ID 제휴를 위한 아키텍처 패턴

이 문서에서는 외부 ID 공급업체 (IdP)와 제휴하기 위한 4가지 아키텍처 패턴을 비교합니다. Google Cloud또한 사용 사례에 적합한 아키텍처를 선택하는 데 도움이 되는 안내도 제공합니다.

4가지 아키텍처 패턴은 다음과 같습니다.

• Cloud ID 또는 Google Workspace 제휴
• 직원 ID 제휴(동기화 없음)
• SCIM을 사용하는 직원 ID 제휴
• 하이브리드 Cloud ID 및 직원 ID 제휴

결정 요인

조직에 적합한 아키텍처 패턴을 선택하려면 다음을 비롯한 여러 요소를 고려하세요.

• 서비스 포트폴리오: Google 서비스 포트폴리오와 Google Workspace 및 Google Ads, Google 지도, Chrome Enterprise와 같은 서비스가 포함되는지 여부 Google Cloud
• 데이터 상주: 데이터 상주 및 데이터 주권 요구사항
• Gemini Enterprise와 Microsoft 365의 통합: Gemini Enterprise 또는 NotebookLM Enterprise 사용 여부와 Gemini Enterprise를 Microsoft 365 서비스와 통합할 계획이 있는지 여부

서비스 포트폴리오

Google 서비스는 인증 및 승인을 다르게 관리합니다. 이는 ID 제휴를 구성하는 방식에 영향을 미칩니다. 이러한 차이를 결정하는 두 가지 요인은 서비스 모델(SaaS, PaaS, IaaS)과 승인 모델(IAM, 서비스별)입니다.

서비스 모델

• Software as a Service (SaaS): Google은 Gmail, Google Ads, Gemini Enterprise 앱과 같은 서비스를 완전히 관리합니다. 이러한 서비스는 개발 노력이 필요하지 않으며 바로 사용할 수 있습니다. SaaS 서비스는 많은 사용자를 대상으로 하므로 대부분의 사용자에게 액세스 권한이 필요할 수 있습니다.
• Platform as a Service (PaaS) 또는 Infrastructure as a Service (IaaS): 대부분의 Google Cloud 서비스는 PaaS 또는 IaaS입니다. 이러한 서비스를 사용하면 기술 사용자가 커스텀 워크로드를 개발, 배포, 운영할 수 있습니다. 이러한 서비스는 기술 사용자를 대상으로 하므로 일부 사용자만 액세스 권한이 필요합니다.

승인 모델

Google 서비스는 다음 두 가지 방법 중 하나로 승인을 구현합니다.

• IAM: 대부분의 서비스는 IAM을 사용하여 관리자가 리소스에 대한 세분화된 액세스를 관리하도록 합니다. Google Cloud
• 서비스별 승인: Google Ads, Looker, Google Workspace와 같은 서비스는 IAM을 사용하지 않습니다. 대신 관리자는 각 서비스에 특정한 도구를 사용하여 액세스를 관리합니다.

이러한 요인으로 인해 다음과 같은 서비스 그룹이 생성됩니다.

	SaaS	PaaS 또는 IaaS
IAM 기반 승인	Google Cloud Gemini Enterprise 앱 및 NotebookLM Enterprise와 같은 SaaS 서비스	Google Cloud BigQuery 또는 Compute Engine과 같은 PaaS 및 IaaS 서비스
서비스별 승인	Google Ads, Google Workspace, Google 지도와 같은 클라우드 외 Google 서비스	없음

조직에 적합한 아키텍처 패턴을 선택하려면 조직에 적용되는 서비스 그룹을 고려하세요.

데이터 상주

사용자를 인증하고 세션을 관리하기 위해 Cloud ID, Google Workspace, 직원 ID 제휴는 개인 사용자 정보를 처리합니다. 이 사용자 정보에는 다음이 포함될 수 있습니다.

• 사용자 이름 또는 이메일 주소
• 이름, 성과 같은 사용자 속성
• 그룹 이름 및 멤버십

Cloud ID, Google Workspace, 직원 ID 제휴 는 서비스 데이터 약관에 따라 이 데이터를 처리하며 조직 또는 사용자 위치 외부에 저장할 수 있습니다.

• Cloud ID 및 Google Workspace는 Google 데이터 센터에 서비스 데이터를 저장하고 모든 데이터 센터에 복제할 수 있습니다. 저장된 데이터에는 부서 이름, 주소, 전화번호와 같이 인증에 필수적이지 않은 정보가 포함될 수 있습니다.
• 직원 ID 제휴는 Google Cloud 리전에 서비스 데이터를 저장하고 모든 리전에 복제할 수 있습니다.

사용자에게 리소스에 대한 액세스 권한을 부여하면 IAM은 역할 결합에 주 구성원 식별자를 저장합니다. Google Cloud 서비스 데이터 약관에 따라 역할 결합을 처리하고 서비스 데이터에 저장할 수 있습니다. 모든 Google Cloud 리전에 저장할 수 있습니다.

이 페이지에 설명된 아키텍처 패턴에는 사용자 정보를 저장해야 하지만 사용자 정보를 저장하는 기간은 다릅니다.

• SCIM이 없는 직원 ID 제휴는 사용자 정보를 사용자 세션이 만료될 때까지만 저장합니다.
• SCIM을 사용하는 직원 ID 제휴는 사용자 계정을 삭제하거나 테넌트를 삭제할 때까지, 그리고 보관 기간이 경과할 때까지 사용자 정보를 저장합니다.
• Cloud ID 및 Google Workspace는 사용자 계정을 삭제할 때까지, 그리고보관 기간이 경과할 때까지 사용자 정보를 저장합니다.

많은 IdP를 사용하면 IdP에서 상응하는 사용자 계정 상태가 변경될 때 사용자 계정 정지 또는 삭제를 자동화할 수 있습니다. IdP 및 구성에 따라 IdP는 특정 유예 기간이 경과할 때까지 사용자 계정 삭제를 지연할 수 있으며, 이로 인해 에서 사용자 정보를 저장하는 기간이 연장될 수 있습니다. Google Cloud

Gemini Enterprise와 Microsoft 365의 통합

Gemini Enterprise를 사용하면 두 가지 유형의 커넥터를 사용하여 Microsoft 365 서비스에 연결할 수 있습니다.

• 데이터 수집 기반 커넥터: 이러한 커넥터는 Microsoft 365를 크롤링하여 검색 색인을 빌드합니다 Google Cloud. 사용자가 프롬프트를 제출하면 Gemini Enterprise는 이 색인을 사용하여 콘텐츠를 검색하고 Microsoft 365에서 가져온 액세스 제어 목록(ACL)을 평가하여 로컬에서 액세스 검사를 실행합니다.
• 제휴 커넥터: 이러한 커넥터는 각 프롬프트에 대해 Microsoft 365를 쿼리합니다. 위임된 승인을 사용하여 Microsoft 365가 액세스 검사를 직접 실행하도록 합니다.

데이터 수집 기반 커넥터는 사용자 제휴에 대한 특정 요구사항을 도입합니다.

• 그룹 멤버십 인식: Microsoft 365 ACL에는 사용자뿐만 아니라 그룹의 항목도 포함될 수 있습니다. 사용자가 콘텐츠에 액세스할 수 있는지 평가하려면 커넥터가 사용자가 속한 모든 그룹을 고려해야 합니다. 커넥터가 사용자의 일부 그룹만 인식하는 경우 액세스를 잘못 허용하거나 거부할 수 있습니다.
• 식별자 변환: ACL을 평가하려면 커넥터가 Microsoft 365에서 사용하는 사용자 및 그룹 식별자와 에서 사용하는 식별자 간에 변환해야 합니다. Google Cloud

직원 ID 제휴를 사용하는 경우 Gemini Enterprise와 호환되도록 속성 매핑을 구성하면 Gemini Enterprise가 식별자를 안정적으로 변환하고 ACL을 평가할 수 있습니다.

Cloud ID 또는 Google Workspace 제휴를 사용하는 경우 Microsoft Entra ID가 사용자 및 그룹 프로비저닝의 속성 매핑을 제어합니다. Google CloudEntra는 사용자 및 그룹 식별자의 변환 규칙을 결정하며, 여기에는 복잡한 변환이 포함될 수 있습니다. ACL을 평가하려면 Gemini Enterprise 커넥터가 동일한 변환 규칙을 적용해야 하지만 커넥터는 Entra 구성에 대한 가시성이 없습니다. 따라서 Cloud ID 제휴 또는 Google Workspace 제휴를 사용하는 경우 Gemini Enterprise는 사용자 및 그룹 식별자를 안정적으로 변환할 수 없으며 ACL을 안정적으로 평가할 수 없습니다.

조직에 적합한 아키텍처 패턴을 결정하려면 Gemini Enterprise 사용량과 데이터 수집 기반 커넥터를 사용할 계획이 있는지 고려하세요.

아키텍처 패턴

다음 순서도는 이러한 요인이 조직의 요구사항을 충족하는 패턴을 결정하는 방법을 보여줍니다.

1. 조직의 상당 부분이 Google Workspace를 사용하나요?

   • 예인 경우 Cloud ID 또는 Google Workspace 제휴 패턴을 사용합니다.
   • 아니요인 경우 결정 2로 진행합니다.

2. Google Ads 또는 Google Cloud Google 지도와 같은 서비스를 사용하나요?

   • 예인 경우 결정 3으로 진행합니다.
   • 아니요인 경우 결정 4로 진행합니다.

3. Gemini Enterprise를 사용하고 Microsoft 365와 통합할 계획인가요?

   • 예인 경우 하이브리드 Cloud ID 및 직원 ID 제휴 패턴을 사용합니다.
   • 아니요인 경우 Cloud ID 또는 Google Workspace 제휴 패턴을 사용합니다.

4. Gemini Enterprise를 사용할 계획인가요?

   • 예인 경우 SCIM을 사용하는 직원 ID 제휴 패턴을 사용합니다.
   • 아니요인 경우 결정 5로 진행합니다.

5. 사용자 정보의 저장을 최소화해야 하는 데이터 상주 요구사항이 있나요?

   • 예인 경우 직원 ID 제휴(동기화 없음) 패턴을 사용합니다.
   • 아니요인 경우 Cloud ID 또는 Google Workspace 제휴 패턴을 사용합니다.

Cloud ID 또는 Google Workspace 제휴

조직이 다음 기준 중 하나를 충족하는 경우 이 패턴을 선택합니다.

• 조직의 상당 부분이 이미 Google Workspace를 사용하고 있습니다.
• Google Ads 또는 Google 지도와 같은 서비스를 사용하지만 데이터 수집 기반 커넥터를 사용하여 Gemini Enterprise 를 Microsoft 365와 통합할 계획이 없습니다. Google Cloud
• 서비스만 사용하고 Google Cloud Gemini Enterprise를 사용할 계획이 없으며 사용자 데이터 저장을 최소화하기 위한 엄격한 데이터 상주 요구사항이 없습니다.

이 패턴에서는 직원 ID 제휴를 사용하지 않습니다. 대신 Cloud ID 계정 또는 Google Workspace 계정을 IdP와 제휴하고 사전 사용자 프로비저닝 및 그룹 프로비저닝을 사용합니다.

이 패턴에서는 사용자가 로그인하기 전에 사용자 및 그룹을 프로비저닝해야 합니다. 그렇지 않으면 로그인 시도가 실패합니다.

• 사용자 프로비저닝: 사용자의 적시 온보딩 및 오프보딩을 보장하는 데 도움이 됩니다.
• 그룹 프로비저닝: 그룹을 사용하여 Google 서비스 및 Google Cloud 리소스에 대한 액세스를 관리할 수 있습니다.

조직의 일부 사용자만 Google Workspace가 필요한 경우 계정에 Google Workspace 구독과 Cloud ID 구독을 모두 추가하고 Google Workspace 라이선스를 필요한 사용자에게만 할당합니다.

혜택

• 사용자는 서비스에서 IAM을 사용하는지 여부와 관계없이 Google 서비스에 인증할 수 있습니다. Cloud ID 계정 또는 Google Workspace 계정에서 사용자가 사용할 수 있는 Google 서비스를 제어합니다.
• 싱글 사인온 (SSO) 및 사전 프로비저닝을 일부 사용자로 제한하고 Cloud ID 또는 Google Workspace에서 직접 비상 액세스 사용자와 같은 특정 사용자를 계속 관리할 수 있습니다.
• 외부 IdP에서 그룹을 프로비저닝하거나 Cloud ID 계정 또는 Google Workspace 계정에서 그룹을 로컬로 관리하거나 두 가지 접근 방식을 결합할 수 있습니다.

제한사항

• 사전 사용자 계정 프로비저닝은 오버헤드를 추가하며 프로비저닝으로 인해 온보딩 프로세스가 느려질 수 있습니다.

• Cloud ID 또는 Google Workspace에서 사용자 데이터 및 그룹 데이터를 저장하는 데 사용하는 위치를 제어하거나 제한할 수 없습니다. Google은 서비스 데이터 약관에 따라 사용자 데이터 및 그룹 데이터를 처리하고 저장하므로 데이터 리전 제어가 해당 데이터를 포함하지 않으며 Google은 Google 데이터 센터 위치 전반에 걸쳐 해당 데이터를 복제할 수 있습니다.

• Gemini Enterprise는 Cloud ID 제휴 또는 Google Workspace 제휴를 사용하는 경우 Microsoft 데이터 소스에 연결하는 데 제한적인 지원을 제공합니다.

직원 ID 제휴(동기화 없음)

조직이 다음 기준을 충족하는 경우 이 패턴을 선택합니다.

• 서비스만 사용합니다. Google Cloud
• Gemini Enterprise를 사용하지만 IdP에서 부과하는 그룹 제한사항을 준수할 것으로 예상합니다.
• 개인 사용자 정보의 저장을 최소화해야 하는 데이터 상주 요구사항이 있습니다.

이 패턴에서는 직원 ID 제휴를 사용하여 Google Cloud 조직을 외부 IdP와 제휴합니다.

이 패턴에는 사용자 프로비저닝 또는 그룹 프로비저닝이 필요하지 않습니다. 사용자가 로그인할 때마다 IdP는 그룹 멤버십 및 커스텀 속성을 포함하여 사용자에 대한 필수 정보를 에 전달하고 사용자 세션 기간 동안만 해당 정보를 보관합니다. Google CloudGoogle Cloud

혜택

• 사용자 계정 또는 그룹을 Google Cloud에 저장하거나 관리할 필요가 없습니다.
• 이 패턴을 사용하면 데이터 수집 기반 커넥터를 사용하여 Gemini Enterprise를 Microsoft 365와 통합할 수 있습니다.

제한사항

• 직원 ID 제휴는 IAM 기능이며 사용자가 IAM을 사용하는 서비스에만 액세스할 수 있도록 합니다. 직원 ID 제휴를 사용하여 인증하는 사용자는 Google Ads, Looker, Google Marketing Platform과 같은 Google 서비스에 액세스할 수 없습니다.
• 직원 ID 제휴를 사용하여 인증하는 사용자는 일부 Google Cloud 기능에 액세스할 수 없습니다. 자세한 내용은 ID 제휴: 제품 및 제한사항을 참조하세요.
• 많은 IdP는 SAML 어설션 또는 ID 토큰에서 직원 ID 제휴에 전달할 수 있는 그룹 멤버십 수를 제한합니다. 이러한 제한사항을 준수하려면 그룹 거버넌스를 강화하고 어설션 또는 토큰에 포함할 그룹 유형을 제한해야 할 수 있습니다.
• NotebookLM Enterprise 노트북과 같은 리소스를 공유할 때는 이름으로 그룹을 조회할 수 없습니다. 대신 사용자가 식별자를 수동으로 입력해야 합니다.

Microsoft Entra ID를 사용하는 경우 추가 속성을 구성하여 이 패턴의 변형을 사용할 수 있습니다. 추가 속성을 구성하면 직원 ID 제휴는 사용자 인증 중에 Microsoft Graph API에 콜백을 실행하여 그룹 멤버십을 검색합니다. 이 구성을 사용하면 SAML 어설션 및 ID 토큰에 대한 Entra의 그룹 멤버십 제한사항을 해결하고 사용자당 최대 999개의 그룹 멤버십을 사용할 수 있습니다.

SCIM을 사용하는 직원 ID 제휴

조직이 다음 기준을 충족하는 경우 이 패턴을 선택합니다.

• 서비스만 사용합니다. Google Cloud 즉, Google Ads 또는 Google 지도와 같은 외부 Google 서비스를 사용하지 않습니다.
• Gemini Enterprise 또는 NotebookLM Enterprise를 사용할 계획이며 사용자당 최대 2,000개의 그룹 멤버십 또는 리소스 공유 시 이름으로 그룹을 조회하는 기능을 지원해야 합니다.

이 패턴에서는 직원 ID 제휴를 사용하여 조직을 제휴합니다.Google Cloud Gemini Enterprise에 사용할 수 있는 그룹 수를 늘리려면 SCIM을 구성하여 그룹 멤버십 정보를 미리 프로비저닝합니다.

혜택

• 이 패턴을 사용하면 데이터 수집 기반 커넥터를 사용하여 Gemini Enterprise를 Microsoft 365와 통합할 수 있습니다.
• 사용자당 최대 2,000개의 그룹 멤버십을 사용하여 Gemini Enterprise 및 NotebookLM Enterprise에 대한 액세스를 제어하고 Gemini Enterprise 데이터 수집 기반 커넥터가 액세스 검사를 실행하도록 할 수 있습니다.
• NotebookLM Enterprise 노트북과 같은 리소스를 공유할 때는 이름으로 그룹을 조회하여 전반적인 사용자 환경을 개선할 수 있습니다.

제한사항

• SCIM 프로비저닝 그룹 지원은 Gemini Enterprise 및 NotebookLM Enterprise로 제한됩니다. 다른 서비스는 IdP가 SAML 어설션 또는 ID 토큰에서 전달하는 그룹 멤버십만 사용할 수 있습니다.
• 직원 ID 제휴는 IAM 기능이며 사용자가 IAM을 사용하는 서비스에만 액세스할 수 있도록 합니다. 직원 ID 제휴를 사용하여 인증하는 사용자는 Google Ads, Looker, Google Marketing Platform과 같은 Google 서비스에 액세스할 수 없습니다.
• 직원 ID 제휴를 사용하여 인증하는 사용자는 일부기능에 액세스할 수 없습니다. Google Cloud 자세한 내용은 ID 제휴: 제품 및 제한사항을 참조하세요.

하이브리드 Cloud ID 및 직원 ID 제휴

조직이 다음 기준을 충족하는 경우 이 패턴을 선택합니다.

• Google Ads 또는 Google 지도와 같은 서비스를 사용합니다. Google Cloud
• Gemini Enterprise를 사용하고 Microsoft 365와 통합할 계획입니다.

이 패턴은 이전 두 패턴을 결합합니다.

• 직원 ID 제휴 (동기화 없음 또는 SCIM 사용)를 사용하여 Gemini Enterprise 및 NotebookLM Enterprise에 대한 액세스를 관리합니다.
• Cloud ID 또는 Google Workspace 제휴를 사용하여 및 클라우드 외 Google 서비스를 비롯한 다른 서비스에 대한 액세스를 관리합니다. Google Cloud

혜택

이 패턴을 사용하면 이전 두 패턴의 이점을 결합할 수 있습니다.

• 기능 제한 없이 Gemini Enterprise를 Microsoft 데이터 소스에 연결할 수 있습니다.
• 사용자는 서비스에서 IAM을 사용하는지 여부와 관계없이 Google 서비스에 인증할 수 있습니다.
• 전체기능을 사용합니다. Google Cloud

제한사항

• 외부 IdP에서 Cloud ID용 구성과 직원 ID 제휴용 구성이라는 두 개의 별도 신뢰 당사자 구성을 유지해야 합니다.
• 사용자가 Cloud ID를 사용하도록 구성하는지 직원 ID 제휴를 사용하도록 구성하는지에 따라 로그인 환경이 다를 수 있습니다.
• IAM 허용 정책을 관리할 때는 사용자가 인증하는 방식에 따라 다른 주 구성원 식별자를 사용해야 합니다. 예를 들어 외부 IdP에서 bob@example.com으로 알려진 사용자는 Cloud ID 제휴를 사용하여 인증하는지 직원 ID 제휴를 사용하여 인증하는지에 따라 IAM에서 주 구성원 식별자가 bob@example.com 또는 principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID//subject/SUBJECT_ID 일 수 있습니다.
• Cloud ID 사용자와 직원 ID 제휴 주 구성원이 혼합된 그룹을 만들 수 없습니다. Cloud ID 그룹에는 Cloud ID 사용자만 포함될 수 있으며 직원 ID 그룹에는 직원 ID 제휴 주 구성원만 포함될 수 있습니다.
• Gemini Enterprise를 넘어 직원 ID 제휴 사용을 확장하려면 사용자가 ID를 전환해야 하거나 인증 방법을 잘 모를 수 있습니다.

다음 단계

• 직원 ID 제휴 사용 권장사항을 검토합니다.