이 문서에서는 Cloud ID 또는 Google Workspace 계정을 만드는 방법과 프로덕션 배포를 위해 계정을 준비하는 방법을 설명합니다.
시작하기 전에
Cloud ID 또는 Google Workspace 계정을 준비하려면 다음을 수행해야 합니다.
- 참조 아키텍처에 따라 프로덕션 배포의 대상 아키텍처를 선택합니다.
- 프로덕션 또는 스테이징 용도로 Cloud ID 또는 Google Workspace 계정이 하나 이상 필요한지 확인합니다. 사용할 수 있는 적절한 계정 수를 식별하는 방법에 대한 자세한 내용은 계정 및 조직 계획을 위한 권장사항을 참조하세요.
- 적합한 온보딩 계획을 식별하고 기존 사용자 계정 통합을 위한 기본 요건으로 계획에 정의된 모든 활동을 완료해야 합니다.
만들어야 하는 각 Cloud ID 또는 Google Workspace 계정에 대해 다음 사항을 확인합니다.
- 기본 도메인 이름으로 사용할 DNS 도메인 이름을 선택해야 합니다. 이 도메인 이름이 연결된 Google Cloud 조직의 이름을 결정합니다. 중립 도메인 이름을 기본 도메인 이름으로 사용할 수 있습니다.
- 계정에 추가할 보조 DNS 도메인 이름을 선택해야 합니다. 계정당 총 600개의 도메인을 초과하지 않아야 합니다.
새 Cloud ID 또는 Google Workspace 계정의 가입 절차를 완료하려면 다음 정보도 필요합니다.
- 연락처 전화번호 및 이메일 주소. Google에서는 계정에 문제가 있는 경우 이 전화번호와 이메일 주소를 사용하여 연락합니다.
첫 번째 최고 관리자 계정의 이메일 주소. 이메일 주소는 기본 DNS 도메인을 사용해야 하며 기존 일반 계정에서 사용해서는 안됩니다.
나중에 페더레이션을 설정하려는 경우 외부 ID 공급업체(IdP)의 사용자에게 매핑되는 이메일 주소를 선택합니다.
새 Cloud ID 또는 Google Workspace 계정을 만들려면 조직의 여러 팀과 이해관계자 간의 공동작업이 필요할 수 있습니다. 여기에는 다음이 포함될 수 있습니다.
- DNS 관리자. 기본 DNS 도메인과 보조 DNS 도메인을 확인하려면 두 DNS 영역 모두에 대한 관리 액세스 권한이 필요합니다.
- 외부 IdP를 사용하는 경우 외부 IdP의 관리자
- Google Cloud 조직의 향후 관리자
계정 준비 절차
다음 순서도는 Cloud ID 또는 Google Workspace 계정을 준비하는 절차를 보여줍니다. 다이어그램의 양측에 나와 있는 것처럼 절차를 진행하려면 다른 팀 간의 공동작업이 필요할 수 있습니다.
Cloud ID 또는 Google Workspace에 가입합니다. 가입 절차 중에 연락처 전화번호와 이메일 주소, 사용하려는 기본 도메인, 첫 번째 최고 관리자 계정의 사용자 이름을 제공해야 합니다.
DNS 서버의 해당 DNS 영역에 TXT 또는 CNAME 레코드를 만들어 기본 도메인의 소유권을 확인합니다.
Cloud ID 또는 Google Workspace 계정에 보조 도메인을 추가합니다.
DNS 서버의 해당 DNS 영역에 TXT 또는 CNAME 레코드를 만들어 보조 도메인의 소유권을 확인합니다.
보안 설정을 구성하여 계정을 보호합니다.
사용자 계정의 기본 구성을 만듭니다.
계정에 안전하게 액세스
가입 절차 중에 Cloud ID 또는 Google Workspace 계정에 첫 번째 사용자를 만듭니다. 이 사용자 계정에는 최고 관리자 권한이 할당되며 Cloud ID 또는 Google Workspace 계정에 대한 전체 액세스 권한이 있습니다.
Cloud ID 또는 Google Workspace 계정의 초기 구성을 완료하려면 최고 관리자 권한이 필요합니다. 초기 구성을 완료한 후 최고 관리자 권한이 필요한 경우는 드물지만 비즈니스 연속성을 유지하기 위해 다른 승인된 직원과 함께 Cloud ID 또는 Google Workspace 계정에 대한 최고 관리자 액세스 권한을 유지해야 합니다.
이러한 액세스를 보장하려면 다음을 수행하세요.
- Cloud ID 또는 Google Workspace 계정에 대한 최고 관리자 액세스 권한이 필요한 관리자 그룹을 선택합니다. 사용자 수를 적게 유지하는 것이 좋습니다.
- 각 관리자의 전용 최고 관리자 계정을 만듭니다.
- 이러한 사용자에게 Google 2단계 인증을 적용한 후 휴대전화나 USB 키를 분실해도 액세스 권한을 유지할 수 있도록 사용자에게 백업 코드를 생성하도록 요청합니다.
- 관리자에게 필요한 경우에만 최고 관리자 계정을 사용하도록 안내하고 해당 계정의 일상적인 사용을 억제합니다.
최고 관리자를 안전하게 유지하는 방법에 대한 자세한 내용은 최고 관리자 계정 권장사항을 참조하세요. 계정이 제대로 보호되고 있는지 확인하려면 중간 및 대규모 비즈니스를 위한 보안 체크리스트를 따르세요.
사용자 계정의 기본 설정 구성
Cloud ID 및 Google Workspace는 사용자 계정의 보안을 유지하는 데 도움이 되는 다양한 설정을 지원합니다.
- 2단계 인증 적용하기
- Google Workspace 및 Google 서비스에 액세스할 수 있는 사용자 관리하기
- 보안 수준이 낮은 앱에 대한 액세스 허용 또는 금지하기
- Cloud ID Premium 또는 Google Workspace에 라이선스 할당하기
- 데이터를 저장할 지리적 위치 선택하기 및 추가 데이터 스토리지 관리하기(Google Workspace만 해당)
관리 작업을 최소화하려면 이러한 설정이 신규 사용자에게 기본적으로 적용되도록 구성하는 것이 좋습니다. 다음 수준에서 기본 설정을 구성할 수 있습니다.
- 전역: 전역 설정이 모든 사용자에게 적용되지만 우선순위가 가장 낮습니다.
- 조직 단위(OU): OU에 구성된 설정이 OU의 모든 사용자와 하위 OU에 적용되며 전역 설정을 재정의합니다.
- 그룹: 그룹별로 구성된 설정이 그룹의 모든 구성원에게 적용되며 OU 및 전역 설정을 재정의합니다.
OU 구조 만들기
조직 단위의 구조를 만들면 Cloud ID 또는 Google Workspace 계정의 사용자 계정을 관리하기 쉽게 별개의 집합으로 분류할 수 있습니다.
Cloud ID를 외부 IdP와 함께 사용하는 경우 커스텀 조직 단위를 만들지 않아도 됩니다. 대신 전역 설정 및 그룹별 설정을 조합하여 사용할 수 있습니다.
- 모든 사용자 계정을 기본 OU에 유지합니다.
- 특정 Google 서비스에 액세스할 수 있는 사용자를 지정하려면 외부 IdP에서
Google Cloud Users and Google Ads Users
와 같은 전용 그룹을 만듭니다. 이러한 그룹을 Cloud ID에 프로비저닝하고 적절한 기본 설정을 적용합니다. 그런 다음 외부 IdP에서 그룹 멤버십을 수정하여 액세스를 제어할 수 있습니다.
일부 또는 모든 사용자가 Google Workspace를 사용하는 경우 그룹별로 일부 Google Workspace 관련 설정을 적용할 수 없으므로 커스텀 OU 구조가 필요할 수 있습니다. 외부 IdP를 사용하는 경우 다음과 같이 OU 구조를 단순하게 유지하는 것이 좋습니다.
- 자동으로 라이선스를 할당하고 데이터를 저장할 지리적 위치를 선택하고 추가 데이터 스토리지를 지정할 수 있는 기본 OU 구조를 만듭니다. 다른 모든 설정의 경우 그룹별로 설정을 적용하는 것이 좋습니다.
- 신규 사용자가 적절한 OU에 자동으로 할당되도록 외부 IdP를 구성합니다.
- 외부 IdP에서
Google Cloud Users and Google Ads Users
와 같은 전용 그룹을 만듭니다. 이 그룹을 Google Workspace에 프로비저닝하고 적절한 기본 설정을 적용합니다. 그런 다음 외부 IdP에서 그룹 멤버십을 수정하여 액세스를 제어할 수 있습니다.
기본 OU가 계정 마이그레이션에 미치는 영향
Cloud ID 또는 Google Workspace로 마이그레이션하려는 기존 일반 계정을 확인한 경우 기본 OU가 특별한 역할을 합니다. 일반 계정을 Cloud ID 또는 Google Workspace로 마이그레이션하는 경우 해당 계정은 항상 그룹의 일부가 아닌 기본 OU에 배치됩니다.
일반 계정을 마이그레이션하려면 계정 이전을 시작해야 합니다. 이 이전은 일반 계정 소유자가 승인해야 합니다. 관리자는 소유자가 동의할 수 있는 시점을 제한적으로 관리할 수 있으므로 이전을 완료할 수 있습니다.
이전이 완료되면 기본 OU에 적용된 모든 설정이 마이그레이션된 사용자 계정에 적용됩니다. 이러한 설정은 연결된 직원의 작업 능력을 방해하지 않도록 Google 서비스에 대한 기본 액세스 권한을 부여해야 합니다.
권장사항
Cloud ID 또는 Google Workspace 계정을 준비할 때 다음 권장사항을 따르세요.
- 외부 IdP를 사용하는 경우 Cloud ID 또는 Google Workspace의 사용자가 외부 IdP에 있는 ID의 하위 집합인지 확인하세요.
- 기본 세션 길이 및 Google Cloud에서 사용하는 세션 길이를 줄여보세요. 외부 IdP를 사용할 때는 세션 길이를 IdP에 맞게 유지하세요.
- 기본 보관 기간이 지난 후에도 보관하려면 감사 로그를 BigQuery로 내보내세요.
- 계정을 안전하게 유지하려면 중간 및 대규모 비즈니스를 위한 보안 체크리스트를 정기적으로 검토하세요.
다음 단계
- 기존 사용자 계정 통합 방법 알아보기