위가 선택된 상태로 두세요. 그렇지 않으면 하위 조직 단위를 선택하세요.
- 로그인 설정으로 이동합니다.
- 로그인/잠금 화면의 차단된 URL을 클릭합니다.
- 로그인 및 잠금 화면에서 차단할 URL을 지정합니다.
- 저장을 클릭합니다.
- 로그인/잠금 화면의 차단된 URL 예외 항목을 클릭합니다.
- 로그인 화면 및 잠금 화면에서 허용할 URL을 지정합니다.
- 저장을 클릭합니다.
9단계: 기기에 SAML SSO 배포하기
조직 내 약 5%의 사용자를 대상으로 기기용 SAML SSO 기능을 테스트한 후 추가 그룹에 동일한 정책을 사용 설정함으로써 조직 내 모든 사용자에게 기능을 배포할 수 있습니다. 문제가 발생하면 Google Cloud 지원팀에 문의하세요.
SAML 싱글 사인온(SSO)을 사용해 ChromeOS 기기에 로그인하기
기기의 SAML SSO가 조직에 설정되면 사용자가 기기에 로그인할 때 다음 단계가 표시됩니다.
요구사항
- 위에서 설명한 모든 단계가 완료되었습니다.
로그인 순서:
사용자가 기기에 처음 로그인할 때 다음 단계를 따르도록 안내하세요. 참고: 조직에 배포하기 전에 테스트해야 합니다.
- ChromeOS 기기 로그인 페이지에 사용자 이름(전체 이메일 주소)을 입력합니다. 이 단계에서는 비밀번호가 필요하지 않습니다.
- 조직의 SAML SSO 페이지로 이동됩니다. SAML 공급업체 로그인 페이지에 SAML 사용자 인증 정보를 입력합니다.
- 비밀번호를 입력하라고 표시되면 다시 입력하여 로그인을 완료합니다. 이 단계는 ID 공급업체가 아직 Credentials Passing API를 적용하지 않은 경우에만 필요합니다. 이는 기기에 오프라인 액세스를 허용하고 기기를 잠금 해제하는 데 필요합니다.
- 로그인이 완료되면 세션이 시작되고 브라우저가 열립니다. 다음 로그인 시에는 기기를 시작할 때 한 번만 비밀번호를 입력하면 됩니다. 문제가 발생하면 IT 관리자에게 문의하세요.
FAQ
Windows 통합 인증(WIA)을 사용하여 사용자가 사용자 이름과 비밀번호를 직접 입력하지 않고도 브라우저 기반 앱과 인트라넷에 로그인할 수 있도록 할 수 있나요?
아니요. 더 이상 Active Directory Federation Services (AD FS)에서 WIA를 지원하지 않습니다. 자세한 내용은 클라우드 기반 Chrome 관리로 이전을 참고하세요.
내 SAML 공급업체를 이용하여 로그인한 후 비밀번호를 다시 입력하라는 메시지가 표시됩니다. 정상인가요?
예. ChromeOS 기기에 오프라인으로 액세스하여 기기 잠금을 해제하려면 비밀번호를 다시 입력해야 합니다. Google에는 SAML 공급업체에서 이러한 확인 단계를 거치지 않도록 사용할 수 있는 API가 있습니다.
사용자가 다른 기기에서 비밀번호를 변경하는 경우 기기가 새 비밀번호로 잠금 해제되도록 업데이트되게 하려면 어떻게 하나요?
비밀번호가 변경될 때 Google 인증 서버에 알리는 간단한 Google Directory API의 업데이트 방법을 사용하는 것이 좋습니다. 요청 본문에 비밀번호 값을 입력하세요. API를 사용하지 않으면 다음번 온라인 로그인 과정에서 비밀번호 변경이 감지됩니다. 비밀번호가 변경되지 않더라도 기본적으로 기기에는 14일마다 의무적으로 온라인에서 로그인해야 합니다. 기기
비밀번호에 특수문자가 포함되어 있어도 기능이 작동하나요?
인쇄용 ASCII 문자만 지원됩니다.
화면에 '죄송합니다. 보안되지 않는 URL을 사용하도록 설정되었기 때문에 로그인할 수 없습니다. 관리자에게 문의하거나 다시 시도해 보세요'라는 화면이 표시되면 어떻게 해야 하나요?
직원이 이러한 오류 메시지가 표시된다고 신고하면 SAML IdP가 HTTP URL을 사용하려 하는데 HTTPS URL만 지원된다는 의미입니다. 이 경우 전체 로그인 과정에서 HTTPS만 사용해야 합니다. 그러므로 HTTPS를 통해 최초 로그인 양식이 서비스되더라도 사용하는 IdP가 이후 과정에서 HTTP URL로 리디렉션하면 이 오류 메시지가 표시될 수 있습니다. 문제를 해결했는데도 사용자에게 계속 오류 메시지가 표시되면 Google Cloud 지원팀에 문의하세요.
IT 관리자인데 SAML ID 공급업체로 리디렉션되지 않는 이유는 무엇인가요?
처음부터 그렇게 설계되어 있습니다. Google에서는 설정 과정에서 문제가 발생하더라도 관리자가 로그인하여 문제를 해결할 수 있기를 바라기 때문입니다.
SSO에서 TLS 및 SSL 콘텐츠 필터를 지원하나요?
예. 이 필터를 설정하려면 ChromeOS 기기에서 TLS(또는 SSL) 검사 설정하기의 안내를 따르세요. 호스트 이름 허용 목록 설정하기에 설명된 허용 목록에 있는 도메인 외에도 SSO ID 공급업체 도메인 및 www.google.com을 허용 목록에 추가해야 합니다.
SSO 기능에서 카메라 권한은 어떻게 사용되나요?
타사 소프트웨어에서 기기의 카메라에 직접 액세스하도록 하려면 관리자가 SSO 사용자를 대신하여 싱글 사인온(SSO) 카메라 권한을 사용 설정하세요.
기기
자세한 내용은 ChromeOS 기기 정책 설정하기를 참고하세요.
Google 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.