Google Cloud와 Active Directory의 페더레이션: 싱글 사인온(SSO) 구성

이 가이드에서는 Microsoft Active Directory Federation Services(AD FS) 및 SAML 페더레이션을 사용하여 Active Directory 환경과 Cloud ID 또는 G Suite 계정 간에 싱글 사인온(SSO)을 설정하는 방법을 보여줍니다.

이 가이드에서는 Active Directory ID 관리를 Google Cloud로 확장하는 방법을 알고 있으며 사용자 프로비저닝를 이미 구성했다고 가정합니다. 또한 Windows Server 2016 이상에서 실행 중인 AD FS 4.0 서버가 있다고 가정합니다.

이 가이드를 따르려면 Active Directory Domain Services와 AD FS에 대한 지식이 필요합니다. 또한 최고 관리자 권한이 있는 Cloud ID 또는 G Suite의 사용자와 AD FS 서버에 대한 관리 액세스 권한이 있는 Active Directory의 사용자가 필요합니다.

목표

  • Cloud ID 또는 G Suite에서 ID 공급업체로 사용할 수 있도록 AD FS 서버를 구성합니다.
  • Active Directory와 Cloud ID 또는 G Suite 간에 ID를 일치시키는 클레임 발급 정책을 만듭니다.
  • 인증을 AD FS에 위임하도록 Cloud ID 또는 G Suite 계정을 구성합니다.

비용

Cloud ID 무료 버전을 사용하는 경우 이 가이드를 따라도 청구 가능한 Google Cloud 구성요소가 사용되지 않습니다.

시작하기 전에

  1. AD FS 서버가 Windows Server 2016 이상을 실행하는지 확인합니다. 이전 버전의 Windows Server와 AD FS를 사용하여 싱글 사인온(SSO)을 구성할 수도 있지만 필요한 구성 단계가 이 가이드에서 설명하는 내용과 다를 수 있습니다.
  2. Active Directory ID 관리를 Google Cloud로 확장하는 방법을 이해해야 합니다.
  3. Active Directory와 Cloud ID 또는 G Suite 간에 사용자 프로비저닝을 구성합니다.
  4. AD FS 서버가 기업 사용자의 브라우저에서 인식할 수 있는 유효한 SSL(Secure Sockets Layer) 인증서를 사용하는지 확인합니다.
  5. 단일 장애점이 되지 않도록 AD FS를 서버 팜 구성으로 설정하는 것이 좋습니다. 싱글 사인온(SSO)을 사용 설정한 후에 AD FS의 사용 가능 여부에 따라 사용자가 Cloud Console에 로그인할 수 있는지가 결정됩니다.

싱글 사인온(SSO) 이해

클라우드 디렉터리 동기화를 사용하여 이미 사용자의 생성 및 유지보수를 자동화하고 사용자의 수명 주기를 Active Directory의 사용자와 연결했습니다.

클라우드 디렉터리 동기화는 사용자 계정 세부정보를 프로비저닝하지만 비밀번호는 동기화하지 않습니다. 사용자가 Google Cloud에서 인증해야 할 때마다 인증이 Active Directory에 위임되어야 하며, 이는 AD FS와 보안 보장 마크업 언어(SAML) 프로토콜을 사용하여 이루어집니다. 이 설정을 사용하면 Active Directory만 사용자 인증 정보에 액세스할 수 있으며 기존 정책이나 다단계 인증(MFA) 메커니즘이 적용됩니다. 또한 온프레미스 환경과 Google 간에 싱글 사인온(SSO) 환경이 설정됩니다.

SAML 2.0은 ID 공급업체(IdP)와 서비스 공급자(SP)라는 두 당사자 간에 싱글 사인온(SSO)을 구현하는 데 사용할 수 있는 프로토콜과 XML 언어를 정의합니다.

  • SP는 사용자를 인증해야 하는 당사자입니다. SP는 이 인증 자체를 수행하도록 구성되어 있지 않으므로 인증을 수행하는 책임을 IdP에 위임합니다.
  • IdP는 사용자 인증을 수행하는 당사자입니다. IdP는 사용자에 대한 사실을 식별하고 이 사실을 다시 SP에 전달합니다. 이러한 사실의 모음을 어설션(assertion)이라고 합니다.

Active Directory와 Google 간에 싱글 사인온(SSO)을 구현하려면 AD FS가 IdP 역할을 하고 Cloud ID 또는 G Suite 계정이 SP 역할을 하도록 구성합니다. 이 설정을 사용하면 다음과 같이 Cloud Console에 로그인할 수 있습니다.

Cloud Console에 로그인

  1. 사용자가 브라우저로 Cloud Console을 엽니다.
  2. 사용자가 아직 인증되지 않았으므로 Cloud Console이 브라우저를 Google 로그인으로 리디렉션합니다.
  3. 사용자에게 이메일 주소를 입력하라는 로그인 페이지가 표시됩니다.
  4. 사용자가 이메일 주소를 제출하면 Google 로그인에서 이 이메일 주소가 AD FS를 사용하여 페더레이션된 인증을 위해 구성된 Cloud ID 또는 G Suite 계정에 속해 있음을 인식합니다. 따라서 브라우저를 AD FS로 리디렉션합니다.
  5. AD FS가 구성된 방식에 따라 AD FS에서 사용자를 로그인 페이지로 되돌려 보낼 수 있으며 사용자 이름과 비밀번호를 제공해야 할 수 있습니다. Kerberos 기반 인증을 사용하면 사용자가 사용자 인증 정보를 입력할 필요 없이 자동으로 인증됩니다.
  6. 사용자가 사용자 인증 정보를 입력해야 하는 경우 AD FS는 사용자 이름과 비밀번호의 유효성을 검사하기 위해 Kerberos를 사용하여 Active Directory 키 배포 센터와 상호작용합니다.
  7. 사용자 인증 정보의 유효성 검사에 성공하면 AD FS에서 브라우저를 다시 Google 로그인으로 안내합니다.
  8. Google 로그인은 세션을 설정하고 브라우저를 다시 Cloud Console로 보내며, 이제 Cloud Console에서 액세스 권한을 부여합니다.

AD FS 구성

Cloud ID 또는 G Suite에서 싱글 사인온(SSO)을 사용 설정하려면 먼저 AD FS를 구성해야 합니다.

신뢰 당사자 트러스트 만들기

AD FS를 사용하려면 인증을 위해 AD FS를 사용할 SP마다 신뢰 당사자 트러스트를 만들어야 합니다. 먼저 다음 단계에 따라 Cloud ID 또는 G Suite의 신뢰 당사자 트러스트를 만듭니다.

  1. AD FS 서버에 로그인하여 AD FS MMC 스냅인을 엽니다.
  2. 왼쪽 메뉴에서 Relying Party Trusts(신뢰 당사자 트러스트) 폴더를 마우스 오른쪽 버튼으로 클릭합니다. 컨텍스트 메뉴에서 Add Relying Party Trust(신뢰 당사자 트러스트 추가)를 선택합니다.
  3. 마법사의 첫 번째 페이지에서 Claims aware(클레임 인식)를 선택하고 Start(시작)를 클릭합니다.

    신뢰 당사자 트러스트 마법사

  4. 다음 페이지에서 Enter data about the relying party manually(수동으로 신뢰 당사자 관련 데이터 입력)를 선택하고 다음을 클릭합니다.

  5. 다음 페이지에서 Cloud ID와 같은 표시 이름을 입력하고 Next(다음)를 클릭합니다.

  6. 다음 페이지에서 토큰 암호화 인증서를 요구하는 메시지가 표시됩니다. Cloud ID 또는 G Suite 계정과 연결하는 데는 이 단계가 필요하지 않으므로 Next(다음)를 클릭합니다.

  7. 다음 페이지에서 Enable support for the SAML 2.0 WebSSO protocol(SAML 2.0 WebSSO 프로토콜 지원 사용)을 선택하고 다음 SSO 서비스 URL을 입력합니다.

    https://www.google.com/a/[DOMAIN]/acs
    

    [DOMAIN]을 Cloud ID 또는 G Suite 계정의 기본 도메인으로 바꾸고 Next(다음)를 클릭합니다.

    SAML 2.0 WebSSO 프로토콜 지원 사용 설정

  8. 다음 마법사 페이지에서 신뢰 당사자 트러스트 식별자를 묻는 메시지가 나타납니다. 목록에 다음 식별자를 추가합니다.

    • google.com/a/[DOMAIN]: [DOMAIN]를 Cloud ID 또는 G Suite 계정의 기본 도메인으로 바꿉니다.
    • google.com

    신뢰 당사자 트러스트 식별자

    Next(다음)를 클릭합니다.

  9. 다음 페이지에서 액세스 정책을 선택합니다. MFA 구성은 이 가이드의 범위를 벗어나므로 지금은 Permit everyone(모든 사용자 허용)을 클릭한 후 Next(다음)를 클릭합니다.

  10. Ready to Add Trust(트러스트 추가 준비 완료) 페이지에서 설정을 검토한 후 Next(다음)를 클릭합니다.

  11. 마지막 페이지에서 Configure claims issuance policy(이 응용 프로그램에 대한 클레임 발급 정책 구성) 체크박스의 선택을 해제하고 마법사를 닫습니다. 신뢰 당사자 트러스트 목록에 이제 새 항목이 표시됩니다.

로그아웃 URL 구성

사용자가 여러 애플리케이션에서 싱글 사인온(SSO)을 사용할 수 있게 하려면 여러 애플리케이션에서 사인 아웃할 수 있도록 허용해야 합니다.

  1. AD FS 관리 콘솔의 Relying Party Trusts(신뢰 당사자 트러스트)에서 방금 만든 트러스트를 마우스 오른쪽 버튼으로 클릭하고 Properties(속성)를 클릭합니다.
  2. Endpoints(엔드포인트) 탭에서 Add SAML(SAML 추가)을 클릭합니다.
  3. Add an Endpoint(엔드포인트 추가) 대화상자에서 다음 설정을 구성합니다.

    1. Endpoint type(엔드포인트 유형): SAML Logout(SAML 로그아웃)
    2. Binding(바인딩): POST
    3. Trusted URL(신뢰할 수 있는 URL): https://[ADFS]/adfs/ls/?wa=wsignout1.0

      [ADFS]를 AD FS 서버의 정규화된 도메인 이름으로 바꾸세요.

      엔드포인트 추가

  4. OK(확인)를 클릭합니다.

  5. OK(확인)를 클릭하여 대화상자를 닫습니다.

클레임 매핑 구성

AD FS는 사용자를 인증한 후에 SAML 어설션을 발급합니다. 이 어설션은 인증이 성공적으로 이루어졌음을 증명하는 역할을 합니다. 어설션은 누가 인증을 받았는지 식별해야 하며, 이는 NameID 클레임의 목적입니다.

Google 로그인에서 NameID를 사용자와 연결할 수 있도록 하려면 NameID에 해당 사용자의 기본 이메일 주소가 포함되어야 합니다. Active Directory와 Cloud ID 간에 사용자를 매핑하는 방식에 따라 NameID에 Active Directory 사용자의 UPN 또는 이메일 주소가 포함되어야 하며, 필요에 따라 도메인 대체가 적용됩니다.

UPN

  1. AD FS 관리 콘솔의 Relying Party Trusts(신뢰 당사자 트러스트)에서 새로 만든 트러스트를 마우스 오른쪽 버튼으로 클릭하고 Edit Claim Issuance Policy(클레임 발급 정책 편집)를 클릭합니다.
  2. 대화상자에서 Add Rule(규칙 추가)을 클릭합니다.
  3. Send LDAP Attributes as Claims(LDAP 특성을 클레임으로 보내기)를 선택하고 Next(다음)를 클릭합니다.
  4. 다음 페이지에서 아래와 같은 설정을 적용합니다.
    1. Claim rule name(클레임 규칙 이름): Map Email and Name ID(이메일 및 이름 ID 매핑)
    2. Attribute Store(특성 저장소): Active Directory
  5. LDAP 특성 매핑의 목록에 행을 추가합니다.
    1. LDAP Attribute(LDAP 특성): User-Principal-Name
    2. Outgoing Claim Type(보내는 클레임 유형): Name ID
  6. Finish(마침)를 클릭한 다음 OK(확인)를 클릭합니다.

UPN: 도메인 대체

  1. AD FS 관리 콘솔의 Relying Party Trusts(신뢰 당사자 트러스트)에서 새로 만든 트러스트를 마우스 오른쪽 버튼으로 클릭한 다음 Edit Claim Issuance Policy(클레임 발급 정책 편집)를 클릭합니다.
  2. 대화상자에서 Add Rule(규칙 추가)을 클릭합니다.
  3. Send Claims Using a Custom Rule(커스텀 규칙을 사용하여 클레임 보내기)을 선택하고 Next(다음)를 클릭합니다.
  4. 다음 페이지에서 아래와 같은 설정을 적용합니다.

    1. Claim rule name(클레임 규칙 이름): Load UPN(UPN 로드)
    2. Custom Rule(커스텀 규칙):

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
       => add(store = "Active Directory", types = ("http://temp.google.com/upn"), query = ";userPrincipalName;{0}", param = c.Value);
      

      이 규칙은 Active Directory에서 연결된 사용자의 UPN(사용자 기본 이름)을 로드하고 이를 임시 클레임에 저장합니다.

  5. Finish(마침)를 클릭합니다.

  6. Add Rule(규칙 추가)을 클릭하여 두 번째 규칙을 만듭니다.

  7. Send Claims Using a Custom Rule(커스텀 규칙을 사용하여 클레임 보내기)을 선택하고 Next(다음)를 클릭합니다.

  8. 다음 페이지에서 아래와 같은 설정을 적용합니다.

    1. Claim rule name(클레임 규칙 이름): Transform UPN(UPN 변환)
    2. Custom Rule(커스텀 규칙):

      c:[Type == "http://temp.google.com/upn"]
       => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = RegexReplace(c.Value, "@(.*?)$", "@[DOMAIN]"));
      

      이 규칙은 UPN이 포함된 임시 클레임을 열고 UPN 서픽스 도메인을 [DOMAIN]으로 바꿉니다. 그 결과로 생성된 클레임이 Google 로그인으로 발급되어 사용자를 해당 Cloud ID 또는 G Suite 사용자와 연결하는 데 사용됩니다.

      [DOMAIN]을 Cloud ID 또는 G Suite 계정의 기본 도메인으로 바꾸세요.

  9. Finish(마침)를 클릭한 다음 OK(확인)를 클릭합니다.

    원래 UPN에 따라 다른 대체를 적용해야 할 수도 있습니다. 그러한 경우 가능한 대체마다 하나씩 추가 규칙을 작성해야 하며 조건을 사용하여 어떤 규칙을 언제 적용할지 한정해야 합니다. 예를 들어 다음 규칙은 원래 도메인이 corp.local인 경우에만 UPN 도메인을 corp.example.com으로 대체합니다.

    c:[Type == "http://temp.google.com/upn", value =~ "^.+@corp.local$"]
     => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = RegexReplace(c.Value, "@(.*?)$", "corp.example.com"));
    

    다른 대체를 적용해야 하는 경우에는 대체마다 하나씩 별도의 클라우드 디렉터리 동기화 구성을 실행해야 합니다.

이메일

  1. AD FS 관리 콘솔의 Relying Party Trusts(신뢰 당사자 트러스트)에서 새로 만든 트러스트를 마우스 오른쪽 버튼으로 클릭하고 Edit Claim Issuance Policy(클레임 발급 정책 편집)를 클릭합니다.
  2. 대화상자에서 Add Rule(규칙 추가)을 클릭합니다.
  3. Send LDAP Attributes as Claims(LDAP 특성을 클레임으로 보내기)를 선택하고 Next(다음)를 클릭합니다.
  4. 다음 페이지에서 아래와 같은 설정을 적용합니다.
    1. Claim rule name(클레임 규칙 이름): Map Email and Name ID(이메일 및 이름 ID 매핑)
    2. Attribute Store(특성 저장소): Active Directory
  5. LDAP 특성 매핑의 목록에 행을 추가합니다.
    1. LDAP Attribute(LDAP 특성): E-Mail-Addresses
    2. Outgoing Claim Type(보내는 클레임 유형): Name ID
  6. Finish(마침)를 클릭한 다음 OK(확인)를 클릭합니다.

이메일: 도메인 대체

  1. AD FS 관리 콘솔의 Relying Party Trusts(신뢰 당사자 트러스트)에서 새로 만든 트러스트를 마우스 오른쪽 버튼으로 클릭하고 Edit Claim Issuance Policy(클레임 발급 정책 편집)를 클릭합니다.
  2. 대화상자에서 Add Rule(규칙 추가)을 클릭합니다.
  3. Send Claims Using a Custom Rule(커스텀 규칙을 사용하여 클레임 보내기)을 선택하고 Next(다음)를 클릭합니다.
  4. 다음 페이지에서 아래와 같은 설정을 적용합니다.

    1. Claim rule name(클레임 규칙 이름): Load email address(이메일 주소 로드)
    2. Custom Rule(커스텀 규칙):

      c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
       => add(store = "Active Directory", types = ("http://temp.google.com/mail"), query = ";mail;{0}", param = c.Value);
      

      이 규칙은 Active Directory에서 각 사용자의 이메일 주소를 로드하여 이를 임시 클레임에 저장합니다.

  5. Finish(마침)를 클릭합니다.

  6. Add Rule(규칙 추가)을 클릭하여 두 번째 규칙을 만듭니다.

  7. Send Claims Using a Custom Rule(커스텀 규칙을 사용하여 클레임 보내기)을 선택하고 Next(다음)를 클릭합니다.

  8. 다음 페이지에서 아래와 같은 설정을 적용합니다.

    1. Claim rule name(클레임 규칙 이름): Transform email address(이메일 주소 변환)
    2. Custom Rule(커스텀 규칙):

      c:[Type == "http://temp.google.com/mail"]
       => issue(Type = "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier", Value = RegexReplace(c.Value, "@(.*?)$", "@[DOMAIN]"));
      

      이 규칙은 이메일 주소가 포함된 임시 클레임을 열고 도메인을 [DOMAIN]으로 바꿉니다. 그 결과로 생성된 클레임이 Google 로그인으로 발급되어 Cloud ID 또는 G Suite의 사용자를 식별하는 데 사용됩니다.

      [DOMAIN]을 Cloud ID 또는 G Suite 계정의 기본 도메인으로 바꾸세요.

  9. Finish(마침)를 클릭한 다음 OK(확인)를 클릭합니다.

AD FS 토큰 서명 인증서 내보내기

AD FS가 SAML 어설션을 발급하면 Google 로그인은 반드시 어설션의 무결성과 신뢰성을 확인해야 합니다. 이를 위해 SAML을 사용하려면 어설션이 특수한 토큰 서명 키를 사용하여 서명되어야 합니다. 이 키는 지정된 공개 키/비공개 키 쌍의 비공개 키입니다. 이 쌍의 공개 키는 토큰 서명 인증서 형식으로 SP에 제공되며 SP가 어설션의 서명을 확인할 수 있게 합니다.

Cloud ID 또는 G Suite 계정을 구성하려면 먼저 AD FS에서 토큰 서명 인증서를 내보내야 합니다.

  1. AD FS 관리 콘솔에서 Service(서비스) > Certificates(인증서)를 클릭합니다.
  2. Token-signing(토큰 서명) 아래에 나열된 인증서를 마우스 오른쪽 버튼으로 클릭하고 View Certificate(인증서 보기)를 클릭합니다.
  3. Details(세부정보) 탭을 클릭합니다.
  4. Copy to File(파일로 복사)을 클릭하여 Certificate Export Wizard(인증서 내보내기 마법사)를 엽니다.
  5. Next(다음)를 클릭합니다.
  6. DER encoded binary X.509 (.CER)(DER로 인코딩된 바이너리 X.509(.CER))를 형식으로 선택하고 Next(다음)를 클릭합니다.
  7. 로컬 파일 이름을 제공하고 Next(다음)를 클릭합니다.
  8. Finish(마침)을 클릭하여 내보내기를 확인합니다.
  9. OK(확인)를 클릭하여 내보내기가 성공했음을 확인하는 메시지 상자를 닫습니다.
  10. 내보낸 인증서를 로컬 컴퓨터로 복사합니다.

Cloud ID 또는 G Suite 계정 구성

AD FS 구성이 완료되었으면 이제 Cloud ID 또는 G Suite 계정에서 싱글 사인온(SSO)을 구성할 수 있습니다.

  1. 관리 콘솔에서 보안 > 설정을 클릭합니다.
  2. 타사 IdP를 사용해 싱글 사인온(SSO) 설정을 클릭합니다.
  3. 타사 ID 공급업체에 SSO 설정이 사용 설정되어 있는지 확인합니다.
  4. 다음 설정을 입력합니다. 모든 URL에서 [ADFS]를 AD FS 서버의 정규화된 도메인 이름으로 바꿉니다.
    1. 로그인 페이지 URL: https://[ADFS]/adfs/ls/
    2. 로그아웃 페이지 URL: https://[ADFS]/adfs/ls/?wa=wsignout1.0
    3. 비밀번호 URL 변경: https://[ADFS]/adfs/portal/updatepassword/
  5. 확인 인증서에서 파일 선택을 클릭하고 이전에 다운로드한 AD FS 토큰 서명 인증서를 선택합니다.
  6. 저장을 클릭합니다.
  7. 다음 페이지에서 싱글 사인온(SSO)을 사용 설정하려고 함을 확인하고 이해하고 이에 동의합니다.를 클릭합니다.
  8. 관리 콘솔에서 로그아웃하려면 오른쪽 상단에서 아바타를 클릭한 다음 로그아웃을 클릭합니다.

싱글 사인온(SSO) 테스트

이제 AD FS와 Cloud ID 또는 G Suite에서 모두 싱글 사인온(SSO) 구성을 완료했습니다. 싱글 사인온(SSO)이 의도한 대로 작동하는지 확인하려면 다음 테스트를 실행하세요.

  1. 이전에 Cloud ID 또는 G Suite에 프로비저닝되었고 최고 관리자 권한이 할당되지 않은 Active Directory 사용자를 선택합니다. 최고 관리자 권한이 있는 사용자는 항상 Google 사용자 인증 정보를 사용하여 로그인해야 하므로 싱글 사인온(SSO) 테스트에 적합하지 않습니다.
  2. 새 브라우저 창을 열고 https://console.cloud.google.com/으로 이동합니다.
  3. 표시되는 Google 로그인 페이지에서 사용자의 이메일 주소를 입력하고 다음을 클릭합니다. 도메인 대체를 사용하는 경우 이메일 주소에 대체를 적용해야 합니다.

    사용자의 이메일 주소 입력

    AD FS로 리디렉션됩니다. 양식 기반 인증을 사용하도록 AD FS를 구성한 경우 이제 로그인 페이지가 표시됩니다.

  4. Active Directory 사용자의 UPN 및 비밀번호를 입력하고 로그인을 클릭합니다.

    Active Directory 사용자의 UPN 및 비밀번호를 입력합니다.

  5. 인증에 성공하면 AD FS는 사용자를 다시 Google Identity Platform으로 리디렉션합니다. 이번이 이 사용자의 첫 번째 로그인이므로 Google 서비스 약관 및 개인정보처리방침에 동의하라는 메시지가 나타납니다.

  6. 약관에 동의하면 동의를 클릭합니다.

  7. Cloud Console로 리디렉션되어, 환경설정을 확인하고 Google Cloud 서비스 약관에 동의하라는 메시지가 나타납니다. 약관에 동의하면 를 클릭한 다음 동의 및 계속하기를 클릭합니다.

  8. 왼쪽 상단에서 아바타 아이콘을 클릭하고 로그아웃을 클릭합니다.

    그러면 성공적으로 로그아웃되었음을 확인하는 AD FS 페이지로 리디렉션됩니다.

로그인하는 데 문제가 있을 경우 AD FS 서버에서 AD FS 디버그 로그를 사용 설정하면 문제를 진단하는 데 도움이 됩니다. 통합 Windows 인증을 사용하는 경우 다른 사용자로 테스트를 더 쉽게 수행할 수 있도록 양식 기반 인증으로 일시적으로 전환하는 것이 좋습니다.

최고 관리자 권한이 있는 사용자는 싱글 사인온(SSO)에서 제외되므로 관리 콘솔을 사용하여 설정을 확인하거나 변경할 수 있습니다.

삭제

조직에서 싱글 사인온(SSO)을 사용 설정하지 않으려면 다음 단계에 따라 Cloud ID 또는 G Suite에서 싱글 사인온(SSO)을 사용 중지하세요.

  1. 관리 콘솔에서 보안 > 설정을 클릭합니다.
  2. 타사 IdP를 사용해 싱글 사인온(SSO) 설정을 클릭합니다.
  3. 타사 ID 공급업체에 SSO 설정 체크박스의 선택을 취소합니다.
  4. 저장을 클릭합니다.

AD FS의 구성을 삭제하려면 다음 단계를 따르세요.

  1. AD FS 서버에 로그인하여 AD FS MMC 스냅인을 엽니다.
  2. 왼쪽 메뉴에서 Relying Party Trusts(신뢰 당사자 트러스트) 폴더를 마우스 오른쪽 버튼으로 클릭합니다.
  3. 신뢰 당사자 트러스트 목록에서 Cloud ID를 마우스 오른쪽 버튼으로 클릭하고 Delete(삭제)를 클릭합니다.
  4. Yes(예)를 클릭하여 삭제를 확인합니다.

다음 단계