이 도움말에서는 Microsoft Active Directory Federation Services(AD FS) 및 SAML 페더레이션을 사용하여 Active Directory 환경과 Cloud ID 또는 Google Workspace 계정 간에 싱글 사인온(SSO)을 설정하는 방법을 보여줍니다.
이 도움말에서는 Active Directory ID 관리를 Google Cloud로 확장하는 방법을 알고 있으며 이미 사용자 프로비저닝을 구성했다고 가정합니다. 또한 Windows Server 2016 이상에서 실행 중인 AD FS 4.0 서버가 있다고 가정합니다.
이 가이드를 따르려면 Active Directory Domain Services와 AD FS에 대한 지식이 필요합니다. 또한 최고 관리자 권한이 있는 Cloud ID 또는 Google Workspace의 사용자와 AD FS 서버에 대한 관리 액세스 권한이 있는 Active Directory의 사용자가 필요합니다.
목표
- Cloud ID 또는 Google Workspace에서 ID 공급업체로 사용할 수 있도록 AD FS 서버를 구성합니다.
- Active Directory와 Cloud ID 또는 Google Workspace 간에 ID를 일치시키는 클레임 발급 정책을 만듭니다.
- 인증을 AD FS에 위임하도록 Cloud ID 또는 Google Workspace 계정을 구성합니다.
비용
Cloud ID 무료 버전을 사용하는 경우 이 가이드를 따라도 청구 가능한 Google Cloud 구성요소가 사용되지 않습니다.
시작하기 전에
- AD FS 서버가 Windows Server 2016 이상을 실행하는지 확인합니다. 이전 버전의 Windows Server와 AD FS를 사용하여 싱글 사인온(SSO)을 구성할 수도 있지만 필요한 구성 단계가 이 가이드에서 설명하는 내용과 다를 수 있습니다.
- Active Directory ID 관리를 Google Cloud로 확장하는 방법을 이해해야 합니다.
- Active Directory와 Cloud ID 또는 Google Workspace 간에 사용자 프로비저닝을 구성합니다.
- 단일 장애점이 되지 않도록 AD FS를 서버 팜 구성으로 설정하는 것이 좋습니다. 싱글 사인온(SSO)을 사용 설정한 후에 AD FS의 사용 가능 여부에 따라 사용자가 Google Cloud Console에 로그인할 수 있는지가 결정됩니다.
싱글 사인온(SSO) 이해
Google Cloud 디렉터리 동기화를 사용하여 이미 사용자의 생성 및 유지보수를 자동화하고 사용자의 수명 주기를 Active Directory의 사용자와 연결했습니다.
GCDS는 사용자 계정 세부정보를 프로비저닝하지만 비밀번호는 동기화하지 않습니다. 사용자가 Google Cloud에서 인증해야 할 때마다 인증이 Active Directory에 위임되어야 하며, 이는 AD FS와 보안 보장 마크업 언어(SAML) 프로토콜을 사용하여 이루어집니다. 이 설정을 사용하면 Active Directory만 사용자 인증 정보에 액세스할 수 있으며 기존 정책이나 다단계 인증(MFA) 메커니즘이 적용됩니다. 또한 온프레미스 환경과 Google 간에 싱글 사인온(SSO) 환경이 설정됩니다.
싱글 사인온(SSO)에 대한 자세한 내용은 싱글 사인온(SSO)을 참조하세요.
SAML 프로필 만들기
AD FS에서 싱글 사인온(SSO)을 구성하려면 먼저 Cloud ID 또는 Google Workspace 계정에 SAML 프로필을 만듭니다. SAML 프로필에는 URL 및 서명 인증서를 포함하여 AD FS 인스턴스와 관련된 설정이 포함됩니다.
나중에 SAML 프로필을 특정 그룹이나 조직 단위에 할당합니다.
Cloud ID 또는 Google Workspace 계정에서 새 SAML 프로필을 만들려면 다음을 수행합니다.
관리 콘솔에서 서드 파티 IdP를 통한 SSO로 이동합니다.
서드 파티 SSO 프로필 > SAML 프로필 추가를 클릭합니다.
SAML SSO 프로필 페이지에서 다음 설정을 입력합니다.
- 이름:
AD FS
IDP 엔티티 ID:
https://ADFS/adfs/services/trust
로그인 페이지 URL:
https://ADFS/adfs/ls/
로그아웃 페이지 URL:
https://ADFS/adfs/ls/?wa=wsignout1.0
비밀번호 변경 URL:
https://ADFS/adfs/portal/updatepassword/
모든 URL에서
ADFS
를 AD FS 서버의 정규화된 도메인 이름으로 바꿉니다.아직 확인 인증서를 업로드하지 마세요.
- 이름:
저장을 클릭합니다.
표시되는 SAML SSO 프로필 페이지에 다음 두 가지 URL이 포함되어 있습니다.
- 엔티티 ID
- ACS URL
이 URL은 다음 섹션에서 AD FS를 구성할 때 필요합니다.
AD FS 구성
신뢰 당사자 트러스트를 만들어 AD FS 서버를 구성합니다.
신뢰 당사자 트러스트 만들기
다음과 같이 새 신뢰 당사자 트러스트를 만드세요.
- AD FS 서버에 연결하고 AD FS Management(AD FS 관리) MMC 스냅인을 엽니다.
- AD FS > 신뢰 당사자 트러스트를 선택합니다.
- 작업 창에서 신뢰 당사자 트러스트 추가를 클릭합니다.
- 마법사의 Welcome 페이지에서 클레임 인식을 선택하고 시작을 클릭합니다.
- 데이터 소스 선택 페이지에서 신뢰 당사자에 대한 수동 데이터 입력을 선택하고 다음을 클릭합니다.
- 표시 이름 지정 페이지에서
Google Cloud
와 동일한 이름을 입력하고 다음을 클릭합니다. - 인증서 구성 페이지에서 다음을 클릭합니다.
Configure URL(URL 구성) 페이지에서 Enable support for the SAML 2.0 WebSSO protocol(SAML 2.0 WebSSO 프로토콜 지원 사용 설정)을 선택하고 SAML 프로필의 ACS URL을 입력합니다. 그런 다음 다음을 클릭합니다.
Configure identifiers(식별자 구성) 페이지에서 SAML 프로필의 Entity ID(엔티티 ID)를 추가합니다.
다음을 클릭합니다.
액세스 제어 정책 선택 페이지에서 적절한 액세스 정책을 선택하고 다음을 클릭합니다.
트러스트 추가 준비 완료 페이지에서 설정을 검토한 후 다음을 클릭합니다.
마지막 페이지에서 이 응용 프로그램에 대한 클레임 발급 정책 구성 체크박스의 선택을 해제하고 마법사를 닫습니다.
신뢰 당사자 트러스트 목록에 새 항목이 표시됩니다.
로그아웃 URL 구성
사용자가 여러 애플리케이션에서 싱글 사인온(SSO)을 사용할 수 있게 하려면 여러 애플리케이션에서 사인 아웃할 수 있도록 허용해야 합니다.
- 방금 만든 신뢰 당사자 트러스트를 엽니다.
- 엔드포인트 탭을 선택합니다.
Add SAML(SAML 추가)을 클릭하고 다음 설정을 구성합니다.
- Endpoint type(엔드포인트 유형): SAML Logout(SAML 로그아웃)
- Binding(바인딩): POST
Trusted URL(신뢰할 수 있는 URL):
https://ADFS/adfs/ls/?wa=wsignout1.0
ADFS
를 AD FS 서버의 정규화된 도메인 이름으로 바꾸세요.
OK(확인)를 클릭합니다.
OK(확인)를 클릭하여 대화상자를 닫습니다.
클레임 매핑 구성
AD FS는 사용자를 인증한 후에 SAML 어설션을 발급합니다.
이 어설션은 인증이 성공적으로 이루어졌음을 증명하는 역할을 합니다. 어설션은 누가 인증을 받았는지 식별해야 하며, 이는 NameID
클레임의 목적입니다.
Google 로그인에서 NameID
를 사용자와 연결할 수 있도록 하려면 NameID
에 해당 사용자의 기본 이메일 주소가 포함되어야 합니다. Active Directory와 Cloud ID 또는 Google Workspace 간에 사용자를 매핑하는 방식에 따라 NameID
에 Active Directory 사용자의 UPN 또는 이메일 주소가 포함되어야 하며, 필요에 따라 도메인 대체가 적용됩니다.
UPN
- 신뢰 당사자 트러스트 목록에서 방금 만든 트러스트를 선택하고 클레임 발급 정책 수정을 클릭합니다.
- 규칙 추가를 클릭합니다.
- 변환 클레임 규칙 추가 마법사의 규칙 유형 선택 페이지에서 수신 클레임 변환을 선택한 후 다음을 클릭합니다.
클레임 규칙 구성 페이지에서 다음 설정을 구성합니다.
- 클레임 규칙 이름:
Name Identifier
- 수신 클레임 유형: UPN
- 보내는 클레임 유형: Name ID
- 보내는 이름 ID 형식: 이메일
- 클레임 규칙 이름:
모든 클레임 값 통과를 선택하고 마침을 클릭합니다.
확인을 클릭하여 클레임 발급 정책 대화상자를 닫습니다.
UPN: 도메인 대체
- 신뢰 당사자 트러스트 목록에서 방금 만든 트러스트를 선택하고 클레임 발급 정책 수정을 클릭합니다.
- 규칙 추가를 클릭합니다.
- 변환 클레임 규칙 추가 마법사의 규칙 유형 선택 페이지에서 수신 클레임 변환을 선택한 후 다음을 클릭합니다.
클레임 규칙 구성 페이지에서 다음 설정을 구성합니다.
- 클레임 규칙 이름:
Name Identifier
- 수신 클레임 유형: UPN
- 보내는 클레임 유형: Name ID
- 보내는 이름 ID 형식: 이메일
- 클레임 규칙 이름:
수신 클레임 이메일 서픽스를 새 이메일 서픽스로 대체를 선택하고 다음 설정을 구성합니다.
- 새 이메일 서픽스: Cloud ID 또는 Google Workspace 계정에서 사용하는 도메인 이름입니다.
마침을 클릭한 다음 확인을 클릭합니다.
이메일
- 신뢰 당사자 트러스트 목록에서 방금 만든 트러스트를 선택하고 클레임 발급 정책 수정을 클릭합니다.
- 다음과 같이 이메일 주소를 조회하는 규칙을 추가하세요.
- 대화상자에서 규칙 추가를 클릭합니다.
- LDAP 특성을 클레임으로 보내기를 선택하고 다음을 클릭합니다.
- 다음 페이지에서 아래와 같은 설정을 적용합니다.
- 클레임 규칙 이름:
Email address
- Attribute Store: Active Directory
- 클레임 규칙 이름:
- LDAP 특성 매핑의 목록에 행을 추가합니다.
- LDAP 특성: E-Mail-Addresses
- 보내는 클레임 유형: E-Mail-Address
- 마침을 클릭합니다.
NameID
를 설정하는 다른 규칙을 추가합니다.- 규칙 추가를 클릭합니다.
- 변환 클레임 규칙 추가 마법사의 규칙 유형 선택 페이지에서 수신 클레임 변환을 선택한 후 다음을 클릭합니다.
클레임 규칙 구성 페이지에서 다음 설정을 구성합니다.
- 클레임 규칙 이름:
Name Identifier
- 수신 클레임 유형: E-Mail-Address
- 보내는 클레임 유형: Name ID
- 보내는 이름 ID 형식: 이메일
- 클레임 규칙 이름:
모든 클레임 값 통과를 선택하고 마침을 클릭합니다.
확인을 클릭하여 클레임 발급 정책 대화상자를 닫습니다.
이메일: 도메인 대체
- 신뢰 당사자 트러스트 목록에서 방금 만든 트러스트를 선택하고 클레임 발급 정책 수정을 클릭합니다.
- 다음과 같이 이메일 주소를 조회하는 규칙을 추가하세요.
- 대화상자에서 규칙 추가를 클릭합니다.
- LDAP 특성을 클레임으로 보내기를 선택하고 다음을 클릭합니다.
- 다음 페이지에서 아래와 같은 설정을 적용합니다.
- 클레임 규칙 이름:
Email address
- Attribute Store: Active Directory
- 클레임 규칙 이름:
- LDAP 특성 매핑의 목록에 행을 추가합니다.
- LDAP 특성: E-Mail-Addresses
- 보내는 클레임 유형: E-Mail-Address
- 마침을 클릭합니다.
다른 규칙을 추가하여
NameID
값을 설정합니다.- 규칙 추가를 클릭합니다.
- 변환 클레임 규칙 추가 마법사의 규칙 유형 선택 페이지에서 수신 클레임 변환을 선택한 후 다음을 클릭합니다.
클레임 규칙 구성 페이지에서 다음 설정을 구성합니다.
- 클레임 규칙 이름:
Name Identifier
- 수신 클레임 유형: E-Mail-Address
- 보내는 클레임 유형: Name ID
- 보내는 이름 ID 형식: 이메일
- 클레임 규칙 이름:
수신 클레임 이메일 서픽스를 새 이메일 서픽스로 대체를 선택하고 다음 설정을 구성합니다.
- 새 이메일 서픽스: Cloud ID 또는 Google Workspace 계정에서 사용하는 도메인 이름입니다.
마침을 클릭한 다음 확인을 클릭합니다. 싱글 사인온(SSO)
AD FS 토큰 서명 인증서 내보내기
AD FS에서 사용자를 인증하면 SAML 어설션이 Cloud ID 또는 Google Workspace에 전달됩니다. Cloud ID 및 Google Workspace에서 이 어설션의 무결성 및 신뢰성을 확인하기 위해 AD FS는 특수 토큰 서명 키로 어설션에 서명하고 Cloud ID 또는 Google Workspace에서 서명을 확인할 수 있는 인증서를 제공합니다.
다음을 수행하여 AD FS에서 서명 인증서를 내보냅니다.
- AD FS 관리 콘솔에서 서비스 > 인증서를 클릭합니다.
- 토큰 서명 아래에 나열된 인증서를 마우스 오른쪽 버튼으로 클릭하고 인증서 보기를 클릭합니다.
- 세부정보 탭을 선택합니다.
- 파일로 복사를 클릭하여 인증서 내보내기 마법사를 엽니다.
- 인증서 내보내기 마법사 시작에서 다음을 클릭합니다.
- 비공개 키 내보내기 페이지에서 아니요, 비공개 키를 내보내지 않습니다를 선택합니다.
- 파일 형식 내보내기 페이지에서 Base-64로 인코딩된 X.509(.CER)를 선택하고 다음을 클릭합니다.
- 내보낼 파일 페이지에서 로컬 파일 이름을 제공하고 다음을 클릭합니다.
- 마침을 클릭하여 대화상자를 닫습니다.
- 내보낸 인증서를 로컬 컴퓨터로 복사합니다.
SAML 프로필 작성
서명 인증서를 사용하여 SAML 프로필 구성을 완료합니다.
관리 콘솔로 돌아가서 보안 > 인증 > 서드 파티 IdP를 통한 SSO로 이동합니다.
앞에서 만든
AD FS
SAML 프로필을 엽니다.IDP 세부정보 섹션을 클릭하여 설정을 수정합니다.
인증서 업로드를 클릭하고 AD FS에서 내보낸 토큰 서명 인증서를 선택합니다.
저장을 클릭합니다.
SAML 프로필은 완료되었지만 이를 할당해야 합니다.
SAML 프로필 할당
새 SAML 프로필을 적용할 사용자를 선택합니다.
관리 콘솔의 서드 파티 IDP를 통한 SSO 페이지에서 SSO 프로필 할당 관리 > 관리를 클릭합니다.
왼쪽 창에서 SSO 프로필을 적용할 그룹 또는 조직 단위를 선택합니다. 모든 사용자에게 프로필을 적용하려면 루트 조직 단위를 선택합니다.
오른쪽 창에서 다른 SSO 프로필을 선택합니다.
메뉴에서 앞에서 만든
AD FS - SAML
SSO 프로필을 선택합니다.저장을 클릭합니다.
단계를 반복하여 SAML 프로필을 다른 그룹 또는 조직 단위에 할당합니다.
싱글 사인온(SSO) 테스트
싱글 사인온(SSO) 구성을 완료했습니다. SSO가 의도한 대로 작동하는지 확인할 수 있습니다.
다음 기준을 충족하는 Active Directory 사용자를 선택합니다.
- 사용자가 Cloud ID 또는 Google Workspace에 프로비저닝되었습니다.
Cloud ID 사용자에게 최고 관리자 권한이 없습니다.
최고 관리자 권한이 있는 사용자 계정은 항상 Google 사용자 인증 정보를 사용하여 로그인해야 하므로 싱글 사인온(SSO) 테스트에 적합하지 않습니다.
새 브라우저 창을 열고 https://console.cloud.google.com/으로 이동합니다.
표시되는 Google 로그인 페이지에서 사용자의 이메일 주소를 입력하고 다음을 클릭합니다. 도메인 대체를 사용하는 경우 이메일 주소에 대체를 적용해야 합니다.
AD FS로 리디렉션됩니다. 양식 기반 인증을 사용하도록 AD FS를 구성한 경우 로그인 페이지가 표시됩니다.
Active Directory 사용자의 UPN 및 비밀번호를 입력하고 로그인을 클릭합니다.
인증에 성공하면 AD FS가 사용자를 다시 Google Cloud 콘솔로 리디렉션합니다. 이번이 이 사용자의 첫 번째 로그인이므로 Google 서비스 약관 및 개인정보처리방침에 동의하라는 메시지가 나타납니다.
약관에 동의하면 동의를 클릭합니다.
Google Cloud Console로 리디렉션되어, 환경설정을 확인하고 Google Cloud 서비스 약관에 동의하라는 메시지가 나타납니다. 약관에 동의하면 예를 클릭한 다음 동의 및 계속하기를 클릭합니다.
왼쪽 상단에서 아바타 아이콘을 클릭하고 로그아웃을 클릭합니다.
성공적으로 로그아웃되었음을 확인하는 AD FS 페이지로 리디렉션됩니다.
로그인하는 데 문제가 있으면 AD FS 관리자 로그에서 추가 정보를 확인할 수 있습니다.
최고 관리자 권한이 있는 사용자는 싱글 사인온(SSO)에서 제외되므로 관리 콘솔을 사용하여 설정을 확인하거나 변경할 수 있습니다.
(선택사항) 도메인별 서비스 URL에 대한 리디렉션 구성
내부 포털 또는 문서에서 Google Cloud 콘솔에 연결할 때 도메인별 서비스 URL을 사용하여 사용자 경험을 개선할 수 있습니다.
https://console.cloud.google.com/
같은 일반 서비스 URL과 달리 도메인별 서비스 URL에는 기본 도메인 이름이 포함됩니다. 인증되지 않은 사용자가 도메인별 서비스 URL의 링크를 클릭하면 Google 로그인 페이지가 먼저 표시되지 않고 즉시 AD FS로 리디렉션됩니다.
도메인별 서비스 URL의 예시는 다음과 같습니다.
Google 서비스 | URL | 로고 |
---|---|---|
Google Cloud 콘솔 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com |
|
Google Docs | https://docs.google.com/a/DOMAIN |
|
Google Sheets | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com
|
|
Google Sites | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com |
|
Google Drive | https://drive.google.com/a/DOMAIN |
|
Gmail | https://mail.google.com/a/DOMAIN |
|
Google 그룹스 | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com |
|
Google Keep | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com
|
|
Looker Studio | https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com |
AD FS로 리디렉션되도록 도메인별 서비스 URL을 구성하려면 다음을 수행합니다.
관리 콘솔의 서드 파티 IDP를 통한 SSO 페이지에서 도메인별 서비스 URL > 수정을 클릭합니다.
다음 SSO 프로필의 서드 파티 IdP로 사용자 자동 리디렉션을 사용 설정됨으로 설정합니다.
SSO 프로필을
AD FS
로 설정합니다.저장을 클릭합니다.
(선택사항) 본인 확인 요청 구성
사용자가 알 수 없는 기기에서 로그인하거나 다른 이유로 인해 로그인 시도가 의심스러운 경우 Google 로그인에서 추가 확인을 요청할 수 있습니다. 이러한 본인 확인 요청은 보안을 개선하는 데 도움이 되므로 본인 확인 요청을 사용 설정한 상태로 두는 것이 좋습니다.
본인 확인 요청으로 인해 많은 문제가 발생하는 경우 다음을 수행하여 본인 확인 요청을 사용 중지할 수 있습니다.
- 관리 콘솔에서 보안 > 인증 > 본인 확인 요청으로 이동합니다.
- 왼쪽 창에서 본인 확인 요청을 사용 중지할 조직 단위를 선택합니다. 모든 사용자에 대해 본인 확인 요청을 사용 중지하려면 루트 조직 단위를 선택합니다.
- 다른 SSO 프로필을 사용하여 로그인하는 사용자 설정에서 사용자에게 Google의 추가 확인을 요청하지 않음을 선택합니다.
- 저장을 클릭합니다.
삭제
조직에서 싱글 사인온(SSO)을 사용 설정하지 않으려면 다음 단계에 따라 Cloud ID 또는 Google Workspace에서 싱글 사인온(SSO)을 사용 중지하세요.
관리 콘솔에서 SSO 프로필 할당 관리로 이동합니다.
각 프로필 할당에 대해 다음을 수행합니다.
- 프로필을 엽니다.
- 상속 버튼이 표시되면 상속을 클릭합니다. 상속 버튼이 표시되지 않으면 없음을 선택하고 저장을 클릭합니다.
서드 파티 IDP를 통한 SSO 페이지로 돌아가서 AD FS SAML 프로필을 엽니다.
삭제를 클릭합니다.
AD FS의 구성을 삭제하려면 다음 단계를 따르세요.
- AD FS 서버에 연결하고 AD FS MMC 스냅인을 엽니다.
- 왼쪽 메뉴에서 Relying Party Trusts(신뢰 당사자 트러스트) 폴더를 마우스 오른쪽 버튼으로 클릭합니다.
- 신뢰 당사자 트러스트 목록에서 생성한 신뢰 당사자 트러스트를 마우스 오른쪽 버튼으로 클릭하고 Delete(삭제)를 클릭합니다.
- Yes(예)를 클릭하여 삭제를 확인합니다.