SSO 설정하기

Google을 서비스 제공업체로 하여 조직의 필요에 맞도록 다양한 방법으로 SSO를 설정할 수 있습니다. Google Workspace는 SAML 기반 및 OIDC 기반 SSO를 모두 지원합니다.

IdP 설정을 포함하는 SSO 프로필을 사용하면 조직의 여러 사용자에게 다양한 SSO 설정을 유연하게 적용할 수 있습니다. SAML 기반 프로필, 맞춤 OIDC 프로필을 만들거나 구성이 필요 없는 기본 Microsoft Entra OIDC 프로필을 사용합니다.
SSO 프로필을 만든 후 조직 단위 또는 그룹에 프로필을 할당하여 사용자의 IdP를 설정합니다. 특정 조직 단위 또는 그룹에 대해 SSO를 사용 중지할 수도 있습니다.

사용자가 도메인별 서비스 URL을 사용하여 Google 서비스(예: https://mail.google.com/a/example.com)에 액세스하는 경우 관리자는 이러한 URL이 SSO와 작동되는 방식을 관리할 수도 있습니다.

조직에 IP 주소를 기반으로 한 조건부 SSO 리디렉션 또는 최고 관리자를 위한 SSO가 필요한 경우 기존 SSO 프로필을 구성할 수도 있습니다.

SAML을 사용하여 SSO 설정하기

시작하기 전에

SAML SSO 프로필을 설정하려면 다음과 같이 IdP 지원팀 또는 문서의 몇 가지 기본 구성이 필요합니다.

로그인 페이지 URL: SSO URL 또는 SAML 2.0 엔드포인트(HTTP)라고도 하며, 여기에서 사용자가 IdP에 로그인합니다.
로그아웃 페이지 URL: 사용자가 Google 앱 또는 서비스를 종료한 후 이동되는 페이지입니다.
비밀번호 변경 URL: SSO 사용자가 Google에서 비밀번호를 변경하지 않고 이 페이지로 이동하여 비밀번호를 변경하게 됩니다.
인증서 : IdP의 X.509 PEM 인증서입니다. 인증서에는 IdP의 로그인을 확인하는 공개 키가 포함되어 있습니다.

인증서 요구사항

인증서는 공개 키가 삽입된 PEM 또는 DER 형식의 X.509 인증서여야 합니다.
공개 키는 DSA 또는 RSA 알고리즘으로 생성되어야 합니다.
인증서의 공개 키는 SAML 응답에 서명하는 데 사용된 비공개 키와 일치해야 합니다.

일반적으로 IdP에서 이러한 인증서를 받게 되지만 직접 생성할 수도 있습니다.

SAML SSO 프로필 만들기

서드 파티 SSO 프로필을 만들려면 다음 단계를 따르세요. 조직에 최대 1,000개의 프로필을 만들 수 있습니다.

관리자 계정으로 Google 관리 콘솔에 로그인합니다.
관리자 계정을 사용하지 않으면 관리 콘솔에 액세스할 수 없습니다.
메뉴 보안 > 인증 > 서드 파티 IdP를 통한 SSO를 확인하세요.
보안 설정 관리자 권한이 필요합니다.
서드 파티 SSO 프로필에서 SAML 프로필 추가를 클릭합니다.
프로필 이름을 입력합니다.
(선택사항) IdP의 XML 메타데이터 파일이 있는 경우 XML 파일 업로드를 클릭하여 IdP 정보를 제공한 다음 8단계로 진행합니다.
로그인 페이지 URL 및 IdP에서 제공하는 기타 정보를 입력합니다.
IdP의 비밀번호 변경 URL을 입력합니다. 사용자는 Google 비밀번호 변경 페이지가 아닌 이 URL로 이동하여 비밀번호를 재설정하게 됩니다.
Upload certificate(인증서 업로드)를 클릭하여 인증서 파일을 업로드합니다.
최대 두 개의 인증서를 업로드하여 필요한 경우 인증서를 교체할 수 있습니다.
저장을 클릭합니다.
SP 세부정보 섹션에서 엔티티 ID 및 ACS URL을 복사하여 저장합니다. IdP 관리자 제어판에서 Google을 통한 SSO를 구성하려면 이 값이 필요합니다.
(선택사항) IdP가 암호화 어설션을 지원하는 경우 인증서를 생성하고 IdP와 공유하여 암호화를 사용 설정할 수 있습니다. 각 SAML SSO 프로필에는 최대 2개의 SP 인증서를 포함할 수 있습니다.
1. SP 세부정보 섹션을 클릭하여 수정 모드로 전환합니다.
2. SP 인증서에서 인증서 생성을 클릭합니다. 인증서를 저장하면 표시됩니다.
3. 저장을 클릭합니다. 인증서 이름, 만료일, 콘텐츠가 표시됩니다.
4. 인증서 위에 있는 버튼을 사용하여 인증서 콘텐츠를 복사하거나 파일로 다운로드한 다음 인증서를 IdP와 공유합니다.
5. (선택사항) 인증서를 교체해야 하는 경우 SP 세부정보로 돌아가 다른 인증서 생성을 클릭한 다음 새 인증서를 IdP와 공유합니다. IdP에서 새 인증서를 사용하고 있음을 확인한 후에는 원본 인증서를 삭제할 수 있습니다.

IdP 구성하기

이 SSO 프로필을 사용하도록 IdP를 구성하려면 프로필의 서비스 제공업체(SP) 세부정보 섹션에 있는 정보를 IdP SSO 설정의 해당 입력란에 입력합니다. ACS URL과 엔티티 ID는 모두 이 프로필에 고유합니다.

기존 SSO 프로필 구성하기

기존 SSO 프로필은 SSO 프로필로 이전하지 않은 사용자에게 지원되지만 단일 IdP를 사용하는 경우에만 지원됩니다.

관리자 계정으로 Google 관리 콘솔에 로그인합니다.
관리자 계정을 사용하지 않으면 관리 콘솔에 액세스할 수 없습니다.
메뉴 보안 > 인증 > 서드 파티 IdP를 통한 SSO를 확인하세요.
보안 설정 관리자 권한이 필요합니다.
서드 파티 SSO 프로필에서 SAML 프로필 추가를 클릭합니다.
IdP 세부정보 페이지 하단에서 기존 SSO 프로필 설정으로 이동을 클릭합니다.
기존 SSO 프로필 페이지에서 서드 파티 ID 공급업체를 통한 SSO 사용 설정 체크박스를 선택합니다.
다음과 같이 IdP 정보를 입력하세요.
- IdP의 로그인 페이지 URL 및 로그아웃 페이지 URL을 입력합니다.
  참고: 모든 URL을 입력해야 하고 HTTPS를 사용해야 합니다(예: https://sso.example.com).
- 인증서 업로드를 클릭하고 IdP에서 제공하는 X.509 인증서를 찾아 업로드합니다. 자세한 내용은 인증서 요구사항을 참고하세요.
- Google의 SAML 요청에 도메인별 발급기관을 사용할지 선택합니다.
  IdP를 통해 SSO를 사용하는 도메인이 여러 개 있는 경우, 도메인별 발급기관을 사용하여 SAML 요청을 발행하는 올바른 도메인을 식별합니다.
  - 선택됨: Google은 도메인별 발급기관(google.com/a/example.com, 여기에서 example.com은 기본 Google Workspace 도메인 이름)을 전송합니다.
  - 선택 해제됨 Google은 SAML 요청에 표준 발급기관(google.com)을 전송합니다.
- (선택사항) 특정 IP 주소 범위 내의 사용자에게 SSO를 적용하려면 네트워크 마스크를 입력합니다. 자세한 내용은 네트워크 매핑 결과를 참고하세요.
  참고: 특정 조직 단위 또는 그룹에 SSO 프로필을 할당하여 부분 SSO를 설정할 수도 있습니다.
- IdP의 비밀번호 변경 URL을 입력합니다. 사용자는 Google 비밀번호 변경 페이지가 아닌 이 URL로 이동하여 비밀번호를 재설정하게 됩니다.
  참고: 여기에 URL을 입력하면 조직에서 SSO를 사용 설정하지 않은 경우에도 사용자에게 이 페이지가 표시됩니다.
저장을 클릭합니다.

저장하면 기존 SSO 프로필이 SSO 프로필 표에 나열됩니다.

IdP 구성하기

이 SSO 프로필을 사용하도록 IdP를 구성하려면 프로필의 서비스 제공업체(SP) 세부정보 섹션에 있는 정보를 IdP SSO 설정의 해당 입력란에 입력합니다. ACS URL과 엔티티 ID는 모두 이 프로필에 고유합니다.

	형식
ACS URL	https://accounts.google.com/a/{domain.com}/acs {domain.com}은 조직의 Workspace 도메인 이름입니다.
엔티티 ID	다음 중 하나입니다. google.com google.com/a/customerprimarydomain(기존 프로필을 구성할 때 도메인별 발급기관을 사용하도록 선택한 경우)

기존 SSO 프로필 사용 중지하기

서드 파티 SSO 프로필 목록에서 기존 SSO 프로필을 클릭합니다.
기존 SSO 프로필 설정에서 서드 파티 ID 공급업체를 통한 SSO 사용 설정을 선택 해제합니다.
계속 진행할지 확인한 다음 저장을 클릭합니다.

SSO 프로필 목록에서 기존 SSO 프로필이 사용 중지됨으로 표시됩니다.

기존 SSO 프로필이 할당된 조직 단위에는 할당된 프로필 열에 알림이 표시됩니다.
최상위 조직 단위의 할당된 프로필 열에는 없음이 표시됩니다.
SSO 프로필 할당 관리에서 기존 SSO 프로필이 비활성으로 표시됩니다.

기존 SAML에서 SSO 프로필로 이전하기

조직에서 기존 SSO 프로필을 사용하는 경우 SSO 프로필로 이전하여 OIDC 지원, 더 최신 API, 사용자 그룹에 대한 SSO 설정을 더 유연하게 적용하는 등 여러 이점을 활용하는 것이 좋습니다. 자세히 알아보기

OIDC로 SSO 설정하기

OIDC 기반 SSO를 사용하려면 다음 단계를 따르세요.

OIDC 옵션 선택: OIDC 파트너에 대한 정보를 제공하는 맞춤 OIDC 프로필 만들기 또는 사전 구성된 Microsoft Entra OIDC 프로필을 사용합니다.
선택한 조직 단위 또는 그룹에 사전 구성된 OIDC 프로필을 할당하려면 SSO를 사용해야 하는 사용자 결정하기의 단계를 따르세요.

조직 단위(예: 하위 조직 단위)에 SSO가 필요하지 않은 사용자가 있다면 할당을 사용하여 해당 사용자에 대해 SSO를 사용 중지할 수도 있습니다.

참고: 현재 Google Cloud 명령줄 인터페이스는 OIDC를 통한 재인증을 지원하지 않습니다.

시작하기 전에

맞춤 OIDC 프로필을 설정하려면 다음과 같이 IdP 지원팀 또는 도움말에서 제공되는 몇 가지 기본 구성이 필요합니다.

발급기관 URL: IdP 승인 서버의 전체 URL입니다.
클라이언트 ID로 식별되고 클라이언트 보안 비밀번호로 인증되는 OAuth 클라이언트입니다.
비밀번호 변경 URL: SSO 사용자가 Google에서 비밀번호를 변경하지 않고 이 페이지로 이동하여 비밀번호를 변경하게 됩니다.

또한 Google에서 다음을 수행하려면 IdP가 필요합니다.

IdP의 이메일 클레임은 Google 측의 사용자 기본 이메일 주소와 일치해야 합니다.
승인 코드 플로우를 사용해야 합니다.

맞춤 OIDC 프로필 만들기

관리자 계정으로 Google 관리 콘솔에 로그인합니다.
관리자 계정을 사용하지 않으면 관리 콘솔에 액세스할 수 없습니다.
메뉴 보안 > 인증 > 서드 파티 IdP를 통한 SSO를 확인하세요.
보안 설정 관리자 권한이 필요합니다.
서드 파티 SSO 프로필에서 OIDC 프로필 추가를 클릭합니다.
OIDC 프로필의 이름을 지정합니다.
OIDC 세부정보(클라이언트 ID, 발급기관 URL, 클라이언트 보안 비밀번호)를 입력합니다.
저장을 클릭합니다.
새 프로필의 OIDC SSO 설정 페이지에서 리디렉션 URI를 복사합니다. 이 URI를 사용하여 요청에 응답하려면 IdP에서 OAuth 클라이언트를 업데이트해야 합니다.

설정을 수정하려면 OIDC 세부정보 위로 마우스를 가져간 다음 수정 을 클릭합니다.

Microsoft Entra OIDC 프로필 사용하기

조직의 Microsoft Entra ID 테넌트에서 OIDC의 다음 기본 요건을 구성했는지 확인합니다.

Microsoft Entra ID 테넌트는 도메인 인증을 거쳐야 합니다.
최종 사용자는 Microsoft 365 라이선스가 있어야 합니다.
SSO 프로필을 할당하는 Google Workspace 관리자의 사용자 이름(기본 이메일)은 Azure AD 테넌트 관리자 계정의 기본 이메일 주소와 일치해야 합니다.

SSO를 사용해야 하는 사용자 결정하기

SSO 프로필 및 연결된 IdP를 할당하여 조직 단위 또는 그룹에 SSO를 사용 설정하거나 SSO 프로필에 '없음'을 할당하여 SSO를 사용 중지합니다. 조직 단위 또는 그룹 내에 혼합 SSO 정책을 적용할 수도 있습니다. 예를 들어 조직 단위 전체에는 SSO를 사용 설정하고 하위 조직 단위에는 사용 중지할 수 있습니다.

아직 프로필을 만들지 않았다면 계속하기 전에 프로필을 만드세요. 또는 사전 구성된 OIDC 프로필을 할당할 수 있습니다.

SSO 프로필 할당 관리를 클릭합니다.
SSO 프로필을 처음 할당하는 경우 '시작하기'를 클릭합니다. 그렇지 않으면 할당 관리를 클릭합니다.
왼쪽에서 SSO 프로필을 할당할 조직 단위 또는 그룹을 선택합니다.
- 조직 단위 또는 그룹의 SSO 프로필 할당이 도메인 전체 프로필 할당과 다른 경우 해당 조직 단위 또는 그룹을 선택하면 재정의 경고가 표시됩니다.
- 사용자별로 SSO 프로필을 할당할 수는 없지만 사용자 뷰에서 특정 사용자의 설정을 확인할 수 있습니다.
선택한 조직 단위 또는 그룹의 SSO 프로필 할당을 선택합니다.
- 조직 단위 또는 그룹을 SSO에서 제외하려면 없음을 선택합니다. SSO에서 제외된 조직 단위 또는 그룹의 사용자는 Google에서 직접 로그인하게 됩니다.
- 조직 단위 또는 그룹에 다른 IdP를 할당하려면 다른 SSO 프로필을 선택한 다음 드롭다운 목록에서 SSO 프로필을 선택합니다.
(SAML SSO 프로필만 해당) SAML 프로필을 선택한 후 SSO 프로필의 서드 파티 IdP에 먼저 로그인하지 않고 Google 서비스로 바로 이동하는 사용자를 위한 로그인 옵션을 선택합니다. 사용자에게 Google 사용자 이름을 입력하라는 메시지를 표시한 다음 IdP로 리디렉션하거나 사용자에게 Google 사용자 이름과 비밀번호를 입력하도록 요구할 수 있습니다.
참고: 사용자가 Google 사용자 이름 및 비밀번호를 입력하도록 선택하면 이 SAML SSO 프로필의 비밀번호 URL 변경 설정(SSO 프로필 > IDP 세부정보에서 확인 가능)은 무시됩니다. 이렇게 하면 사용자가 필요에 따라 Google 비밀번호를 변경할 수 있습니다.
저장을 클릭합니다.
(선택사항) 필요에 따라 다른 조직 단위 또는 그룹에 SSO 프로필을 할당합니다.

SSO 프로필 할당 관리 카드를 닫으면 SSO 프로필 할당 관리 섹션에 조직 단위 및 그룹의 업데이트된 할당이 표시됩니다.

SSO 프로필 할당 삭제하기

그룹 또는 조직 단위 이름을 클릭하여 프로필 할당 설정을 엽니다.
기존 할당 설정을 상위 조직 단위 설정으로 바꿉니다.
- 조직 단위 할당의 경우 상속을 클릭합니다.
- 그룹 할당의 경우 설정 취소를 클릭합니다.

참고: 프로필이 '없음'으로 설정되어 있더라도 최상위 조직 단위는 항상 프로필 할당 목록에 표시됩니다.

추가 정보

_{Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.}

도움이 되었나요?

어떻게 하면 개선할 수 있을까요?