이 문서에서는 외부 ID를 사용하도록 IAP(Identity-Aware Proxy)를 구성하는 방법을 보여줍니다. IAP와 Identity Platform을 결합하면 Google 계정 대신 광범위한 ID 공급업체(예: OAuth, SAML, OIDC 등)로 사용자를 인증할 수 있습니다.
Identity Platform 사용 설정 및 구성
IAP는 Identity Platform을 사용하여 외부 ID를 인증합니다. 사용 설정 방법을 알아보려면 Identity Platform 빠른 시작을 참조하세요.
멀티 테넌트를 활용하려면 멀티 테넌시 시작하기의 단계를 따라야 합니다. 리소스를 분리할 필요가 없으면 이 단계를 건너뛰고 모든 공급업체를 프로젝트 수준에서 구성할 수 있습니다. 멀티 테넌시를 설정해야 하는지 확실하지 않은 경우 외부 ID에 대한 개요를 참조하세요.
마지막으로 공급업체를 사용 설정해야 합니다. 빠른 시작에서는 간단한 사용자 이름 및 비밀번호 인증을 사용하는 방법을 보여 주지만 Identity Platform은 다음을 포함하여 광범위한 공급업체 유형을 지원합니다.
- 이메일 및 비밀번호
- OAuth(예: Google, Facebook, Twitter 등)
- SAML
- OIDC
- 전화번호
- 익명
다른 공급업체를 구성하는 방법을 알아보려면 나머지 Identity Platform 문서를 참조하세요. 전화번호 및 익명 인증은 멀티테넌시와 함께 사용할 수 없습니다. 이메일 링크를 사용한 비밀번호를 사용하지 않는 로그인은 IAP에 지원되지 않습니다.
IAP가 외부 ID를 사용하도록 사용 설정
Identity Platform을 설정하면 인증에 IAP를 사용하도록 구성할 수 있습니다.
Google Cloud 콘솔에서 IAP 페이지를 엽니다.
IAP 페이지 열기Identity Platform을 구성한 프로젝트와 동일한 프로젝트를 선택합니다. 다른 프로젝트의 사용은 지원되지 않습니다.
애플리케이션 탭을 선택합니다.
IAP를 사용하여 액세스를 제한하려는 서비스를 찾습니다.
IAP 열의 스위치를 사용으로 전환합니다.
측면 패널의 외부 ID를 사용해 승인하세요. 상자에서 시작을 클릭하세요.
선택 확인
Identity Platform 측면 패널에서 다음 안내를 따르세요.
로그인 페이지를 직접 만들지, 아니면 IAP에서 자동으로 만들지 선택합니다.
IAP를 통해 로그인 페이지를 만드는 것이 가장 빠른 시작 방법입니다. 추가 서비스를 배포하거나 새 코드를 작성할 필요가 없으며 JSON을 사용하여 소규모 맞춤설정을 지정할 수 있습니다. 자세한 내용은 Cloud Run에서 인증 UI 호스팅을 참조하세요.
도메인 제한 공유: 프로젝트에 조직 정책의 도메인 제한 공유 제약조건이 적용되는 경우 기본적으로 공개 서비스를 만들 수 없습니다. 태그 및 조건부 정책을 사용하여 이 제약조건에서 특정 서비스를 제외할 수 있습니다. 자세한 내용은 도메인 제한 공유가 적용될 때 공개 Cloud Run 서비스 만들기에 대한 블로그 게시물을 참조하세요.
자체적인 페이지 빌드는 더 복잡하지만 인증 흐름과 환경을 완전히 제어할 수 있습니다. 자세한 내용은 FirebaseUI로 인증 UI 만들기 및 커스텀 인증 UI 만들기를 참조하세요.
자체 UI 만들기를 선택한 경우 인증 URL을 입력합니다. IAP는 인증되지 않은 요청을 받으면 이 URL로 리디렉션합니다.
URL에 API 키를 포함시키는 것은 선택사항입니다. 키를 제공하지 않으면 Google Cloud 콘솔에서 기본 키를 자동으로 추가합니다.
프로젝트 공급업체 또는 테넌트 사용 여부를 선택하세요.
사용 설정할 공급업체 또는 테넌트의 상자를 확인하세요. 공급업체 또는 테넌트를 수정해야 하는 경우 공급업체 구성을 선택하세요.
저장을 클릭합니다.
수고하셨습니다. IAP는 외부 ID가 있는 사용자를 인증하도록 구성되어 있습니다.
Google ID로 다시 전환
외부 ID를 사용할 때는 승인에 IAM을 사용할 수 없습니다. IAM을 활용할 수 있도록 Google ID로 다시 전환하려면 다음 단계를 따르세요.
Google Cloud 콘솔에서 IAP 페이지로 돌아갑니다.
IAP 페이지 열기IAP를 사용하도록 구성된 리소스를 선택합니다.
Identity Platform 정보 패널을 엽니다.
IAM을 사용하여 이 리소스 관리를 선택합니다.
Google ID로 다시 전환하면 인증 URL과 관련 프로젝트 및 테넌트가 삭제됩니다.
다음 단계
- Cloud Run에 로그인 페이지를 호스팅합니다.
- FirebaseUI로 로그인 페이지를 만듭니다.
- 커스텀 로그인 페이지를 만듭니다.
- 외부 ID가 IAP와 어떻게 작동하는지에 대해 자세히 알아보세요.