Okta 사용자 프로비저닝 및 싱글 사인온(SSO)

이 문서에서는 Okta 조직과 Cloud ID 또는 Google Workspace 계정 간에 사용자 프로비저닝과 싱글 사인온(SSO)을 설정하는 방법을 보여줍니다.

이 문서에서는 조직에서 이미 Okta를 사용 중이고 Okta를 사용하여 사용자가 Google Cloud에 인증할 수 있도록 허용한다고 가정합니다.

Cloud ID 또는 Google Workspace 계정 준비

Okta 사용자 만들기

Okta가 Cloud ID 또는 Google Workspace 계정에 액세스하도록 허용하려면 Cloud ID 또는 Google Workspace 계정에 Okta 사용자를 만들어야 합니다.

Okta 사용자는 자동 프로비저닝 전용입니다. 따라서 별도의 조직 단위(OU)에 두어 다른 사용자 계정과 분리하는 것이 가장 좋습니다. 별도의 OU를 사용하면 나중에 Okta 사용자에 대해 싱글 사인온(SSO)을 사용 중지할 수 있습니다.

  1. 새 OU를 만듭니다.

    1. 관리 콘솔을 열고 Cloud ID 또는 Google Workspace에 가입할 때 생성된 최고 관리자를 사용하여 로그인합니다.
    2. 메뉴에서 디렉터리 > 조직 단위로 이동합니다.
    3. 조직 단위 만들기를 클릭하고 OU의 이름과 설명을 입력합니다.
      • 이름: Automation
      • 설명: Automation users
    4. 만들기를 클릭합니다.

  2. Okta의 사용자 계정을 만들고 Automation OU에 배치합니다. 자세한 안내는 새 사용자의 계정 추가하기 또는 여러 사용자의 계정 추가하기 (베타)를 참고하세요.

    1. 계정을 만들 때 다음과 같이 적절한 이름과 이메일 주소를 입력합니다.

      • 이름: Okta
      • : Provisioning
      • 기본 이메일: okta-provisioning

      이메일 주소의 기본 도메인을 유지합니다.

    2. 사용자 계정의 경우 조직 단위를 이전에 만든 Automation 조직 단위로 설정합니다. 자세한 내용은 조직 단위로 사용자 이동하기를 참고하세요.

    3. 비밀번호를 구성합니다.

      • 페이지에 비밀번호 옵션이 있는 경우 새 비밀번호 자동 생성이 선택되어 있지 않은지 확인한 다음 비밀번호를 입력합니다. 다음 로그인 시 비밀번호 변경 요청이 선택되어 있지 않은지 확인합니다.
      • 페이지에 비밀번호 옵션이 표시되지 않으면 새 사용자 계정을 저장한 후 사용자의 비밀번호를 재설정합니다.

Okta에 권한 할당

Okta에서 Cloud ID 또는 Google Workspace 계정에서 사용자와 그룹을 만들고, 나열하고, 정지하도록 허용하려면 okta-provisioning 사용자를 최고 관리자로 만들어야 합니다.

  1. 목록에서 새로 생성된 사용자를 찾은 다음 사용자 이름을 클릭하여 계정 페이지를 엽니다.
  2. 관리자 역할 및 권한에서 역할 할당을 클릭합니다.
  3. 최고 관리자 역할을 사용 설정합니다.
  4. 저장을 클릭합니다.

Okta 프로비저닝 구성

이제 Okta 카탈로그에서 Google Workspace 애플리케이션을 설정하여 Okta를 Cloud ID 또는 Google Workspace 계정에 연결할 수 있습니다.

Google Workspace 애플리케이션은 사용자 프로비저닝과 싱글 사인온(SSO)을 모두 처리할 수 있습니다. Cloud ID를 사용 중이고 Google Cloud에 싱글 사인온(SSO)만 설정하려는 경우에도 이 애플리케이션을 사용하세요.

애플리케이션 만들기

Google Workspace 애플리케이션을 설정하려면 다음 안내를 따르세요.

  1. Okta 관리자 대시보드를 열고 최고 관리자 권한이 있는 사용자로 로그인합니다.
  2. 메뉴에서 Applications > Applications으로 이동합니다.
  3. 앱 카탈로그 찾아보기를 클릭합니다.
  4. Google Workspace를 검색하고 Google Workspace 애플리케이션을 선택합니다.
  5. 통합 추가를 클릭합니다.

  6. 일반 설정 페이지에서 다음을 구성합니다.

    • 애플리케이션 라벨: Google Cloud
    • Google Apps 회사 도메인: Cloud ID 또는 Google Workspace 계정에서 사용하는 기본 도메인 이름입니다.

    • 다음 링크 표시:

      • 계정사용 설정됨으로 설정합니다.
      • Google Workspace를 사용하는 경우 다른 링크를 사용 설정됨으로 설정하고 그렇지 않으면 다른 링크를 사용 중지됨으로 설정합니다.

    • 애플리케이션 공개 상태: Google Workspace를 사용하는 경우 사용 설정됨으로 설정되고 그렇지 않으면 사용 중지됨으로 설정합니다.

    • 브라우저 플러그인 자동 제출: 중지됨으로 설정합니다.

  7. 다음을 클릭합니다.

  8. 사인온 옵션 페이지에서 다음을 구성합니다.

    • 사인온 메서드: SAML 2.0을 선택합니다.
    • 기본 릴레이 상태: 비워 둡니다.
    • 고급 사인온 설정 > RPID: 비워둡니다.

  9. Cloud ID 또는 Google Workspace 사용자의 기본 이메일 주소를 채우는 방법을 결정합니다. 사용자의 기본 이메일 주소에는 Cloud ID 또는 Google Workspace 계정의 기본 도메인 또는 보조 도메인 중 하나를 사용해야 합니다.

    Okta 사용자 이름

    사용자의 Okta 사용자 이름을 기본 이메일 주소로 사용하려면 다음 설정을 사용합니다.

    • 애플리케이션 사용자 이름 형식: Okta 사용자 이름
    • 애플리케이션 사용자 이름 업데이트: 만들고 업데이트합니다.

    이메일

    사용자의 Okta 사용자 이름을 기본 이메일 주소로 사용하려면 다음 설정을 사용합니다.

    • 애플리케이션 사용자 이름 형식: 이메일
    • 애플리케이션 사용자 이름 업데이트: 만들고 업데이트합니다.

  10. 완료를 클릭합니다.

사용자 프로비저닝 구성

이 섹션에서는 사용자와 그룹을Google Cloud에 자동으로 프로비저닝하도록 Okta를 구성합니다.

  1. Google Cloud 애플리케이션의 설정 페이지에서 프로비저닝 탭을 엽니다.

  2. API 통합 구성을 클릭하고 다음을 구성합니다.

    • API 통합 사용 설정: 사용 설정됨으로 설정합니다.
    • 그룹 가져오기: Okta로 가져오려는 기존 Cloud ID 또는 Google Workspace 그룹이 없으면 중지됨으로 설정합니다.

  3. Google Workspace로 인증을 클릭합니다.

  4. 앞에서 만든 okta-provisioning@DOMAIN 사용자를 사용하여 로그인합니다. 여기서 DOMAIN은 Cloud ID 또는 Google Workspace의 기본 도메인입니다.

  5. Google 서비스 약관 및 개인정보처리방침을 검토합니다. 약관에 동의하면 이해합니다를 클릭합니다.

  6. 허용을 클릭하여 Cloud ID API 액세스를 확인합니다.

  7. 저장을 클릭합니다.

Okta가 Cloud ID 또는 Google Workspace 계정에 연결되어 있지만 프로비저닝이 여전히 사용 중지되어 있습니다. 프로비저닝을 사용 설정하려면 다음 안내를 따르세요.

  1. Google Cloud 애플리케이션의 설정 페이지에서 프로비저닝 탭을 엽니다.

  2. 수정을 클릭하고 다음을 구성합니다.

    • 사용자 만들기: 사용 설정됨으로 설정합니다.
    • 사용자 속성 업데이트: 사용 설정됨으로 설정합니다.
    • 사용자 비활성화: 사용 설정으로 설정합니다.
    • 동기화 비밀번호: 사용 중지됨으로 설정합니다.

  3. 필요한 경우 프로필 편집기로 이동을 클릭하여 속성 매핑을 맞춤설정합니다.

    커스텀 매핑을 사용하는 경우 userName, nameGivenName, nameFamilyName을 매핑해야 합니다. 다른 모든 속성 매핑은 선택사항입니다.

  4. 저장을 클릭합니다.

사용자 할당 구성

이 섹션에서는 Cloud ID 또는 Google Workspace에 프로비저닝할 Okta 사용자를 구성합니다.

  1. Google Cloud 애플리케이션의 설정 페이지에서 할당 탭을 엽니다.
  2. 할당 > 사용자에게 할당 또는 할당 > 그룹에 할당을 클릭합니다.
  3. 사용자 또는 그룹을 선택하고 할당을 클릭합니다.
  4. 할당 대화상자가 나타나면 기본 설정을 유지하고 저장하고 돌아가기를 클릭합니다.
  5. 완료를 클릭합니다.

프로비저닝하려는 각 사용자 또는 그룹에 대해 이 섹션의 단계를 반복합니다. 모든 사용자를 Cloud ID 또는 Google Workspace에 프로비저닝하려면 모든 사용자 그룹을 할당합니다.

그룹 할당 구성

원하는 경우 Okta에서 Cloud ID 또는 Google Workspace에 그룹을 프로비저닝하도록 할 수 있습니다. 그룹을 개별적으로 선택하는 대신 이름 지정 규칙에 따라 그룹을 프로비저닝하도록 Okta를 구성하는 것이 가장 좋습니다.

예를 들어 Okta가 google-cloud로 시작하는 모든 그룹을 프로비저닝하도록 하려면 다음을 수행합니다.

  1. Google Cloud 애플리케이션의 설정 페이지에서 푸시 그룹 탭을 엽니다.
  2. 푸시 그룹 > 역할로 그룹 찾기를 클릭합니다.

  3. 규칙별 푸시 그룹 페이지에서 다음 규칙을 구성합니다.

    • 규칙 이름: 역할의 이름입니다(예: Google Cloud).
    • 그룹 이름: google-cloud시작합니다.

  4. 규칙 만들기를 클릭합니다.

문제 해결

사용자 또는 그룹 프로비저닝 문제를 해결하려면 Google Cloud 애플리케이션의 설정 페이지에서 로그 보기를 클릭합니다.

Okta에서 사용자 프로비저닝에 실패한 시도를 다시 시도하도록 하려면 다음을 수행합니다.

  1. 대시보드 > 태스크로 이동합니다.
  2. 실패한 태스크를 찾아 세부정보를 엽니다.
  3. 세부정보 페이지에서 선택한 항목 재시도를 클릭합니다.

싱글 사인온(SSO)용 Okta 구성

Okta 프로비저닝을 구성하는 단계를 수행했으면 이제 모든 관련 Okta 사용자가 Cloud ID 또는 Google Workspace에 자동으로 프로비저닝됩니다. 이러한 사용자가 로그인할 수 있도록 허용하려면 싱글 사인온(SSO)을 구성하세요.

  1. Google Cloud 애플리케이션의 설정 페이지에서 사인온 탭을 엽니다.
  2. SAML 2.0 > 세부정보 더보기를 클릭합니다.
  3. 다운로드를 클릭하여 서명 인증서를 다운로드합니다.
  4. 로그인 URL, 로그아웃 URL, 발급기관 값을 기록해 둡니다. 다음 단계 중 하나에서 필요합니다.

SAML 프로필 만들기

Cloud ID 또는 Google Workspace 계정에서 SAML 프로필을 만듭니다.

  1. 관리 콘솔로 돌아가서 서드 파티 IdP를 통한 SSO로 이동합니다.

    서드 파티 IdP를 통해 SSO로 이동

  2. 서드 파티 SSO 프로필 > SAML 프로필 추가를 클릭합니다.

  3. SAML SSO 프로필 페이지에서 다음 설정을 입력합니다.

    • 이름: Okta
    • IDP 엔티티 ID: Okta 관리 대시보드의 발급기관을 입력합니다.
    • 로그인 페이지 URL: Okta 관리자 대시보드의 로그인 URL을 입력합니다.
    • 로그아웃 페이지 URL: Okta 관리 대시보드의 로그아웃 URL을 입력합니다.
    • 비밀번호 변경 URL:: https://ORGANIZATION.okta.com/enduser/settings 여기서 ORGANIZATION은 Okta 조직의 이름입니다.

  4. 확인 인증서에서 인증서 업로드를 클릭하고 이전에 다운로드한 토큰 서명 인증서를 선택합니다.

  5. 저장을 클릭합니다.

    표시되는 SAML SSO 프로필 페이지에는 https://accounts.google.com/samlrp/RPID 형식의 엔티티 ID가 포함되어 있으며 여기서 RPID는 고유 ID입니다.

    RPID 값을 기록해 둡니다. 다음 단계에서 필요합니다.

SAML 프로필 할당

새 SAML 프로필을 적용할 사용자를 선택합니다.

  1. 관리 콘솔의 서드 파티 IDP를 통한 SSO 페이지에서 SSO 프로필 할당 관리 > 관리를 클릭합니다.

    SSO 프로필 할당 관리로 이동

  2. 왼쪽 창에서 SSO 프로필을 적용할 그룹 또는 조직 단위를 선택합니다. 모든 사용자에게 프로필을 적용하려면 루트 조직 단위를 선택합니다.

  3. 오른쪽 창의 메뉴에서 이전에 만든 Okta - SAML SSO 프로필을 선택합니다.

  4. 저장을 클릭합니다.

다른 그룹 또는 조직 단위에 SAML 프로필을 할당하려면 위의 단계를 반복합니다.

Automation OU의 SSO 설정을 업데이트하여 싱글 사인온(SSO)을 사용 중지합니다.

  1. 왼쪽 창에서 Automation OU를 선택합니다.
  2. SSO 프로필 할당을 없음으로 변경합니다.
  3. 재정의를 클릭합니다.

Okta에서 SSO 구성 완료

Okta로 돌아가서 SSO 구성을 완료합니다.

  1. Okta 관리 대시보드의 Google Cloud 애플리케이션 설정 페이지에서 사인온 탭을 엽니다.

  2. 수정을 클릭하고 다음 설정을 업데이트합니다.

    • 고급 사인온 설정 > RPID: 관리 콘솔에서 복사한 RPID를 입력합니다.

  3. 저장을 클릭합니다.

(선택사항) 본인 확인 요청 구성

사용자가 알 수 없는 기기에서 로그인하거나 다른 이유로 인해 로그인 시도가 의심스러운 경우 Google 로그인에서 추가 확인을 요청할 수 있습니다. 이러한 본인 확인 요청은 보안을 개선하는 데 도움이 되므로 본인 확인 요청을 사용 설정한 상태로 두는 것이 좋습니다.

본인 확인 요청이 너무 불편하다면 다음 단계를 따라 본인 확인 요청을 사용 중지할 수 있습니다.

  1. 관리 콘솔에서 보안 > 인증 > 본인 확인 요청으로 이동합니다.
  2. 왼쪽 창에서 로그인 질문을 사용 중지하려는 조직 단위를 선택합니다. 모든 사용자에 대해 본인 확인 요청을 사용 중지하려면 루트 조직 단위를 선택합니다.
  3. 다른 SSO 프로필을 사용하여 로그인하는 사용자에 대한 설정에서 사용자에게 Google의 추가 인증을 요청하지 않음을 선택합니다.
  4. 저장을 클릭합니다.

앱 대시보드에 Google Cloud 콘솔 및 기타 Google 서비스 추가

Google Cloud 콘솔과 다른 Google 서비스(필요한 경우)를 사용자의 Okta 앱 대시보드에 추가하려면 다음을 수행합니다.

  1. Okta 관리 대시보드에서 애플리케이션 > 애플리케이션을 선택합니다.
  2. 앱 카탈로그 찾아보기를 클릭합니다.
  3. Bookmark app을 검색하고 북마크 앱 애플리케이션을 선택합니다.
  4. 통합 추가를 클릭합니다.

  5. 일반 설정 페이지에서 다음을 구성합니다.

    • 애플리케이션 라벨: Google Cloud console
    • URL: https://www.google.com/a/PRIMARY_DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/. PRIMARY_DOMAIN을 Cloud ID 또는 Google Workspace 계정에서 사용하는 기본 도메인 이름으로 바꿉니다.

  6. 완료를 클릭합니다.

  7. 애플리케이션 로고를 Google Cloud 로고로 변경합니다.

  8. 사인온 탭을 엽니다.

  9. 사용자 인증 > 수정을 클릭하고 다음을 구성합니다.

    • 인증 정책: Okta 대시보드로 설정합니다.

  10. 저장을 클릭합니다.

  11. 할당 탭을 열고 사용자를 한 명 이상 할당합니다. 할당된 사용자는 사용자 대시보드에 Google Cloud 콘솔 링크가 표시됩니다.

필요한 경우 사용자 대시보드에 포함하려는 추가 Google 서비스에 대해 위 단계를 반복합니다. 아래 표에는 일반적으로 사용되는 Google 서비스의 URL과 로고가 포함되어 있습니다.

Google 서비스 URL 로고
Google Cloud 콘솔 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com/ Google Cloud 로고
Google Docs https://docs.google.com/a/DOMAIN Google 문서 로고
Google Sheets https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com/ Google Sheets 로고
Google 사이트 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com/ Google Sites 로고
Google Drive https://drive.google.com/a/DOMAIN Google Drive 로고
Gmail https://mail.google.com/a/DOMAIN Gmail 로고
Google 그룹스 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com/ Google 그룹스 로고
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com/ Google Keep 로고
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com/ Looker Studio 로고
YouTube https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://www.youtube.com/ YouTube 로고

싱글 사인온(SSO) 테스트

Okta와 Cloud ID 또는 Google Workspace 모두 싱글 사인온(SSO) 구성을 완료하면 다음 두 가지 방법으로 Google Cloud 에 액세스할 수 있습니다.

두 번째 옵션이 의도된 대로 작동하는지 확인하기 위해 다음 테스트를 실행합니다.

  1. Cloud ID 또는 Google Workspace에 프로비저닝되고 최고 관리자 권한이 할당되지 않은 Okta 사용자를 선택합니다. 최고 관리자 권한이 있는 사용자는 항상 Google 사용자 인증 정보를 사용하여 로그인해야 하기 때문에 싱글 사인온(SSO)을 테스트하는 데 적합하지 않습니다.
  2. 새 브라우저 창을 열고 https://console.cloud.google.com/로 이동합니다.
  3. 표시되는 Google 로그인 페이지에서 사용자의 이메일 주소를 입력하고 다음을 클릭합니다.

  4. Okta로 리디렉션되고 다른 로그인 메시지가 표시됩니다. 사용자의 이메일 주소를 입력하고 단계에 따라 인증합니다.

    인증에 성공하면 Okta가 Google 로그인으로 리디렉션합니다. 이 사용자를 사용하여 로그인하는 것이 처음이기 때문에 Google 서비스 약관 및 개인정보처리방침을 수락하라는 메시지가 표시됩니다.

  5. 약관에 동의하면 이해합니다를 클릭합니다.

    Google Cloud 콘솔로 리디렉션되어 환경설정을 확인하고 Google Cloud 서비스 약관에 동의하라는 메시지가 표시됩니다.

  6. 약관에 동의하면 를 선택하고 동의 및 계속하기를 클릭합니다.

  7. 페이지 왼쪽 상단에서 아바타 아이콘을 클릭한 후 로그아웃을 클릭합니다.

    성공적으로 로그아웃되었음을 확인하는 Okta 페이지로 리디렉션됩니다.

최고 관리자 권한이 있는 사용자는 싱글 사인온(SSO)에서 제외되므로 관리 콘솔을 사용하여 설정을 확인하거나 변경할 수 있습니다.