Cloud ID 및 Google Workspace를 사용하면 회사 ID를 관리하고 Google 서비스에 대한 액세스를 제어할 수 있습니다. Cloud ID 및 Google Workspace가 제공하는 기능을 활용하려면 먼저 기존 ID와 새 ID를 Cloud ID 또는 Google Workspace에 온보딩해야 합니다. 온보딩에는 다음 단계가 포함됩니다.
- Cloud ID 또는 Google Workspace 계정을 준비합니다.
- 외부 ID 공급업체(IdP)를 사용하기로 결정한 경우 페더레이션을 설정합니다.
- 회사 ID를 위한 사용자 계정을 만듭니다.
- 기존 사용자 계정을 통합합니다.
이 문서를 사용하여 이와 같은 단계에 어떤 순서로 접근하는 것이 가장 좋은지 평가하세요.
온보딩 계획 선택
온보딩 계획을 선택할 때는 다음과 같은 중요한 결정을 고려하세요.
대상 아키텍처를 선택합니다. 가장 중요한 것은 Google을 기본 IdP로 사용할지 외부 IdP를 사용하는 것을 선호하는지 결정해야 한다는 것입니다.
아직 결정하지 않았다면 참조 아키텍처 개요에서 가능한 옵션에 대해 자세히 알아보세요.
기존 일반 계정을 마이그레이션할지 여부를 결정합니다. Cloud ID 또는 Google Workspace를 사용하지 않는 조직에서는 직원들이 일반 계정을 사용하여 Google 서비스에 액세스하고 있을 수 있습니다. 이러한 사용자 계정과 데이터를 유지하려면 Cloud ID 또는 Google Workspace로 마이그레이션해야 합니다.
일반 계정, 일반 계정 식별 방법, 조직의 위험에 대한 자세한 내용은 기존 사용자 계정 평가를 참조하세요.
외부 IdP를 사용하고 기존 일반 계정을 마이그레이션하기로 결정했다면 세 번째 결정을 내려야 합니다. 즉, 페더레이션을 먼저 설정할지 기존 사용자 계정을 먼저 마이그레이션할지 결정해야 합니다. 다음 요소를 고려하세요.
일반 계정을 마이그레이션하려면 소유자의 동의가 필요합니다. 마이그레이션해야 하는 사용자 계정이 많을수록 영향을 받는 모든 계정 소유자의 동의를 받는 데 걸리는 시간이 길어집니다.
마이그레이션할 일반 계정이 100개 이상이라면 기존 일반 계정을 마이그레이션하기 전에 페더레이션을 설정하는 것이 좋습니다. 페더레이션을 먼저 설정하면 모든 새 ID와 마이그레이션된 각 사용자 계정이 싱글 사인온(SSO), 2단계 인증, Cloud ID와 Google Workspace에서 제공하는 기타 보안 기능을 즉시 활용할 수 있습니다. 따라서 페더레이션을 설정하면 전체 보안 상태를 빠르게 개선할 수 있습니다.
하지만 페더레이션을 먼저 설정하려면 기존 사용자 계정의 마이그레이션이 여전히 가능하도록 ID 공급업체를 구성해야 합니다. 이 구성 때문에 전체 설정의 복잡성이 증가할 수 있습니다.
마이그레이션할 일반 계정이 100개 미만이라면 이러한 사용자 계정의 마이그레이션 프로세스가 상당히 빠를 것으로 예상할 수 있습니다. 이 경우 페더레이션을 설정하기 전에 기존 사용자 계정을 마이그레이션하는 것이 좋습니다. 사용자 계정 마이그레이션을 먼저 완료하면 기존 사용자 계정의 마이그레이션이 여전히 가능하도록 ID 공급업체를 구성해야 하는 추가적인 복잡성을 피할 수 있습니다.
하지만 페더레이션 설정을 지연하면 전체 보안 상태를 개선하는 프로세스가 느려질 수 있습니다.
다음 다이어그램은 최적의 온보딩 계획을 선택하는 방법을 요약한 것입니다.
이 다이어그램은 온보딩 계획을 선택하기 위한 다음 결정 경로를 보여줍니다.
- Google을 IdP로 사용하는 경우 계획 1을 선택합니다.
- Google을 IdP로 사용하고 있지 않고 기존 계정을 마이그레이션하지 않으려면 계획 2를 선택합니다.
- 다음 시나리오에서는 계획 3을 선택합니다.
- Google을 IdP로 사용하고 있지 않습니다.
- 기존 계정을 마이그레이션하려고 합니다.
- 페더레이션을 먼저 설정하려고 합니다.
- 다음 시나리오에서는 계획 4를 선택합니다.
- Google을 IdP로 사용하고 있지 않습니다.
- 기존 계정을 마이그레이션하려고 합니다.
- 페더레이션을 먼저 설정하고 싶지 않습니다.
온보딩 계획
이 섹션에서는 이전 섹션에서 설명한 시나리오에 해당하는 온보딩 계획을 설명합니다.
계획 1: 페더레이션 없음
다음 사항이 모두 해당되는 경우 이 계획을 사용하는 것이 좋습니다.
- Google을 기본 IdP로 사용하려고 합니다.
- 기존 사용자 계정을 Cloud ID 또는 Google Workspace로 마이그레이션해야 할 수 있습니다.
다음 다이어그램은 이 계획에 필요한 프로세스와 단계를 보여줍니다.
필요한 Cloud ID 또는 Google Workspace 계정을 설정합니다.
사용할 적절한 Cloud ID 또는 Google Workspace 계정 수를 확인하려면 계정 및 조직 계획을 위한 권장사항을 참조하세요. 계정을 만드는 방법과 참여해야 하는 이해관계자에 대한 자세한 내용은 Cloud ID 또는 Google Workspace 계정 준비를 참조하세요.
온보딩하려는 ID 중 일부에 기존 일반 계정이 포함된 경우 이러한 ID의 사용자 계정을 Cloud ID나 Google Workspace에 만들면 중복 계정이 생길 수 있습니다.
실수로 중복 계정을 만들 위험을 최소화하려면 소규모의 초기 ID 집합만 사용자 계정을 만드세요. 이런 계정은 API나 일괄 업로드를 사용하는 대신 관리 콘솔을 사용하여 만드는 것이 좋습니다. 중복 계정 생성이 예상되면 관리 콘솔에서 경고하기 때문입니다.
기존 사용자 계정을 통합하는 프로세스를 시작합니다. 이를 수행하는 방법과 참여해야 할 이해관계자에 대한 자세한 내용은 기존 사용자 계정 통합을 참조하세요.
마지막으로 온보딩해야 하는 나머지 모든 ID의 사용자 계정을 만듭니다. 관리 콘솔을 사용하여 수동으로 계정을 만들 수 있습니다. 많은 ID를 온보딩하는 경우 다음 대안을 고려하세요.
- CSV 파일을 사용하여 사용자를 일괄 생성합니다.
- Google Apps Manager(GAM) 같은 오픈소스 도구를 사용하여 사용자 및 그룹 만들기를 자동화합니다.
- Directory API를 사용합니다.
계획 2: 사용자 계정 통합 없는 페더레이션
다음 사항이 모두 해당되는 경우 이 계획을 사용하는 것이 좋습니다.
- 외부 IdP를 사용하려고 합니다.
- 기존 사용자 계정을 마이그레이션할 필요가 없습니다.
다음 다이어그램은 이 계획에 필요한 프로세스와 단계를 보여줍니다.
필요한 Cloud ID 또는 Google Workspace 계정을 설정합니다.
사용할 적절한 Cloud ID 또는 Google Workspace 계정 수를 확인하려면 계정 및 조직 계획을 위한 권장사항을 참조하세요. 계정을 만드는 방법과 이 프로세스에 참여해야 하는 이해관계자에 대한 자세한 내용은 Cloud ID 또는 Google Workspace 계정 준비를 참조하세요.
외부 IdP와의 페더레이션을 설정합니다. 일반적으로 이는 자동 사용자 계정 프로비저닝 구성과 싱글 사인온(SSO) 설정을 뜻합니다.
페더레이션을 구성할 때는 Google Cloud와 외부 ID 공급업체의 페더레이션을 위한 권장사항에 나온 권고 사항을 고려하세요.
외부 IdP를 사용하여 온보딩해야 하는 모든 ID의 사용자 계정을 Cloud ID 또는 Google Workspace에 만듭니다.
Cloud ID 또는 Google Workspace의 ID가 외부 IdP에 있는 ID의 하위 집합인지 확인합니다. 자세한 내용은 분리된 관리되는 사용자 계정 조정을 참조하세요.
계획 3: 사용자 계정 통합이 있는 페더레이션
다음 사항이 모두 해당되는 경우 이 계획을 사용하는 것이 좋습니다.
- 외부 IdP를 사용하려고 합니다.
- 기존 사용자 계정을 Cloud ID 또는 Google Workspace로 마이그레이션해야 합니다.
이 계획을 사용하면 싱글 사인온(SSO)을 빠르게 시작할 수 있습니다. Cloud ID 또는 Google Workspace에서 만든 새 사용자 계정은 마이그레이션한 기존 사용자 계정과 마찬가지로 즉시 싱글 사인온(SSO)을 사용할 수 있습니다. 외부 IdP와 통합하면 사용자 계정 관리를 최소화할 수 있습니다. IdP는 ID 온보딩과 오프보딩을 모두 처리할 수 있습니다.
다음 섹션에서 설명하는 지연된 페더레이션 계획과 비교할 때 이 계획에서는 중복 계정 또는 잠긴 사용자가 발생할 위험이 증가합니다. 따라서 이 계획에서는 페더레이션을 설정할 때 면밀한 주의가 필요합니다.
다음 다이어그램은 이 계획에 필요한 프로세스와 단계를 보여줍니다.
필요한 Cloud ID 또는 Google Workspace 계정을 설정합니다.
사용할 적절한 Cloud ID 또는 Google Workspace 계정 수를 확인하려면 계정 및 조직 계획을 위한 권장사항을 참조하세요. 계정을 만드는 방법과 이 프로세스에 참여해야 하는 이해관계자에 대한 자세한 내용은 Cloud ID 또는 Google Workspace 계정 준비를 참조하세요.
외부 IdP와의 페더레이션을 설정합니다. 일반적으로 이는 자동 사용자 계정 프로비저닝을 구성하고 싱글 사인온(SSO)을 설정하는 것을 뜻합니다.
온보딩하려는 일부 ID에 여전히 마이그레이션해야 하는 기존 일반 계정이 있으므로 기존 일반 계정을 통합하는 데 외부 IdP가 방해가 되지 않도록 해야 합니다.
안전하게 계정을 통합할 수 있도록 외부 IdP를 구성하는 방법에 대한 자세한 내용은 사용자 계정 통합이 페더레이션에 미치는 영향 평가를 참조하세요.
페더레이션을 구성할 때는 Google Cloud와 외부 ID 공급업체의 페더레이션을 위한 권장사항에 나온 권고 사항을 고려하세요.
외부 IdP를 사용하여 온보딩해야 하는 초기 ID 집합의 사용자 계정을 Cloud ID 또는 Google Workspace에 만듭니다.
기존 사용자 계정이 없는 ID의 사용자 계정만 만들어야 함에 유의하세요.
기존 사용자 계정을 통합하는 프로세스를 시작합니다. 이를 수행하는 방법과 참여해야 할 이해관계자에 대한 자세한 내용은 기존 사용자 계정 통합을 참조하세요.
안전하게 계정을 통합할 수 있도록 설정하려면 페더레이션 설정에 적용한 특별한 구성을 모두 삭제합니다. 이 시점에는 모든 기존 계정이 이미 마이그레이션되었기 때문에 이런 특별한 구성이 더 이상 필요하지 않습니다.
외부 IdP를 사용하여 온보딩해야 하는 나머지 모든 ID의 사용자 계정을 Cloud ID 또는 Google Workspace에 만듭니다.
계획 4: 지연된 페더레이션
다음 사항이 모두 해당되는 경우 이 계획을 사용하는 것이 좋습니다.
- 외부 IdP를 사용하려고 합니다.
- 페더레이션을 설정하기 전에 기존 사용자 계정을 Cloud ID 또는 Google Workspace로 마이그레이션해야 합니다.
이 계획은 사실상 앞에서 설명한 페더레이션 없음과 사용자 계정 통합 없는 페더레이션의 조합입니다. 사용자 계정 통합이 있는 페더레이션과 비교할 때 이 계획의 주요 이점은 중복 계정이나 잠긴 사용자가 발생할 위험이 낮다는 것입니다. 하지만 결국 인증에 외부 IdP를 사용하는 계획이므로 이 방법에는 다음과 같은 단점이 있습니다.
모든 관련 사용자가 마이그레이션되기 전에 싱글 사인온(SSO)을 사용 설정할 수 없습니다. 처리할 비관리 계정의 수와 계정 이전 요청에 사용자들이 얼마나 빨리 반응하는지에 따라 이 마이그레이션은 며칠에서 몇 주까지 걸릴 수 있습니다.
마이그레이션 도중 외부 IdP에 계정을 생성하는 것 외에 Cloud ID 또는 Google Workspace에 새로운 사용자 계정을 생성해야 합니다. 마찬가지로 퇴사하는 직원의 사용자 계정을 Cloud ID 또는 Google Workspace와 외부 IdP에서 사용 중지하거나 삭제해야 합니다. 이러한 중복적인 관리로 전반적인 작업량이 늘어나고, 불일치 문제가 발생할 수 있습니다.
다음 다이어그램은 이 계획에 필요한 프로세스와 단계를 보여줍니다.
필요한 Cloud ID 또는 Google Workspace 계정을 설정합니다.
사용할 적절한 Cloud ID 또는 Google Workspace 계정 수를 확인하려면 계정 및 조직 계획을 위한 권장사항을 참조하세요. 계정을 만드는 방법과 참여해야 하는 이해관계자에 대한 자세한 내용은 Cloud ID 또는 Google Workspace 계정 준비를 참조하세요. 온보딩하려는 ID 중 일부에 기존 일반 계정이 포함된 경우 이러한 ID의 사용자 계정을 Cloud ID나 Google Workspace에 만들면 중복 계정이 생길 수 있습니다.
먼저 소규모의 초기 ID 집합만 사용자 계정을 만듭니다. 이런 계정은 API나 일괄 업로드를 사용하는 대신 관리 콘솔을 사용하여 만드는 것이 좋습니다. 중복 계정 생성이 예상되면 관리 콘솔에서 경고하기 때문입니다.
기존 사용자 계정을 통합하는 프로세스를 시작합니다. 이를 수행하는 방법과 참여해야 할 이해관계자에 대한 자세한 내용은 기존 사용자 계정 통합을 참조하세요.
외부 IdP와의 페더레이션을 설정합니다. 일반적으로 이는 자동 사용자 계정 프로비저닝 구성과 싱글 사인온(SSO) 설정을 뜻합니다.
페더레이션을 구성할 때는 Google Cloud와 외부 ID 공급업체의 페더레이션을 위한 권장사항에 나온 권고 사항을 고려하세요.
이 시점에는 모든 기존 계정이 이미 마이그레이션되었기 때문에 계정을 안전하게 통합할 수 있는 페더레이션을 위해 특별한 구성을 적용할 필요가 없습니다.
외부 IdP를 사용하여 온보딩해야 하는 모든 ID의 사용자 계정을 Cloud ID 또는 Google Workspace에 만듭니다.
다음 단계
- 사용자 계정 통합이 있는 페더레이션을 사용하기로 결정한 경우 사용자 계정 통합이 페더레이션에 미치는 영향을 평가하여 진행하세요.
- Cloud ID 또는 Google Workspace 계정을 준비하여 온보딩 프로세스를 시작합니다.