SAML 기반 SSO 이용하기
싱글 사인온(SSO)을 이용하면 사용자는 관리 Google 계정 사용자 인증 정보를 사용하여 모든 엔터프라이즈 클라우드 앱에 로그인할 수 있습니다. Google은 200개 이상의 인기 클라우드 앱에 사전 통합된 SSO를 제공합니다.
사전 통합된 카탈로그에 없는 맞춤 앱에 SAML 기반 SSO를 설정하려면 다음 단계를 따르세요.
나만의 맞춤 SAML 앱 설정하기
1단계: 맞춤 SAML 앱 추가하기
-
-
관리 콘솔에서 메뉴
앱
웹 및 모바일 앱으로 이동합니다.
- 앱 추가
맞춤 SAML 앱 추가를 클릭합니다.
앱 이름을 입력하고 필요한 경우 앱 아이콘을 업로드합니다. 앱 아이콘은 웹 및 모바일 앱 목록, 앱 설정 페이지, 앱 런처에 표시됩니다. 아이콘을 업로드하지 않으면 앱 이름의 처음 두 글자를 사용하여 아이콘이 만들어집니다. - 계속을 클릭합니다.
- Google ID 공급업체 세부정보 페이지에서 다음 옵션 중 하나를 사용하여 서비스 제공업체에서 필요로 하는 설정 정보를 가져옵니다.
- IDP 메타데이터를 다운로드합니다.
- SSO URL 및 엔티티 ID를 복사하고 인증서(또는 필요한 경우 SHA-256 디지털 지문)를 다운로드합니다.
- (선택사항) 적절한 SSO 구성 페이지에 정보를 입력하려면 별도의 브라우저 탭 또는 창에서 서비스 제공업체에 로그인하고 5단계에서 복사한 정보를 입력한 다음 관리 콘솔로 돌아갑니다.
- 계속을 클릭합니다.
- 이 필드 값은 서비스 제공업체에 문의하세요. 서비스 제공업체 세부정보 창에 다음을 입력합니다.
- ACS URL: 서비스 제공업체의 어설션 소비자 서비스 URL은 SAML 응답을 수신하며 https://로 시작해야 합니다.
- 엔티티 ID: 전역적으로 고유한 이름입니다.
- 시작 URL: (선택사항) SAML 요청에서 RelayState 매개변수를 설정하며 이는 인증 후 리디렉션할 URL이 될 수 있습니다.
- (선택사항) 서비스 제공업체에서 전체 SAML 인증 응답에 서명을 요구한다는 것을 표시하려면 '서명된 응답' 체크박스를 선택합니다. 이 체크박스가 선택 해제(기본값)되어 있으면 응답 내의 어설션만 서명됩니다.
- (선택사항) 맞춤 SAML 앱의 이름 ID 형식 및 이름 ID 값을 설정합니다. 기본 이름 ID는 기본 이메일입니다.
도움말: 카탈로그의 앱에 필요한 이름 ID 매핑은 SAML 앱 카탈로그의 설정 도움말을 확인하세요. 관리 콘솔 또는 Google Admin SDK API를 통해 맞춤 속성을 만들어 매핑할 수도 있습니다. - 계속을 클릭합니다.
- 필요한 경우 매핑 추가를 클릭하여 서비스 제공업체의 요구사항에 따라 사용자 속성을 매핑합니다.
참고: 전체 앱에 최대 총 1,500개의 속성을 정의할 수 있습니다. 앱마다 기본 속성이 하나씩 있으므로 속성 개수에는 기본 속성과 추가된 맞춤 속성이 포함됩니다.- Google 디렉터리 속성의 경우 필드 선택 메뉴를 클릭하고 필드 이름을 선택합니다. 일부 Google 디렉터리 속성은 드롭다운 목록에 제공되지 않습니다. 매핑하려는 속성(예: 관리자의 이메일)이 목록에 없는 경우 해당 속성을 맞춤 속성으로 추가하면 드롭다운 목록에 표시되어 선택할 수 있습니다.
- 앱 속성의 경우 맞춤 SAML 앱에 해당하는 속성을 입력합니다.
-
(선택사항) 이 앱과 관련된 그룹 이름을 입력하려면 다음 안내를 따르세요.
- 그룹 멤버십(선택사항)에서 그룹 검색을 클릭하고 그룹 이름의 글자를 하나 이상 입력한 다음 그룹 이름을 선택합니다.
- 필요한 경우 그룹을 더 추가합니다(최대 75개 그룹).
- 앱 속성에서 서비스 제공업체의 해당 그룹 속성 이름을 입력합니다.
입력한 그룹 이름 수와 상관없이 SAML 응답에는 사용자가 직속 또는 비직속 회원인 그룹만 포함됩니다. 자세한 내용은 그룹 멤버십 매핑에 관한 정보를 참고하세요.
- 마침을 클릭합니다.
맞춤 SAML 앱 추가를 클릭합니다.2단계: SAML 앱 사용 설정하기
-
-
관리 콘솔에서 메뉴
- SAML 앱을 선택합니다.
-
사용자 액세스를 클릭합니다.
-
조직의 모든 사용자에 대해 서비스를 사용 설정 또는 사용 중지하려면 모든 사용자에 대해 사용 또는 모든 사용자에 대해 사용 중지를 클릭한 다음 저장을 클릭합니다.
-
(선택사항) 조직 단위별로 서비스를 사용 또는 사용 중지하는 방법은 다음과 같습니다.
- 왼쪽에서 조직 단위를 선택합니다.
- 서비스 상태를 변경하려면 사용 또는 사용 중지를 선택합니다.
- 다음 중 하나를 선택합니다.
- 서비스 상태가 상속으로 설정되어 있고 상위 조직 설정이 변경되더라도 업데이트된 설정을 유지하려는 경우 재정의를 클릭합니다.
- 서비스 상태가 재정의로 설정되어 있는 경우 상속을 클릭하여 상위 조직과 동일한 설정으로 되돌리거나, 저장을 클릭하여 상위 조직의 설정이 변경되더라도 새 설정을 유지합니다.
참고: 조직 구조에 대해 자세히 알아보세요.
-
여러 조직 단위 간 또는 조직 단위 내에서 사용자에 대해 서비스를 사용 설정하려면 액세스 그룹을 선택합니다. 자세한 내용은 그룹에 대해 서비스 사용 설정하기를 참고하세요.
- 사용자가 SAML 앱에 로그인할 때 사용하는 이메일 주소가 Google 도메인에 로그인할 때 사용하는 이메일 주소와 일치하는지 확인합니다.
변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빠르게 적용됩니다. 자세히 알아보기
3단계: SSO가 맞춤 앱에서 작동하는지 확인하기
ID 공급업체에서 시작하는(IdP) SSO와 서비스 제공업체에서 시작하는(SP) SSO를 모두 테스트할 수 있습니다.
IdP에서 시작하는 SSO
-
-
관리 콘솔에서 메뉴
- 맞춤 SAML 앱을 선택합니다.
- 왼쪽 상단에서 Test SAML login(SAML 로그인 테스트)을 클릭합니다.
별도의 탭에서 앱이 열립니다. 앱이 열리지 않는 경우 SAML 앱 오류 메시지의 정보를 사용해 필요에 따라 IdP 및 SP 설정을 변경한 다음 SAML 로그인을 다시 테스트합니다.
SP에서 시작하는 SSO
- 새 SAML 앱의 SSO URL을 엽니다. Google 로그인 페이지로 자동 리디렉션됩니다.
- 사용자 이름과 비밀번호를 입력합니다.
로그인 사용자 인증 정보가 인증되면 리디렉션되어 새 SAML 앱으로 돌아갑니다.