Okta 사용자 프로비저닝 및 싱글 사인온(SSO)

Last reviewed 2024-01-03 UTC

이 문서에서는 Okta 조직과 Cloud ID 또는 Google Workspace 계정 간에 사용자 프로비저닝과 싱글 사인온(SSO)을 설정하는 방법을 보여줍니다.

이 문서는 개발자가 조직에서 이미 Okta를 사용 중이고 Okta를 사용하여 사용자가 Google Cloud에 인증할 수 있도록 허용한다고 가정하고 작성되었습니다.

목표

  • 사용자 및 그룹(선택사항)을 Cloud ID 또는 Google Workspace에 자동으로 프로비저닝하도록 Okta 구성하기
  • 사용자가 Okta 사용자 계정을 사용하여 Google Cloud에 로그인할 수 있도록 싱글 사인온(SSO) 구성하기

비용

Cloud ID 무료 버전을 사용하는 경우 Okta와 페더레이션을 설정하면 청구 가능한 Google Cloud 구성요소가 사용되지 않습니다.

Okta 사용에 적용될 수 있는 요금은 Okta 가격 책정 페이지를 참조하세요.

시작하기 전에

  • 아직 계정이 없으면 Cloud ID에 가입하세요.
  • Cloud ID 무료 버전을 사용 중이고 50명이 넘는 사용자를 프로비저닝하려는 경우 지원 담당자를 통해 총 무료 Cloud ID 사용자 수 증가를 요청하세요.
  • Cloud ID에 사용할 도메인을 직원이 일반 계정 등록에 사용한 것으로 의심되는 경우 우선 이러한 사용자 계정의 마이그레이션을 고려해 보세요. 자세한 내용은 기존 사용자 계정 평가를 참조하세요.

Cloud ID 또는 Google Workspace 계정 준비

Okta 사용자 만들기

Okta가 Cloud ID 또는 Google Workspace 계정에 액세스하도록 허용하려면 Cloud ID 또는 Google Workspace 계정에 Okta 사용자를 만들어야 합니다.

Okta 사용자는 자동 프로비저닝 전용입니다. 따라서 별도의 조직 단위(OU)에 두어 다른 사용자 계정과 분리하는 것이 가장 좋습니다. 별도의 OU를 사용하면 나중에 Okta 사용자에 대해 싱글 사인온(SSO)을 사용 중지할 수 있습니다.

새 OU를 만들려면 다음 안내를 따르세요.

  1. 관리 콘솔을 열고 Cloud ID 또는 Google Workspace에 가입할 때 생성된 최고 관리자를 사용하여 로그인합니다.
  2. 메뉴에서 디렉터리 > 조직 단위로 이동합니다.
  3. 조직 단위 만들기를 클릭하고 OU의 이름과 설명을 입력합니다.
    • 이름: Automation
    • 설명: Automation users
  4. 만들기를 클릭합니다.

Okta의 사용자 계정을 만들고 Automation OU에 배치합니다.

  1. 메뉴에서 디렉터리 > 사용자로 이동하고 새 사용자 추가를 클릭하여 사용자를 만듭니다.
  2. 다음과 같이 적절한 이름과 이메일 주소를 입력합니다.

    • 이름: Okta
    • : Provisioning
    • 기본 이메일: okta-provisioning

      이메일 주소의 기본 도메인을 유지합니다.

  3. 사용자 비밀번호, 조직 단위, 프로필 사진 관리를 클릭하고 다음 설정을 구성합니다.

    • 조직 단위: 이전에 만든 Automation OU를 선택합니다.
    • 비밀번호: 비밀번호 만들기를 선택하고 비밀번호를 입력합니다.
    • 다음 로그인 시 비밀번호 변경 요청: 사용 중지됨.
  4. 새 사용자 추가를 클릭합니다.

  5. 완료를 클릭합니다.

Okta에 권한 할당

Okta에서 Cloud ID 또는 Google Workspace 계정에서 사용자와 그룹을 만들고, 나열하고, 정지하도록 허용하려면 okta-provisioning 사용자를 최고 관리자로 만들어야 합니다.

  1. 목록에서 새로 생성된 사용자를 찾은 다음 사용자 이름을 클릭하여 계정 페이지를 엽니다.
  2. 관리자 역할 및 권한에서 역할 할당을 클릭합니다.
  3. 최고 관리자 역할을 사용 설정합니다.
  4. 저장을 클릭합니다.

Okta 프로비저닝 구성

이제 Okta 카탈로그에서 Google Workspace 애플리케이션을 설정하여 Okta를 Cloud ID 또는 Google Workspace 계정에 연결할 수 있습니다.

Google Workspace 애플리케이션은 사용자 프로비저닝과 싱글 사인온(SSO)을 모두 처리할 수 있습니다. Cloud ID를 사용 중이고 Google Cloud에 싱글 사인온(SSO)만 설정하려는 경우에도 이 애플리케이션을 사용하세요.

애플리케이션 만들기

Google Workspace 애플리케이션을 설정하려면 다음 안내를 따르세요.

  1. Okta 관리자 대시보드를 열고 최고 관리자 권한이 있는 사용자로 로그인합니다.
  2. 메뉴에서 Applications > Applications으로 이동합니다.
  3. 앱 카탈로그 찾아보기를 클릭합니다.
  4. Google Workspace를 검색하고 Google Workspace 애플리케이션을 선택합니다.
  5. 통합 추가를 클릭합니다.
  6. 일반 설정 페이지에서 다음을 구성합니다.

    • 애플리케이션 라벨: Google Cloud
    • Google Apps 회사 도메인: Cloud ID 또는 Google Workspace 계정에서 사용하는 기본 도메인 이름입니다.
    • 다음 링크 표시:

      • 계정사용 설정됨으로 설정합니다.
      • Google Workspace를 사용하는 경우 다른 링크를 사용 설정됨으로 설정하고 그렇지 않으면 다른 링크를 사용 중지됨으로 설정합니다.
    • 애플리케이션 공개 상태: Google Workspace를 사용하는 경우 사용 설정됨으로 설정되고 그렇지 않으면 사용 중지됨으로 설정합니다.

    • 브라우저 플러그인 자동 제출: 중지됨으로 설정합니다.

  7. 다음을 클릭합니다.

  8. 사인온 옵션 페이지에서 다음을 구성합니다.

    • 사인온 메서드: SAML 2.0을 선택합니다.
    • 기본 릴레이 상태: 비워 둡니다.
    • 고급 사인온 설정 > RPID: 비워둡니다.
  9. Cloud ID 또는 Google Workspace 사용자의 기본 이메일 주소를 채우는 방법을 결정합니다. 사용자의 기본 이메일 주소에는 Cloud ID 또는 Google Workspace 계정의 기본 도메인 또는 보조 도메인 중 하나를 사용해야 합니다.

    Okta 사용자 이름

    사용자의 Okta 사용자 이름을 기본 이메일 주소로 사용하려면 다음 설정을 사용합니다.

    • 애플리케이션 사용자 이름 형식: Okta 사용자 이름
    • 애플리케이션 사용자 이름 업데이트: 만들고 업데이트합니다.

    이메일

    사용자의 Okta 사용자 이름을 기본 이메일 주소로 사용하려면 다음 설정을 사용합니다.

    • 애플리케이션 사용자 이름 형식: 이메일
    • 애플리케이션 사용자 이름 업데이트: 만들고 업데이트합니다.
  10. 완료를 클릭합니다.

사용자 프로비저닝 구성

이 섹션에서는 사용자와 그룹을 Google Cloud에 자동으로 프로비저닝하도록 Okta를 구성합니다.

  1. Google Cloud 애플리케이션의 설정 페이지에서 프로비저닝 탭을 엽니다.
  2. API 통합 구성을 클릭하고 다음을 구성합니다.

    • API 통합 사용 설정: 사용 설정됨으로 설정합니다.
    • 그룹 가져오기: Okta로 가져오려는 기존 Cloud ID 또는 Google Workspace 그룹이 없으면 중지됨으로 설정합니다.
  3. Google Workspace로 인증을 클릭합니다.

  4. 앞에서 만든 okta-provisioning@DOMAIN 사용자를 사용하여 로그인합니다. 여기서 DOMAIN은 Cloud ID 또는 Google Workspace의 기본 도메인입니다.

  5. Google 서비스 약관 및 개인정보처리방침을 검토합니다. 약관에 동의하면 이해합니다를 클릭합니다.

  6. 허용을 클릭하여 Cloud ID API 액세스를 확인합니다.

  7. 저장을 클릭합니다.

Okta가 Cloud ID 또는 Google Workspace 계정에 연결되어 있지만 프로비저닝이 여전히 사용 중지되어 있습니다. 프로비저닝을 사용 설정하려면 다음 안내를 따르세요.

  1. Google Cloud 애플리케이션의 설정 페이지에서 프로비저닝 탭을 엽니다.
  2. 수정을 클릭하고 다음을 구성합니다.

    • 사용자 만들기: 사용 설정됨으로 설정합니다.
    • 사용자 속성 업데이트: 사용 설정됨으로 설정합니다.
    • 사용자 비활성화: 사용 설정으로 설정합니다.
    • 동기화 비밀번호: 사용 중지됨으로 설정합니다.
  3. 필요한 경우 프로필 편집기로 이동을 클릭하여 속성 매핑을 맞춤설정합니다.

    커스텀 매핑을 사용하는 경우 userName, nameGivenName, nameFamilyName을 매핑해야 합니다. 다른 모든 속성 매핑은 선택사항입니다.

  4. 저장을 클릭합니다.

사용자 할당 구성

이 섹션에서는 Cloud ID 또는 Google Workspace에 프로비저닝할 Okta 사용자를 구성합니다.

  1. Google Cloud 애플리케이션의 설정 페이지에서 할당 탭을 엽니다.
  2. 할당 > 사용자에게 할당 또는 할당 > 그룹에 할당을 클릭합니다.
  3. 사용자 또는 그룹을 선택하고 할당을 클릭합니다.
  4. 할당 대화상자가 나타나면 기본 설정을 유지하고 저장하고 돌아가기를 클릭합니다.
  5. 완료를 클릭합니다.

프로비저닝하려는 각 사용자 또는 그룹에 대해 이 섹션의 단계를 반복합니다. 모든 사용자를 Cloud ID 또는 Google Workspace에 프로비저닝하려면 모든 사용자 그룹을 할당합니다.

그룹 할당 구성

원하는 경우 Okta에서 Cloud ID 또는 Google Workspace에 그룹을 프로비저닝하도록 할 수 있습니다. 그룹을 개별적으로 선택하는 대신 이름 지정 규칙에 따라 그룹을 프로비저닝하도록 Okta를 구성하는 것이 가장 좋습니다.

예를 들어 Okta가 google-cloud로 시작하는 모든 그룹을 프로비저닝하도록 하려면 다음을 수행합니다.

  1. Google Cloud 애플리케이션의 설정 페이지에서 푸시 그룹 탭을 엽니다.
  2. 푸시 그룹 > 역할로 그룹 찾기를 클릭합니다.
  3. 규칙별 푸시 그룹 페이지에서 다음 규칙을 구성합니다.

    • 규칙 이름: 역할의 이름입니다(예: Google Cloud).
    • 그룹 이름: google-cloud시작합니다.
  4. 규칙 만들기를 클릭합니다.

문제 해결

사용자 또는 그룹 프로비저닝 문제를 해결하려면 Google Cloud 애플리케이션의 설정 페이지에서 로그 보기를 클릭합니다.

Okta에서 사용자 프로비저닝에 실패한 시도를 다시 시도하도록 하려면 다음을 수행합니다.

  1. 대시보드 > 태스크로 이동합니다.
  2. 실패한 태스크를 찾아 세부정보를 엽니다.
  3. 세부정보 페이지에서 선택한 항목 재시도를 클릭합니다.

싱글 사인온(SSO)용 Okta 구성

Okta 프로비저닝을 구성하는 단계를 수행했으면 이제 모든 관련 Okta 사용자가 Cloud ID 또는 Google Workspace에 자동으로 프로비저닝됩니다. 이러한 사용자가 로그인할 수 있도록 허용하려면 싱글 사인온(SSO)을 구성하세요.

  1. Google Cloud 애플리케이션의 설정 페이지에서 사인온 탭을 엽니다.
  2. SAML 2.0 > 세부정보 더보기를 클릭합니다.
  3. 다운로드를 클릭하여 서명 인증서를 다운로드합니다.
  4. 로그인 URL로그아웃 URL은 다음 단계 중 하나에서 필요합니다.

Okta를 싱글 사인온(SSO)용으로 준비한 후 Cloud ID 또는 Google Workspace 계정에서 싱글 사인온(SSO)을 사용 설정할 수 있습니다.

  1. 관리 콘솔을 열고 최고 관리자를 사용하여 로그인합니다.
  2. 메뉴에서 더보기를 클릭하고 보안 > 인증 > 타사 IdP를 통한 SSO로 이동합니다.
  3. SSO 프로필 추가를 클릭합니다.

  4. 타사 ID 공급업체로 SSO 설정사용 설정됨으로 설정합니다.

  5. 다음 설정을 입력합니다.

    1. 로그인 페이지 URL: Okta 설정 페이지에서 복사한 로그인 URL을 입력합니다.
    2. 로그아웃 페이지 URL: Okta 설정 페이지에서 복사한 로그아웃 URL을 입력합니다.
    3. 비밀번호 URL 변경: https://ORGANIZATION.okta.com/enduser/settings 여기서 ORGANIZATION은 Okta 조직의 이름입니다.
  6. 확인 인증서에서 인증서 업로드를 클릭하고 이전에 다운로드한 토큰 서명 인증서를 선택합니다.

  7. 저장을 클릭합니다.

Automation OU의 SSO 설정을 업데이트하여 싱글 사인온(SSO)을 사용 중지합니다.

  1. SSO 프로필 할당 관리에서 시작하기를 클릭합니다.
  2. 조직 단위를 펼치고 Automation OU를 선택합니다.
  3. 조직의 타사 SSO 프로필에서 SSO 프로필 할당을 없음으로 변경합니다.
  4. 재정의를 클릭합니다.

앱 대시보드에 Google Cloud 콘솔 및 기타 Google 서비스 추가

Google Cloud 콘솔과 다른 Google 서비스(필요한 경우)를 사용자의 Okta 앱 대시보드에 추가하려면 다음을 수행합니다.

  1. Okta 관리 대시보드에서 애플리케이션 > 애플리케이션을 선택합니다.
  2. 앱 카탈로그 찾아보기를 클릭합니다.
  3. Bookmark app을 검색하고 북마크 앱 애플리케이션을 선택합니다.
  4. 통합 추가를 클릭합니다.
  5. 일반 설정 페이지에서 다음을 구성합니다.

    • 애플리케이션 라벨: Google Cloud console
    • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/. PRIMARY_DOMAIN을 Cloud ID 또는 Google Workspace 계정에서 사용하는 기본 도메인 이름으로 바꿉니다.
  6. 완료를 클릭합니다.

  7. 애플리케이션 로고를 Google Cloud 로고로 변경합니다.

  8. 사인온 탭을 엽니다.

  9. 사용자 인증 > 수정을 클릭하고 다음을 구성합니다.

    • 인증 정책: Okta 대시보드로 설정합니다.
  10. 저장을 클릭합니다.

  11. 할당 탭을 열고 사용자를 한 명 이상 할당합니다. 할당된 사용자는 사용자 대시보드에 Google Cloud 콘솔 링크가 표시됩니다.

필요한 경우 사용자 대시보드에 포함하려는 추가 Google 서비스에 대해 위 단계를 반복합니다. 아래 표에는 일반적으로 사용되는 Google 서비스의 URL과 로고가 포함되어 있습니다.

Google 서비스 URL 로고
Google Cloud 콘솔 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Google Cloud 로고
Google Docs https://docs.google.com/a/DOMAIN Google 문서 로고
Google Sheets https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Google Sheets 로고
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Google Sites 로고
Google Drive https://drive.google.com/a/DOMAIN Google Drive 로고
Gmail https://mail.google.com/a/DOMAIN Gmail 로고
Google 그룹스 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Google 그룹스 로고
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Google Keep 로고
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Looker Studio 로고

싱글 사인온(SSO) 테스트

Okta와 Cloud ID 또는 Google Workspace 모두 싱글 사인온(SSO) 구성을 완료하면 다음 두 가지 방법으로 Google Cloud에 액세스할 수 있습니다.

두 번째 옵션이 의도된 대로 작동하는지 확인하기 위해 다음 테스트를 실행합니다.

  1. Cloud ID 또는 Google Workspace에 프로비저닝되고 최고 관리자 권한이 할당되지 않은 Okta 사용자를 선택합니다. 최고 관리자 권한이 있는 사용자는 항상 Google 사용자 인증 정보를 사용하여 로그인해야 하기 때문에 싱글 사인온(SSO)을 테스트하는 데 적합하지 않습니다.
  2. 새 브라우저 창을 열고 https://console.cloud.google.com/으로 이동합니다.
  3. 표시되는 Google 로그인 페이지에서 사용자의 이메일 주소를 입력하고 다음을 클릭합니다.
  4. Okta로 리디렉션되고 다른 로그인 메시지가 표시됩니다. 사용자의 이메일 주소를 입력하고 단계에 따라 인증합니다.

    인증에 성공하면 Okta가 Google 로그인으로 리디렉션합니다. 이 사용자를 사용하여 로그인하는 것이 처음이기 때문에 Google 서비스 약관 및 개인정보처리방침을 수락하라는 메시지가 표시됩니다.

  5. 약관에 동의하면 이해합니다를 클릭합니다.

    Google Cloud 콘솔로 리디렉션되어, 환경설정을 확인하고 Google Cloud 서비스 약관에 동의하라는 메시지가 나타납니다.

  6. 약관에 동의하면 를 선택하고 동의 및 계속하기를 클릭합니다.

  7. 페이지 왼쪽 상단에서 아바타 아이콘을 클릭한 후 로그아웃을 클릭합니다.

    성공적으로 로그아웃되었음을 확인하는 Okta 페이지로 리디렉션됩니다.

최고 관리자 권한이 있는 사용자는 싱글 사인온(SSO)에서 제외되므로 관리 콘솔을 사용하여 설정을 확인하거나 변경할 수 있습니다.

삭제

이 튜토리얼에서 사용된 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 리소스가 포함된 프로젝트를 삭제하거나 프로젝트를 유지하고 개별 리소스를 삭제하세요.

다음 단계