이 문서에서는 Google Cloud에 대한 ID 프로비저닝 옵션과 Cloud ID 또는 Google Workspace를 사용할 때 필요한 결정에 대해 설명합니다. 이 문서에서는 또한 각 옵션의 배포 방법에 대한 자세한 내용을 찾을 수 있는 위치에 대해서도 안내합니다.
이 문서는 시작 영역에 관한 시리즈 중 일부이며, 조직의 ID 및 Google Cloud 배포 관리에 포함된 설계자 및 기술 실무자를 대상으로 합니다.
개요
조직 사용자가 Google Cloud 리소스에 액세스하도록 허용하려면 사용자 인증을 위한 방법을 제공합니다. Google Cloud는 Google 로그인을 사용해서 사용자를 인증합니다. 이것은 Gmail 또는 Google Ads에 사용되는 다른 Google 서비스와 동일한 ID 공급업체(IdP)입니다.
조직의 일부 사용자에게 비공개 Google 사용자 계정이 이미 있을 수 있지만 Google Cloud에 액세스할 때 자신의 비공개 계정을 사용하지 않도록 하는 것이 좋습니다. 대신 사용자 계정의 수명 주기 및 보안을 제어할 수 있도록 사용자를 Cloud ID 또는 Google Workspace에 온보딩할 수 있습니다.
Google Cloud에서 ID를 프로비저닝하는 것은 복잡한 주제이며 정확한 전략을 위해서는 이 의사결정 가이드의 범위에 포함된 것보다 더 자세한 세부정보가 필요할 수 있습니다. 권장사항, 계획, 배포 정보는 ID 및 액세스 관리 개요를 참조하세요.
ID 온보딩 결정 지점
조직에 가장 적합한 ID 프로비저닝 설계를 선택하려면 다음 사항을 결정해야 합니다.
ID 아키텍처에 대한 결정
사용자 계정의 수명 주기 및 보안 관리는 Google Cloud 배포 보안에서 중요한 역할을 담당합니다. 여기에서는 기존 ID 관리 시스템 및 애플리케이션과 관련해서 Google Cloud가 수행할 역할을 결정하는 것이 중요합니다. 옵션은 다음과 같습니다.
- Google을 기본 ID 공급업체(IdP)로 사용합니다.
- 외부 ID 공급업체와의 페더레이션을 사용합니다.
다음 섹션에서는 각 옵션에 대해 자세히 설명합니다.
옵션 1: Google을 기본 ID 소스로 사용(페더레이션 없음)
Cloud ID 또는 Google Workspace에서 직접 사용자 계정을 만들 때는 Google을 ID 소스 및 기본 IdP로 지정할 수 있습니다. 그런 후 사용자가 이러한 ID 및 사용자 인증 정보를 사용해서 Google Cloud 및 기타 Google 서비스에 로그인할 수 있습니다.
Cloud ID 및 Google Workspace는 인기 있는 타사 애플리케이션들에 대해 대규모 즉시 사용 가능한 통합 옵션을 제공합니다. 또한 SAML, OAuth, OpenID Connect와 같은 표준 프로토콜을 사용하여 커스텀 애플리케이션을 Cloud ID 또는 Google Workspace와 통합할 수도 있습니다.
다음 조건에 해당하면 이 전략을 사용합니다.
- 조직에 이미 Google Workspace에 프로비저닝된 사용자 ID가 있습니다.
- 조직에 기존 IdP가 없습니다.
- 조직에 기존 IdP가 있지만 소규모 사용자 하위 집합으로 빠르게 시작하고 이후 ID를 페더레이션하려고 합니다.
기존 IdP를 신뢰할 수 있는 ID 소스로 사용하려는 경우에는 이 전략을 피하세요.
자세한 내용은 다음을 참조하세요.
옵션 2: 외부 ID 공급업체와의 페더레이션 사용
페더레이션을 사용하여 Google Cloud를 기존 외부 IdP와 통합할 수 있습니다. ID 페더레이션은 사용자가 여러 ID 관리 시스템으로 갖고 있을 수 있는 여러 ID를 연결할 수 있도록 2개 이상의 IdP 사이에 신뢰를 구성합니다.
Cloud ID 또는 Google Workspace 계정을 외부 IdP와 페더레이션하면 사용자가 기존 ID 및 사용자 인증 정보를 사용해서 Google Cloud 및 기타 Google 서비스에 로그인할 수 있습니다.
다음 조건에 해당하면 이 전략을 사용합니다.
- Active Directory, Azure AD, ForgeRock, Okta, Ping Identity와 같은 기존 IdP가 있습니다.
- 직원이 기존 ID 및 사용자 인증 정보를 사용해서 Google Cloud와 기타 Google 서비스(예: Google Ads 및 Google Marketing Platform)에 로그인하도록 설정합니다.
조직에 기존 IdP가 없으면 이 전략을 피하세요.
자세한 내용은 다음을 참조하세요.
- 외부 ID - Google ID 관리 개요
- 참조 아키텍처: 외부 IdP 사용
- Google Cloud와 외부 ID 공급업체의 페더레이션을 위한 권장사항
- Google Cloud와 Active Directory의 페더레이션
- Google Cloud와 Azure AD 페더레이션
기존 사용자 계정 통합 방법 결정
Cloud ID 또는 Google Workspace를 사용하지 않는 조직에서는 직원들이 일반 계정을 사용하여 Google 서비스에 액세스하고 있을 수 있습니다. 일반 계정은 해당 계정을 만든 사용자가 전적으로 소유하고 관리합니다. 이러한 계정은 조직에서 관리할 수 없고 개인 데이터와 회사 데이터를 모두 포함할 수 있기 때문에 이러한 계정을 다른 회사 계정과 통합할 방법을 결정해야 합니다.
일반 계정, 일반 계정 식별 방법, 조직의 위험에 대한 자세한 내용은 기존 사용자 계정 평가를 참조하세요.
계정을 통합하는 옵션은 다음과 같습니다.
- 일반 계정의 관련 하위 집합을 통합합니다.
- 마이그레이션을 통해 모든 계정을 통합합니다.
- 제거를 통해 모든 계정을 통합하지만 새 계정을 만들기 전 계정을 마이그레이션하지 않습니다.
다음 섹션에서는 각 옵션에 대해 자세히 설명합니다.
옵션 1: 일반 계정의 관련 하위 집합 통합
일반 계정을 보존하고 회사 정책에 따라 계정 및 데이터를 관리하려면 Cloud ID 또는 Google Workspace로 마이그레이션해야 합니다. 하지만 일반 계정 통합 프로세스는 시간이 오래 걸릴 수 있습니다. 따라서 계획된 Google Cloud 배포와 관련된 사용자 일부 하위 집합만 먼저 평가하고 해당 사용자 계정만 통합하는 것이 좋습니다.
다음 조건에 해당하면 이 전략을 사용합니다.
- 비관리 사용자 계정을 위한 이전 도구는 도메인에서 여러 일반 사용자 계정을 보여주지만 이러한 사용자 중 일부 하위 집합만 Google Cloud를 사용합니다.
- 통합 프로세스에서의 시간을 절약해야 합니다.
다음 조건에 해당하면 이 전략을 피하세요.
- 도메인에 일반 사용자 계정이 없습니다.
- Google Cloud를 사용하기 전 도메인에서 모든 일반 사용자 계정의 모든 데이터가 관리형 계정에 통합되었는지 확인해야 합니다.
자세한 내용은 계정 통합 개요를 참조하세요.
옵션 2: 마이그레이션을 통한 모든 계정 통합
도메인에서 모든 사용자 계정을 관리하려면 이를 관리형 계정으로 마이그레이션하여 모든 일반 계정을 통합할 수 있습니다.
다음 조건에 해당하면 이 전략을 사용합니다.
- 비관리형 사용자 계정을 위한 이전 도구가 도메인에서 일반 계정을 일부만 보여줍니다.
- 조직에서 일반 계정 사용을 제한하려고 합니다.
통합 프로세스의 시간을 절약하려면 이 전략을 피하세요.
자세한 내용은 일반 계정 마이그레이션을 참조하세요.
옵션 3: 제거를 통한 모든 계정 통합
다음 상황에서는 일반 계정을 제거할 수 있습니다.
- 일반 계정을 만든 사용자가 자신의 계정 및 데이터를 완전히 관리하도록 허용합니다.
- 조직에서 관리하도록 데이터를 이전하지 않습니다.
일반 계정을 제거하려면 사용자 계정을 먼저 마이그레이션하지 않고 동일 이름의 관리형 사용자 ID를 만듭니다.
다음 조건에 해당하면 이 전략을 사용합니다.
- 일반 계정에 존재하는 데이터를 이전하지 않고 사용자에 대해 새 관리형 계정을 만들려고 합니다.
- 조직에서 사용 가능한 Google 서비스를 제한하려고 합니다. 또한 사용자가 자신의 데이터를 유지하고 사용자가 만든 일반 계정에 대해 해당 서비스를 사용하도록 유지합니다.
일반 계정이 회사 목적으로 사용되었고 회사 데이터에 액세스할 가능성이 있으면 이 전략을 피하세요.
자세한 내용은 일반 계정 제거를 참조하세요.
ID 온보딩 권장사항
ID 아키텍처 및 기존 일반 계정의 통합 방법을 선택한 후에는 다음 ID 권장사항을 고려하세요.
조직에 적합한 온보딩 계획 선택
조직 ID를 Cloud ID 또는 Google Workspace에 온보딩하기 위한 대략적인 계획을 선택합니다. 요구에 가장 적합한 계획을 선택하는 방법에 대한 안내와 함께 입증된 온보딩 계획을 선택하기 위해서는 온보딩 계획 평가를 참조하세요.
외부 ID를 사용할 계획이고 마이그레이션해야 하는 사용자 계정이 식별된 경우에는 추가 요구사항이 있을 수 있습니다. 자세한 내용은 사용자 계정 통합이 페더레이션에 미치는 영향 평가를 참조하세요.
사용자 계정 보호
Cloud ID 또는 Google Workspace에 사용자를 온보딩한 후에는 사용자들의 계정이 남용되지 않도록 보호하기 위한 조치를 강구해야 합니다. 자세한 내용은 다음을 참조하세요.
- Cloud ID 관리 계정의 보안 권장사항 구현하기
- 동일한 다단계 인증 규칙을 적용하고 ID 페더레이션과 결합된 권장 사항을 따르기
- 데이터 공유를 사용 설정하여 Google Workspace 또는 Cloud ID 감사 로그를 Cloud Logging으로 내보냅니다.
다음 단계
- 리소스 계정 결정(이 시리즈의 다음 문서).
- 사용자, Cloud ID 계정, Google Cloud 조직의 관계 자세히 알아보기
- 계정 및 조직 계획을 위한 권장사항 검토
- 외부 ID 공급업체와 Google Cloud를 페더레이션하는 경우의 권장사항 읽어보기