[gcp] Cloud Identity SSO 설정

안녕하세요, GCP Cloud Identity 내 3rd party SSO를 설정하는 방법에 대해 알아보겠습니다. GCP SSO 문서를 참고했습니다. 

 

SSO 프로세스 

간단히 GCP SSO 프로세스를 살펴보면 아래와 같습니다.

Cloud ID 및 Google Workspace은 싱글 사인온(SSO)에 대해 보안 보장 마크업 언어(SAML) 2.0을 지원합니다. SAML은 SAML IdP와 SAML 서비스 제공업체 간에 인증 및 승인 데이터를 교환하기 위한 개방형 표준입니다. Cloud ID 또는 Google Workspace에 SSO를 사용하면 외부 IdP가 SAML IdP이고 Google은 SAML 서비스 제공업체가 됩니다.

 

 

 

1. 브라우저에서 Google Cloud 콘솔 또는 인증이 필요한 다른 Google 리소스를 가리킵니다.
2. 아직 인증되지 않았으므로 Google Cloud 콘솔은 브라우저를 Google 로그인으로 리디렉션합니다.
3. Google 로그인은 이메일 주소를 입력하라는 로그인 페이지를 표시합니다.
4. 이메일 주소를 입력하고 양식을 제출합니다.
5. Google 로그인은 이메일 주소와 연결된 Cloud ID 또는 Google Workspace 계정을 조회합니다.
6. 연결된 Cloud ID 또는 Google Workspace 계정에는 싱글 사인온(SSO)이 사용 설정되어 있으므로 Google 로그인은 브라우저를 구성된 외부 IdP의 URL로 리디렉션합니다. 리디렉션을 실행하기 전에 URL에 RelayState와 SAMLRequest의 두 매개변수가 추가됩니다.

 

 

7. 외부 IdP는 브라우저에서 즉시 ACS URL로 HTTP POST 요청을 보내도록 특별히 제작된 HTML 페이지를 반환합니다. 이 요청에는 두 개의 매개변수가 포함됩니다.

• RelayState: SAML 인증 요청에서 IdP로 원래 전달된 값이 포함됩니다.
• SAMLResponse: base64로 인코딩된 SAML 어설션이 포함됩니다. SAML 어설션은 IdP가 사용자를 성공적으로 인증했음을 나타내는 XML 문서입니다. 디코딩된 양식에서 SAML 어설션은 다음과 유사합니다.

8. 브라우저가 SAML 어설션을 Google ACS 엔드포인트에 게시합니다.

9. ACS 엔드포인트가 SAML 어설션의 디지털 서명을 확인합니다. 이때 어설션이 신뢰할 수 있는 외부 IdP에서 시작된 후 변경되지 않았는지 확인합니다. 서명이 유효하다고 가정하고 ACS 엔드포인트는 대상 정보를 확인하고 NameID 속성을 읽는 어설션의 콘텐츠를 분석합니다.

10. ACS 엔드포인트는 SAML 어설션의 NameID를 사용자의 기본 이메일 주소와 일치시켜 사용자 계정을 찾습니다. 그런 다음 엔드포인트가 세션을 시작합니다.

11. 엔드포인트가 RelayState 매개변수에 인코딩된 정보를 기반으로 원래 액세스하려고 했던 리소스의 URL을 결정하면 사용자가 Google Cloud 콘솔로 리디렉션됩니다.

 

 

외부 IdP 구성

Cloud ID 및 Google Workspace에서는 다음 기능을 사용하여 싱글 사인온(SSO)을 구성할 수 있습니다.

• SAML 프로필: 통합하려는 각 IdP에 대해 SAML 프로필을 만들 수 있습니다. Cloud ID 또는 Google Workspace 계정의 각 사용자, 그룹 또는 조직 단위에 대해 SSO를 사용해야 하는지 여부 및 사용해야 하는 SAML 프로필을 결정합니다.
• 기본 조직 SSO 프로필: 단일 IdP와 통합할 단일 조직 프로필을 만들 수 있습니다. Cloud ID 또는 Google Workspace 계정의 각 사용자, 그룹 또는 조직 단위에 대해 SSO 사용 여부를 결정합니다.

 

외부 IDaaS를 IdP 및 신뢰할 수 있는 소스로 사용

ForgeRock, Okta 또는 Ping Identity와 같은 IDaaS(Identity as a Service) 공급업체를 사용하는 경우 다음 다이어그램에 표시된 대로 페더레이션을 설정할 수 있습니다.

 

 

 

모든 사용자가 SAML을 사용하여 하나의 IdP를 통해 로그인하는 경우

 

1. SAML 프로필 추가

아래 조직의 SSO 프로필 구성하기에 설명된 단계를 따릅니다.

1.  
2. Google 관리 콘솔(admin.google.com)에서 메뉴  보안 > 인증 > 서드 파티 IdP를 통한 SSO을 확인하세요.
3. 조직의 타사 SSO 프로필에서 SSO 프로필 추가를 클릭합니다.
4. 타사 ID 공급업체를 통해 SSO 설정 체크박스를 선택합니다.

1. 일부 사용자가 SSO를 사용하지 않고 Google에 직접 로그인하도록 하려면 SSO 프로필에 '없음'을 할당할 수 있는 SSO를 사용해야 하는 사용자 결정하기의 단계를 따릅니다.

 

 

2. SAML SSO SP 인증서 생성

 

 

 

3. SAML SSO SP 프로필 정보 공유

- SSO에 해당 정보를 공유

 

 

 

4. SSO 프로필 할당 관리

 

 

5. SSO 프로필 할당

 

 

참고

 

https://cloud.google.com/architecture/identity/single-sign-on?hl=ko

 

클라우드 아키텍처 센터

 

https://support.google.com/cloudidentity/answer/12032922?hl=ko

 

https://support.google.com/cloudidentity/answer/6262987?hl=ko&ref_topic=7558767&sjid=16405508471001497640-AP