Google에서는 Google Cloud 애플리케이션에서 사용자를 인증하는 데 다음과 같은 사용자 인증 방법을 제공합니다.
인증 서비스 | 요약 |
---|---|
Identity Platform(권장) | 비밀번호, 전화번호, Google, Facebook, Twitter와 같은 인기 ID 공급업체, SAML 또는 OpenID Connect 프로토콜을 지원하는 공급업체를 사용하여 사용자를 인증합니다. 다중 인증(MFA), OIDC 및 SAML SSO 지원, 멀티테넌시, 99.95% SLA 등의 엔터프라이즈 기능을 제공합니다. 새 프로젝트를 시작할 때 권장되는 방법으로 Identity Platform의 기능은 물론 Firebase 인증의 기존 기능도 사용할 수 있습니다. |
Firebase 인증 | Google, Facebook, Twitter를 포함한 다양한 인증 옵션을 사용하여 사용자를 인증합니다. Firebase 인증은 가장 적은 수의 코드를 유지하면서 가장 많은 사용자 수를 지원합니다. 가장 적은 단계로 솔루션을 배포하는 데 권장되는 방법입니다. |
웹용 Google ID 서비스 | Gmail 및 Google Workspace에서 Google 사용자 계정을 사용하여 사용자를 인증합니다. Google 전용 계정을 지원하거나 기존 로그인 시스템에서 Google 계정을 지원하는 데 권장되는 방법입니다. |
OAuth 2.0 및 OpenID Connect | Google을 포함하여 선택한 제공업체의 제휴 ID를 제공합니다. 사용자 인증 프로토콜을 직접 빌드하려는 경우에 권장되는 방법입니다. |
IAP(Identity-Aware Proxy) | App Engine 앱 위에 Identity and Access Management(IAM) 확인 레이어를 추가하여 인증을 제공합니다. IAP를 사용하면 요청이 애플리케이션 리소스에 도달하기 전에 App Engine 서비스에 대한 액세스를 제어할 수 있습니다. 따라서 IAP를 동일한 Google Cloud 프로젝트 내 활동에서 보호하는 데 적합하지 않습니다. Google 계정 및 IAM을 사용하여 사용자 액세스를 제어하려는 경우 권장되는 방법입니다. |
Users API | Google 및 Google Workspace 계정을 사용하는 사용자를 인증합니다. App Engine 사용자 서비스는 기존 번들 서비스를 통해서만 액세스할 수 있습니다. |
Identity Platform
Identity Platform은 조직에서 사용자 가입 및 로그인에 대한 ID 및 인증을 맞춤설정할 수 있게 해주는 고객 ID 및 액세스 관리(CIAM) 플랫폼입니다. Identity Platform은 다양한 인증 방법(SAML, OIDC, 이메일/비밀번호, 소셜, 전화번호, 커스텀 인증)을 지원하여 모든 ID 솔루션을 위한 유연한 통합 옵션을 제공합니다. Identity Platform은 Google Cloud의 전 세계적인 규모, 성능, 네트워크, 보안을 토대로 구축되었으며 거의 모든 앱 또는 서비스의 요구를 충족하는 엔터프라이즈급 지원과 SLA를 제공합니다.
이 솔루션은 안정적인 엔터프라이즈급 기능과 SLA를 기반으로 유연한 인증 옵션을 원하는 대부분의 사용자에게 가장 적합합니다.
Identity Platform은 자체 사용자 ID 시스템을 제공합니다. 도메인에 이미 Google Workspace를 사용하고 있고 해당 로그인을 바탕으로 사용자를 인증하려는 경우 웹용 Google ID 서비스를 사용해야 합니다.
Identity Platform을 App Engine과 통합하는 방법은 App Engine에서 사용자 로그인에 대한 안내 가이드를 참조하세요.
Firebase 인증
Firebase 인증은 사용자 가입 및 로그인에 사용되는 맞춤설정 가능한 삽입형 ID 및 인증 서비스를 제공합니다. Identity Platform과 마찬가지로 Firebase 인증은 여러 인증 방법(SAML, OIDC, 이메일/비밀번호, 소셜, 모바일, 커스텀 인증)을 지원하여 모든 ID 솔루션에 유연한 통합 옵션을 제공합니다.
Firebase 인증은 특정 엔터프라이즈 기능이 없다는 점에서 Identity Platform과 다릅니다. 자세한 내용은 Identity Platform과 Firebase 인증의 차이점을 참조하세요.
App Engine 앱에 대한 사용자 인증을 설정하는 가장 간단한 방법을 원하는 경우 이 솔루션이 가장 적합합니다. 많은 사용자에게 Firebase 인증은 인증을 구현하거나 테스트하는 가장 빠른 방법입니다.
Firebase 인증에 대한 자세한 내용은 다음을 참조하세요.
Firebase 웹 튜토리얼은 Google을 ID 공급업체로 사용한 사용자 로그인을 포함하여 웹사이트에서 Firebase를 사용하는 방법을 설명합니다.
Firebase 빠른 시작 앱은 제휴 로그인과 사용자 이름/비밀번호 로그인 예를 모두 사용하여 여러 플랫폼에 Firebase를 통합하는 방법을 보여줍니다. 샘플을 통해 JavaScript SDK, iOS, Android를 사용하는 Firebase 인증을 설명합니다.
웹용 Google ID 서비스
웹용 Google ID 서비스는 OAuth 2.0 및 OpenID Connect 프로토콜을 기반으로 구축된 Google용 로그인 클라이언트 라이브러리입니다. 웹사이트 또는 앱에 표시되는 Google계정으로 로그인 버튼을 제공하여 쉽고 빠르게 로그인할 수 있습니다.
이 솔루션은 Google 계정을 기반으로 사용자를 인증하거나 도메인에 Google 관리 콘솔을 사용하는 경우에 가장 적합합니다.
OAuth 2.0 및 OpenID Connect
OpenID Connect는 OAuth 2.0 프로토콜 기반의 ID 레이어입니다. Google은 OpenID Connect 사양을 준수하고 OpenID 인증을 받은 OAuth 2.0 구현을 제공합니다. 이외에도 여러 다른 공급업체가 있습니다.
이 솔루션은 인증 구현을 완전히 맞춤설정하고 제어하려는 경우에 가장 적합합니다.
자세한 내용은 OpenID Connect를 참조하세요.
IAP(Identity-Aware Proxy)
앱 내에서 인증을 구현하는 다른 인증 옵션과 달리 IAP는 리소스 앞에 IAM 인증 및 승인 레이어를 추가하여 애플리케이션을 보호합니다. 이 레이어는 앱에 도달하기 전에 인바운드 외부 요청을 확인합니다. 앱에 대한 액세스가 승인되지 않은 사용자는 App Engine 앱에 액세스할 수 없습니다.
전체 앱 또는 앱의 특정 서비스나 버전에 IAP를 사용 설정할 수 있습니다. IAP로 보호되는 서비스 또는 애플리케이션은 올바른 IAM 역할이 있는 주 구성원만 액세스할 수 있습니다. 사용자가 IAP 보안 리소스에 액세스하려고 시도하면 IAP가 인증 및 승인 검사를 수행합니다. IAP 개요에서 IAP가 애플리케이션 리소스를 보호하는 방법을 알아보세요.
IAP는 한 App Engine 서비스가 동일한 프로젝트의 다른 서비스에 액세스하는 등 프로젝트 내의 활동에 대한 보호를 제공하지 않습니다.
이 솔루션은 Google 사용자 계정 및 IAM을 사용하여 사용자 액세스를 승인하려는 경우에 가장 적합합니다.
App Engine 리소스에 대해 IAP를 구성하는 방법은 IAP 빠른 시작을 참조하세요.
Users API
Users API를 사용하면 App Engine 앱에서 다음 태스크를 수행할 수 있습니다.
- 현재 사용자가 Google 계정을 사용하여 로그인했는지 여부를 감지합니다.
- 로그인을 위해 사용자를 적절한 로그인 페이지로 리디렉션
- 사용자에게 Google 계정이 없는 경우 새 Google 계정을 만들도록 요청합니다.
사용자가 애플리케이션에 로그인되어 있는 동안 앱은 사용자의 이메일 주소에 액세스할 수 있습니다. 또한 현재 사용자가 관리자인지 여부를 감지하여 앱의 관리자 전용 영역을 쉽게 구현할 수 있도록 합니다.
이 솔루션은 1세대 런타임에서 2세대 런타임으로 기존 앱을 업그레이드하고 Users API를 계속 사용하려는 경우에 효과적입니다. 나중에 Cloud Run 또는 다른 Google Cloud 앱 호스팅 플랫폼으로 이전할 수 있는 유연성을 원하는 경우 최신 사용자 인증 솔루션으로 마이그레이션하는 것이 좋습니다.
Users API 통합에 대한 자세한 내용은 Users API 개요를 참조하세요.
다른 인증 서비스
Auth0은 다양한 ID 공급업체 및 싱글 사인온(SSO) 기능을 사용하는 인증을 제공합니다.