Microsoft Entra ID(이전 명칭: Azure AD) 사용자 프로비저닝 및 싱글 사인온(SSO)

Cloud ID 또는 Google Workspace 계정 준비

Microsoft Entra ID 사용자 만들기

Microsoft Entra ID가 Cloud ID 또는 Google Workspace 계정에 액세스하도록 허용하려면 Cloud ID 또는 Google Workspace 계정에 Microsoft Entra ID 사용자를 만들어야 합니다.

Microsoft Entra ID 사용자는 자동 프로비저닝 전용입니다. 따라서 별도의 조직 단위(OU)에 두어 다른 사용자 계정과 분리하는 것이 가장 좋습니다. 별도의 OU를 사용하면 나중에 Microsoft Entra ID 사용자에 대해 싱글 사인온(SSO)을 사용 중지할 수 있습니다.

새 OU를 만들려면 다음 안내를 따르세요.

1. 관리 콘솔을 열고 Cloud ID 또는 Google Workspace에 가입할 때 생성된 최고 관리자를 사용하여 로그인합니다.
2. 메뉴에서 디렉터리 > 조직 단위로 이동합니다.
3. 조직 단위 만들기를 클릭하고 OU의 이름과 설명을 입력합니다.
   • 이름: Automation
   • 설명: Automation users
4. 만들기를 클릭합니다.

Microsoft Entra ID 사용자 계정을 만들고 Automation OU에 배치합니다.

1. 메뉴에서 디렉터리 > 사용자로 이동하고 새 사용자 추가를 클릭하여 사용자를 만듭니다.

2. 다음과 같이 적절한 이름과 이메일 주소를 입력합니다.

   • 이름: Microsoft Entra ID
   • 성: Provisioning

   • 기본 이메일: azuread-provisioning

     이메일 주소의 기본 도메인을 유지합니다.

3. 사용자 비밀번호, 조직 단위, 프로필 사진 관리를 클릭하고 다음 설정을 구성합니다.

   • 조직 단위: 이전에 만든 Automation OU를 선택합니다.
   • 비밀번호: 비밀번호 만들기를 선택하고 비밀번호를 입력합니다.
   • 다음 로그인 시 비밀번호 변경 요청: 사용 중지됨.

4. 새 사용자 추가를 클릭합니다.

5. 완료를 클릭합니다.

Microsoft Entra ID에 권한 할당

Microsoft Entra ID를 사용하여 Cloud ID 또는 Google Workspace 계정에서 사용자와 그룹을 생성, 나열, 정지하려면 다음과 같이 azuread-provisioning 사용자에게 추가 권한을 부여해야 합니다.

• Microsoft Entra ID가 위임된 관리자 및 최고 관리자를 포함한 모든 사용자를 관리하도록 허용하려면 azuread-provisioning 사용자를 최고 관리자로 만들어야 합니다.

• Microsoft Entra ID를 사용하여 관리자 외 사용자만 관리할 수 있도록 허용하려면 azuread-provisioning 사용자를 위임된 관리자로 만듭니다. 위임된 관리자로서 Microsoft Entra ID는 다른 위임된 관리자 또는 최고 관리자를 관리할 수 없습니다.

도메인 등록

Cloud ID 및 Google Workspace에서 사용자와 그룹은 이메일 주소로 식별됩니다. 이러한 이메일 주소에서 사용되는 도메인을 먼저 등록하고 확인해야 합니다.

등록해야 하는 DNS 도메인 목록을 준비합니다.

• 사용자를 UPN으로 매핑하려는 경우 UPN에서 사용되는 모든 도메인을 포함합니다. 확실하지 않으면 Microsoft Entra ID 테넌트의 모든 커스텀 도메인을 포함합니다.
• 이메일 주소로 사용자를 매핑하려는 경우 이메일 주소에 사용되는 모든 도메인을 포함합니다. 이 도메인 목록은 Microsoft Entra ID 테넌트의 커스텀 도메인 목록과 다를 수 있습니다.

그룹을 프로비저닝하려는 경우 DNS 도메인 목록을 수정합니다.

• 이메일 주소로 그룹을 매핑하려는 경우 그룹 이메일 주소에 사용되는 모든 도메인을 포함합니다. 확실하지 않으면 Microsoft Entra ID 테넌트의 모든 커스텀 도메인을 포함합니다.
• 이름을 기준으로 그룹을 매핑하려면 groups.PRIMARY_DOMAIN과 같은 전용 하위 도메인을 포함합니다. 여기서 PRIMARY_DOMAIN은 Cloud ID 또는 Google Workspace 계정의 기본 도메인 이름입니다.

이제 DNS 도메인 목록이 식별되었으므로 누락된 도메인을 모두 등록할 수 있습니다. 목록에서 아직 등록되지 않은 각 도메인에 대해 다음 단계를 수행합니다.

1. 관리 콘솔에서 계정 > 도메인 > 도메인 관리로 이동합니다.
2. 도메인 추가/삭제를 클릭합니다.
3. 도메인 추가를 클릭합니다.
4. 도메인 이름을 입력하고 보조 도메인을 선택합니다.
5. 도메인 추가 및 확인 시작을 클릭하고 안내에 따라 도메인 소유권을 확인합니다.

Microsoft Entra ID 프로비저닝 구성

엔터프라이즈 애플리케이션 만들기

이제 Microsoft Azure Marketplace에서 Google Cloud/G Suite Connector by Microsoft 갤러리 앱을 설정하여 Microsoft Entra ID를 Cloud ID 또는 Google Workspace 계정에 연결할 수 있습니다.

갤러리 앱은 사용자 프로비저닝 및 싱글 사인온(SSO)을 모두 처리하도록 구성할 수 있습니다. 이 문서에서는 사용자 프로비저닝과 싱글 사인온(SSO)을 위한 2개의 갤러리 앱 인스턴스를 사용합니다.

먼저 사용자 프로비저닝을 처리하기 위해 갤러리 앱 인스턴스를 만듭니다.

1. Azure 포털을 열고 전역 관리자 권한이 있는 사용자로 로그인합니다.
2. Microsoft Entra ID > 엔터프라이즈 애플리케이션을 선택합니다.
3. New application(새 애플리케이션)을 클릭합니다.
4. Google Cloud를 검색한 후 결과 목록에서 Google Cloud/G Suite Connector by Microsoft 항목을 클릭합니다.
5. 애플리케이션 이름을 Google Cloud (Provisioning)로 설정합니다.
6. 만들기를 클릭합니다.
7. 애플리케이션을 추가하면 몇 초 정도 걸릴 수 있으며, 그런 다음 Google Cloud(프로비저닝) - 개요 페이지로 리디렉션됩니다.
8. 왼쪽의 메뉴에서 Manage(관리) > Properties(속성)를 클릭합니다.
   1. Enabled for users to sign-in(사용자 로그인을 위해 사용 설정됨)을 No(아니요)로 설정합니다.
   2. User assignment required(사용자 지정 필요)를 No(아니요)로 설정합니다.
   3. Visible to users(사용자에게 표시)를 No(아니요)로 설정합니다.
   4. 저장을 클릭합니다.
9. 왼쪽의 메뉴에서 Manage(관리) > Provisioning(프로비저닝)을 클릭합니다.
   1. 시작하기를 클릭합니다.
   2. 프로비저닝 모드를 자동으로 변경합니다.
   3. Admin Credentials(관리자 사용자 인증 정보) > Authorize(승인)를 클릭합니다.
   4. 앞에서 만든 azuread-provisioning@DOMAIN 사용자를 사용하여 로그인합니다. 여기서 DOMAIN은 Cloud ID 또는 Google Workspace의 기본 도메인입니다.
   5. 이 사용자를 사용하여 로그인하는 것이 처음이기 때문에, Google 서비스 약관 및 개인정보처리방침을 수락하라는 메시지가 표시됩니다.
   6. 약관에 동의하면 이해했습니다를 클릭합니다.
   7. 허용을 클릭하여 Cloud ID API 액세스를 확인합니다.
   8. 연결 테스트를 클릭하여 Microsoft Entra ID가 Cloud ID 또는 Google Workspace로 성공적으로 인증할 수 있는지 확인합니다.
   9. 저장을 클릭합니다.

사용자 프로비저닝 구성

사용자 프로비저닝 구성하는 방법은 사용자를 매핑할 때 이메일 주소 또는 UPN을 사용하는지에 따라 달라집니다.

primaryEmail, name.familyName, name.givenName, suspended의 매핑을 구성해야 합니다. 다른 모든 속성 매핑은 선택사항입니다.

추가 속성 매핑을 구성할 때는 다음 사항에 유의하세요.

• 현재 Google Cloud/G Suite Connector by Microsoft 갤러리에서는 이메일 별칭을 할당할 수 없습니다.
• 현재 Google Cloud/G Suite Connector by Microsoft 갤러리에서는 사용자에게 라이선스를 할당할 수 없습니다. 이 문제를 해결하려면 조직 단위의 자동 라이선스를 설정하는 것이 좋습니다.
• 조직 단위에 사용자를 할당하려면 OrgUnitPath에 매핑을 추가합니다. 경로는 / 문자로 시작해야 하며 이미 존재하는 조직 단위(예: /employees/engineering)를 참조해야 합니다.

그룹 프로비저닝 구성

그룹 프로비저닝을 구성하는 방법은 그룹에 메일이 사용 설정되었는지 여부에 따라 다릅니다. 그룹에 메일이 사용 설정되지 않았거나 그룹이 'onmicrosoft.com'으로 끝나는 이메일 주소를 사용하는 경우 그룹 이름에서 이메일 주소를 가져올 수 있습니다.

사용자 할당 구성

사용자의 특정 하위 집합만 Google Cloud 액세스가 필요하다고 판단되면 특정 사용자 또는 사용자 그룹에 엔터프라이즈 앱을 할당하여 선택적으로 해당 사용자 집합을 프로비저닝하도록 제한할 수 있습니다.

모든 사용자를 프로비저닝하려면 다음 단계를 건너 뛸 수 있습니다.

1. 왼쪽의 메뉴에서 Manage(관리) > Users and groups(사용자 및 그룹)를 클릭합니다.
2. '사용자 추가'를 클릭합니다.
3. Users(사용자)를 선택합니다.
4. 프로비저닝하려는 사용자 또는 그룹을 선택합니다. 그룹을 선택하면 이 그룹의 모든 구성원이 자동으로 프로비저닝됩니다.
5. Select(선택)를 클릭합니다.
6. Assign(할당)을 클릭합니다.

자동 프로비저닝 사용 설정

다음 단계는 Cloud ID 또는 Google Workspace에 사용자를 자동으로 프로비저닝하도록 Microsoft Entra ID를 구성하는 것입니다.

1. 왼쪽의 메뉴에서 Manage(관리) > Provisioning(프로비저닝)을 클릭합니다.
2. Edit provisioning(프로비저닝 수정)을 선택합니다.
3. 프로비저닝 상태를 사용으로 설정합니다.

4. Settings(설정) 아래에서 Scope(범위)를 다음 중 하나로 설정합니다.

   1. 사용자 할당을 구성한 경우 Sync only assigned users and groups(할당된 사용자 및 그룹만 동기화)로 설정합니다.
   2. 그렇지 않으면 Sync all users and groups(모든 사용자 및 그룹 동기화)로 설정합니다.

   범위를 설정하기 위한 이 상자가 표시되지 않았으면 Save(저장)를 클릭하고 페이지를 새로고침합니다.

5. 저장을 클릭합니다.

Microsoft Entra ID가 초기 동기화를 시작합니다. 디렉터리의 사용자 및 그룹 수에 따라 이 프로세스에 몇 분 또는 몇 시간이 걸릴 수 있습니다. 브라우저 페이지를 새로고침하여 페이지 하단에서 동기화 상태를 보거나, 메뉴에서 감사 로그를 선택하여 자세한 세부정보를 볼 수 있습니다.

초기 동기화가 완료되면 Microsoft Entra ID가 주기적으로 Microsoft Entra ID에서 Cloud ID 또는 Google Workspace 계정으로 업데이트를 전파합니다. Microsoft Entra ID가 사용자 및 그룹 수정사항을 처리하는 방법에 대한 자세한 내용은 사용자 수명주기 매핑과 그룹 수명주기 매핑을 참조하세요.

문제 해결

5분 내에 동기화가 시작되지 않으면 다음을 수행하여 강제로 시작할 수 있습니다.

1. 프로비저닝 상태를 사용 안함으로 설정합니다.
2. 저장을 클릭합니다.
3. 프로비저닝 상태를 사용으로 설정합니다.
4. 저장을 클릭합니다.
5. 프로비저닝 다시 시작을 선택합니다.
6. 저장을 클릭합니다.
7. 동기화를 다시 시작할지 묻는 메시지가 표시되면 예를 클릭합니다.

그래도 동기화가 시작되지 않으면 연결 테스트를 클릭하여 사용자 인증 정보가 성공적으로 저장되었는지 확인합니다.

싱글 사인온(SSO)용 Microsoft Entra ID 구성

이제 모든 관련 Microsoft Entra ID 사용자가 Cloud ID또는 Google Workspace에 자동으로 프로비저닝되지만, 아직 이 사용자를 사용하여 로그인할 수는 없습니다. 사용자가 로그인할 수 있게 하려면 아직 싱글 사인온(SSO)을 구성해야 합니다.

엔터프라이즈 애플리케이션 만들기

싱글 사인온(SSO)을 처리하기 위해 두 번째 엔터프라이즈 애플리케이션을 만듭니다.

1. Azure 포털에서 Microsoft Entra ID > Enterprise applications(엔터프라이즈 애플리케이션)로 이동합니다.
2. New application(새 애플리케이션)을 클릭합니다.
3. Google Cloud를 검색한 후 결과 목록에서 Google Cloud/G Suite Connector by Microsoft를 클릭합니다.
4. 애플리케이션 이름을 Google Cloud로 설정합니다.

5. 추가를 클릭합니다.

   애플리케이션을 추가하려면 몇 초 정도 걸릴 수 있습니다. 그런 다음 Google Cloud - 개요 페이지로 리디렉션됩니다.

6. 왼쪽의 메뉴에서 Manage(관리) > Properties(속성)를 클릭합니다.

7. Enabled for users to sign-in(사용자 로그인을 위해 사용 설정됨)을 Yes(예)로 설정합니다.

8. 모든 사용자가 싱글 사인온(SSO)을 사용하도록 허용하려는 경우가 아니면, User assignment required(사용자 할당 필요)를 Yes(예)로 설정합니다.

9. 저장을 클릭합니다.

사용자 할당 구성

사용자의 특정 하위 집합만 Google Cloud 액세스가 필요하다고 판단되면 특정 사용자 또는 사용자 그룹에 엔터프라이즈 앱을 할당하여 선택적으로 해당 사용자 집합의 로그인을 허용하도록 제한할 수 있습니다.

이전에 사용자 할당 필요를 아니요로 설정한 경우 다음 단계를 건너 뛸 수 있습니다.

1. 왼쪽의 메뉴에서 Manage(관리) > Users and groups(사용자 및 그룹)를 클릭합니다.
2. '사용자 추가'를 클릭합니다.
3. Users and groups/None Selected(사용자 및 그룹/선택된 항목 없음)를 선택합니다.
4. 싱글 사인온(SSO)을 허용하려는 사용자 또는 그룹을 선택합니다.
5. Select(선택)를 클릭합니다.
6. Assign(할당)을 클릭합니다.

SAML 설정 구성

Cloud ID가 Microsoft Entra ID를 인증에 사용하도록 설정하려면 몇 가지 설정을 조정해야 합니다.

1. 왼쪽의 메뉴에서 Manage(관리) > Single sign-on(싱글 사인온(SSO))을 클릭합니다.
2. 선택 화면에서 SAML 카드를 클릭합니다.
3. 기본 SAML 구성 카드에서 edit 수정을 클릭합니다.
4. Basic SAML Configuration(기본 SAML 구성) 대화상자에서 다음 설정을 입력합니다.
   1. Identifier (Entity ID)(식별자(항목 ID)): google.com
   2. Reply URL(답장 URL): https://www.google.com/
   3. Sign on URL(URL에 로그인): https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/. PRIMARY_DOMAIN을 Cloud ID 또는 Google Workspace 계정에서 사용하는 기본 도메인 이름으로 바꿉니다.
5. Save(저장)를 클릭한 후 X를 클릭하여 대화상자를 닫습니다.
6. SAML Signing Certificate(SAML 서명 인증서) 카드에서 Certificate (Base 64)(인증서(Base 64)) 항목을 찾고 Download(다운로드)를 클릭하여 인증서를 로컬 컴퓨터에 다운로드합니다.
7. Set up Google Cloud(Google Cloud 설정) 카드에서 Login URL(로그인 URL)을 찾습니다. 이후에 이 URL이 필요합니다.

남은 단계는 사용자 매핑 방법이 이메일 주소 또는 UPN인지에 따라 달라집니다.

싱글 사인온(SSO)용 Cloud ID 또는 Google Workspace 구성

이제 싱글 사인온(SSO)용 Microsoft Entra ID가 준비되었으므로 Cloud ID 또는 Google Workspace 계정에서 싱글 사인온(SSO)을 사용 설정할 수 있습니다.

1. 관리 콘솔을 열고 최고 관리자를 사용하여 로그인합니다.
2. 메뉴에서 더보기를 클릭하고 보안 > 인증 > 타사 IdP를 통한 SSO로 이동합니다.

3. SSO 프로필 추가를 클릭합니다.

4. 타사 ID 공급업체로 SSO 설정을 사용 설정됨으로 설정합니다.

5. 다음 설정을 입력합니다.

   1. 로그인 페이지 URL: Microsoft Entra ID 로그인 URL을 입력합니다. 로그인 URL은 구성 URL > 로그인 URL의 Azure 포털에서 Google Cloud 설정 카드에 있습니다.
   2. 로그아웃 페이지 URL: https://login.microsoftonline.com/common/wsfederation?wa=wsignout1.0
   3. 비밀번호 URL 변경: https://account.activedirectory.windowsazure.com/changepassword.aspx

6. 확인 인증서에서 인증서 업로드를 클릭하고 이전에 다운로드한 토큰 서명 인증서를 선택합니다.

7. 저장을 클릭합니다.

Automation OU의 SSO 설정을 업데이트하여 싱글 사인온(SSO)을 사용 중지합니다.

1. SSO 프로필 할당 관리에서 시작하기를 클릭합니다.
2. 조직 단위를 펼치고 Automation OU를 선택합니다.
3. 조직의 타사 SSO 프로필에서 SSO 프로필 할당을 없음으로 변경합니다.
4. 재정의를 클릭합니다.

Microsoft Entra ID 토큰 서명 인증서는 제한된 기간 동안 유효하며 만료되기 전에 인증서를 순환해야 합니다. 자세한 내용은 이 문서의 뒷부분에 있는 싱글 사인온(SSO) 인증서 순환을 참조하세요.

인증서 만료로 인해 사용자에게 영향을 주지 않게 인증서 만료 전 알림 이메일을 전송하도록 Microsoft Entra ID를 구성할 수 있습니다.

싱글 사인온(SSO) 테스트

이제 Microsoft Entra ID와 Cloud ID 또는 Google Workspace 모두 싱글 사인온(SSO) 구성이 완료되었으므로 다음 두 가지 방법으로 Google Cloud에 액세스할 수 있습니다.

• Microsoft Office 포털의 앱 목록을 통해 액세스합니다.
• https://console.cloud.google.com/을 열어서 직접 액세스합니다.

두 번째 옵션이 의도된 대로 작동하는지 확인하기 위해 다음 테스트를 실행합니다.

1. Cloud ID 또는 Google Workspace에 프로비저닝되고 최고 관리자 권한이 할당되지 않은 Microsoft Entra ID 사용자를 선택합니다. 최고 관리자 권한이 있는 사용자는 항상 Google 사용자 인증 정보를 사용하여 로그인해야 하기 때문에 싱글 사인온(SSO)을 테스트하는 데 적합하지 않습니다.
2. 새 브라우저 창을 열고 https://console.cloud.google.com/으로 이동합니다.

3. 표시되는 Google 로그인 페이지에서 사용자의 이메일 주소를 입력하고 다음을 클릭합니다. 도메인 대체를 사용하는 경우 이 주소는 대체가 적용된 이메일 주소여야 합니다.

   

4. Microsoft Entra ID로 리디렉션되고 다른 로그인 프롬프트가 표시됩니다. 도메인 대체 없이 사용자의 이메일 주소를 입력하고 Next(다음)를 클릭합니다.

   

5. 비밀번호를 입력하면 로그인 상태 유지 여부를 묻는 메시지가 표시됩니다. 지금은 No(아니요)를 선택합니다.

   인증에 성공하면 Microsoft Entra ID가 Google 로그인으로 리디렉션됩니다. 이 사용자를 사용하여 로그인하는 것이 처음이기 때문에 Google 서비스 약관 및 개인정보처리방침을 수락하라는 메시지가 표시됩니다.

6. 약관에 동의하면 이해했습니다를 클릭합니다.

   Google Cloud 콘솔로 리디렉션되어, 환경설정을 확인하고 Google Cloud 서비스 약관에 동의하라는 메시지가 나타납니다.

7. 약관에 동의하면 예를 선택하고 동의 및 계속하기를 클릭합니다.

8. 페이지 왼쪽 상단에서 아바타 아이콘을 클릭한 후 로그아웃을 클릭합니다.

   Microsoft Entra ID 페이지로 리디렉션되고 성공적으로 로그아웃되었는지 확인합니다.

최고 관리자 권한이 있는 사용자는 싱글 사인온(SSO)에서 제외되므로 관리 콘솔을 사용하여 설정을 확인하거나 변경할 수 있습니다.

싱글 사인온(SSO) 인증서 순환

Microsoft Entra ID 토큰 서명 인증서는 몇 달 동안만 유효하며 만료되기 전에 인증서를 교체해야 합니다.

서명 인증서를 순환하려면 Microsoft Entra ID 애플리케이션에 인증서를 추가합니다.

1. Azure 포털에서 Microsoft Entra ID > Enterprise applications(엔터프라이즈 애플리케이션)로 이동하고 싱글 사인온(SSO)를 위해 만든 애플리케이션을 엽니다.
2. 왼쪽의 메뉴에서 Manage(관리) > Single sign-on(싱글 사인온(SSO))을 클릭합니다.

3. SAML 서명 인증서 카드에서 edit 수정을 클릭합니다.

   하나 이상의 인증서 목록이 표시됩니다. 하나의 인증서는 활성으로 표시됩니다.

4. 새 인증서를 클릭합니다.

5. 기본 서명 설정을 유지하고 저장을 클릭합니다.

   인증서가 인증서 목록에 추가되고 비활성으로 표시됩니다.

6. 새 인증서를 선택하고 more_horiz > Base64 인증서 다운로드를 클릭합니다.

   브라우저 창을 열어 두고 대화상자를 닫지 마세요.

새 인증서를 사용하려면 다음 단계를 수행합니다.

1. 새 브라우저 탭 또는 창을 엽니다.
2. 관리 콘솔을 열고 최고 관리자를 사용하여 로그인합니다.
3. 메뉴에서 더보기를 클릭하고 보안 > 인증 > 타사 IdP를 통한 SSO로 이동합니다.
4. 조직의 SSO 프로필을 클릭합니다.

5. 인증서 교체를 클릭하고 이전에 다운로드한 새 인증서를 선택합니다.

6. 저장을 클릭합니다.

7. Microsoft Entra ID 포털과 SAML Signing Certificate(SAML 서명 인증서) 대화상자로 돌아갑니다.

8. 새 인증서를 선택하고 more_horiz > 인증서를 활성 상태로 설정을 클릭합니다.

9. 예를 클릭하여 인증서를 활성화합니다.

   이제 Microsoft Entra ID에서 새 서명 인증서를 사용합니다.

10. SSO가 여전히 예상대로 작동하는지 테스트합니다. 자세한 내용은 싱글 사인온(SSO) 테스트를 참조하세요.