인증서 순환 방법
SAML SSO 프로필에 두 개의 인증서를 업로드하면 Google은 두 인증서 중 하나를 사용하여 IdP의 SAML 응답을 확인할 수 있습니다. 이렇게 하면 IdP 측에서 만료되는 인증서를 안전하게 순환할 수 있습니다. 인증서가 만료되기 최소 24시간 전에 다음 단계를 따르세요.
- IdP에서 새 인증서를 만듭니다.
- 관리 콘솔에 인증서를 두 번째 인증서로 업로드합니다. 안내 사항은 SAML 프로필 만들기를 참고하세요.
- Google 사용자 계정이 새 인증서로 업데이트될 때까지 24시간을 기다립니다.
- 만료되는 인증서 대신 새 인증서를 사용하도록 IdP를 구성합니다.
- (선택사항) 사용자가 로그인할 수 있음을 확인한 후 관리 콘솔에서 이전 인증서를 삭제합니다. 나중에 필요에 따라 새 인증서를 업로드할 수 있습니다.
도메인별 서비스 URL 관리하기
도메인별 서비스 URL 설정을 사용하면 사용자가 서비스 URL(예: https://mail.google.com/a/example.com)을 사용하여 로그인할 때 발생하는 문제를 관리할 수 있습니다.
-
관리자 계정으로 Google 관리 콘솔에 로그인합니다.
관리자 계정을 사용하지 않으면 관리 콘솔에 액세스할 수 없습니다.
-
- 도메인별 서비스 URL을 클릭하여 설정을 엽니다.
다음 2가지 옵션이 있습니다.
- 사용자를 서드 파티 IdP로 리디렉션합니다. 이 사용자를 SSO 프로필 드롭다운 목록에서 선택한 타사 IdP로 항상 라우팅하려면 이 옵션을 선택합니다. 이는 조직의 SSO 프로필 또는 다른 타사 프로필(추가한 경우)일 수 있습니다.
중요: SSO를 사용하지 않는 조직 단위 또는 그룹이 있는 경우 이 설정을 선택하지 마세요. SSO를 사용하지 않는 사용자는 자동으로 IdP로 라우팅되고 로그인할 수 없게 됩니다.
- 사용자에게 Google 로그인 페이지에 사용자 이름을 입력하도록 요청합니다. 이 옵션을 사용하면 도메인별 URL을 입력한 사용자가 Google 로그인 페이지로 먼저 이동됩니다. SSO 사용자인 경우 IdP 로그인 페이지로 리디렉션됩니다.
네트워크 매핑 결과
네트워크 마스크는 CIDR(Classless Inter-Domain Routing, 클래스 없는 도메인 간 라우팅) 기호를 사용하여 표현되는 IP 주소입니다. CIDR은 IP 주소에 포함되어야 하는 비트 수를 지정합니다. 조직의 SSO 프로필은 네트워크 마스크를 사용하여 SSO 서비스에 제공할 IP 주소 또는 IP 주소 범위를 결정할 수 있습니다.
참고: 네트워크 마스크 설정의 경우 현재 도메인별 서비스 URL(예: service.google.com/a/example.com)만 SSO 로그인 페이지로 리디렉션됩니다.
각 네트워크 마스크는 올바른 형식을 사용해야 합니다. 다음 IPv6의 예에서 슬래시(/) 및 그 뒤의 숫자가 CIDR을 나타냅니다. 이 예에서 마지막 96비트는 고려되지 않으며 네트워크 범위에 있는 모든 IP 주소가 영향을 받습니다.
- 2001:db8::/32
IPv4의 예에서 마지막 8비트(예: 0)는 고려되지 않으며 64.233.187.0~64.233.187.255 범위에 있는 모든 IP 주소가 영향을 받습니다.
- 64.233.187.0/24
네트워크 마스크가 없는 도메인의 경우 최고 관리자가 아닌 사용자를 ID 공급업체(IdP)에 추가해야 합니다.
Google 서비스 URL 방문 시 SSO 사용자 환경다음 표에서는 네트워크 마스크가 있고 없음에 따라 Google 서비스 URL을 직접 방문할 때의 사용자 환경이 어떻게 다른지 보여줍니다.
| 네트워크 마스크가 없는 경우 | 최고 관리자 | 사용자 |
|---|---|---|
| service.google.com | Google 이메일 주소와 비밀번호를 입력하라는 메시지가 표시됩니다. | 이메일 주소를 입력하라는 메시지가 표시된 후 SSO 로그인 페이지로 리디렉션됩니다. |
| 네트워크 마스크가 있는 경우 | 최고 관리자 및 사용자 | |
| service.google.com | 이메일 주소와 비밀번호를 입력하라는 메시지가 표시됩니다. | |
| service.google.com /a/your_domain.com* (네트워크 마스크 내부) |
SSO 로그인 페이지로 리디렉션됩니다. | |
| service.google.com /a/your_domain.com (네트워크 마스크 외부) |
이메일 주소와 비밀번호를 입력하라는 메시지가 표시됩니다. | |
| accounts.google.com/ o/oauth2/v2/auth?login_hint= [email protected] |
login_hint URL 매개변수를 사용하여 Google의 OAuth 2.0 엔드포인트에 액세스하는 사용자는 SSO 로그인 페이지로 리디렉션됩니다. |
|
* 일부 서비스에서는 이 URL 패턴이 지원되지 않으며, 지원되는 서비스에는 Gmail, Drive 등이 있습니다.
- 도메인에 타사 IdP의 SSO가 있습니다.
- 도메인에 네트워크 마스크가 있습니다.
- 사용자가 타사 IdP를 통해 로그인했습니다('SSO 사용자/네트워크 매핑 매트릭스'의 표 참고).
- 사용자 세션이 Google 세션 제어 관리 콘솔 설정에 지정된 최대 허용 시간에 도달한 경우
- 관리 콘솔 또는 Admin SDK를 통해 관리자가 비밀번호를 변경하거나 사용자에게 다음 로그인 시 비밀번호를 변경하도록 요구하여 사용자 계정을 수정한 경우
사용자 환경
사용자가 타사 IdP에서 세션을 시작하면 세션이 삭제되고 사용자는 Google 로그인 페이지로 리디렉션됩니다.
타사 IdP에서 Google 세션을 시작했기 때문에 사용자가 계정에 다시 액세스하기 위해 Google에 로그인해야 하는 이유를 이해하지 못할 수 있습니다. 사용자가 다른 Google URL로 이동하는 경우에도 Google 로그인 페이지로 리디렉션될 수 있습니다.
활성 사용자 세션 종료 과정이 포함된 점검을 계획하고 있는 경우 사용자의 혼란을 막기 위해 사용자에게 세션에서 로그아웃한 후 점검이 완료될 때까지 로그아웃 상태를 유지하도록 안내합니다.
사용자 복구
활성 세션이 종료되어 사용자가 Google 로그인 페이지를 보게 되는 경우 다음 중 하나를 수행하여 계정에 다시 액세스할 수 있습니다.
- '실수로 이 페이지로 이동한 경우 여기를 클릭하여 로그아웃한 다음 다시 로그인해 보세요'라는 메시지가 표시되는 경우, 사용자는 메시지의 링크를 클릭할 수 있습니다.
- 사용자에게 해당 메시지나 링크가 표시되지 않는 경우 https://accounts.google.com/logout으로 이동하여 로그아웃했다가 다시 로그인합니다.
- 사용자는 브라우저 쿠키를 삭제할 수 있습니다.
이와 같은 복구 방법 중 하나를 사용하면 Google 세션이 완전히 종료되고 로그인이 가능해 집니다.
SSO에서 2단계 인증 설정하기
-
관리자 계정으로 Google 관리 콘솔에 로그인합니다.
관리자 계정을 사용하지 않으면 관리 콘솔에 액세스할 수 없습니다.
-
- 왼쪽에서 정책을 설정할 조직 단위를 선택합니다.
모든 사용자에 설정을 적용하려는 경우에는 최상위 조직 단위를 선택하고, 처음에는 조직 단위에 상위 조직 단위의 설정이 상속됩니다.
- 사후 SSO 인증을 클릭합니다.
- 조직에서 SSO 프로필을 사용하는 방법에 따라 설정을 선택합니다. 기존 SSO 프로필을 사용하는 사용자 및 다른 SSO 프로필을 사용하여 로그인하는 사용자에게 설정을 적용할 수 있습니다.
- 오른쪽 하단에서 저장을 클릭합니다.
Google에서는 관리자 감사 로그에 정책 변경 사항을 나타내는 항목을 만듭니다.
기본 사후 SSO 인증 설정은 SSO 사용자 유형에 따라 다릅니다.
- 기존 SSO 프로필을 사용하여 로그인하는 사용자의 경우 기본 설정은 추가 본인 확인 요청 및 2단계 인증을 우회하는 것입니다.
- SSO 프로필을 사용하여 로그인하는 사용자의 경우 기본 설정은 추가적인 본인 확인 요청 및 2단계 인증을 적용하는 것입니다.