주요 사항•
SAML 활성화 시 모든 사용자는 Okta를 통해서만 로그인이 가능합니다.
•
•
Okta와 프로비저닝 구성하고자 한다면 Okta의 LCM License가 필요합니다.
•
Okta-GWS 연동 구성 시 Super Admin 권한의 GWS 계정으로 인증이 필요합니다.
•
GWS의 ‘기본 도메인(Primary Domain)’을 기준으로 구성합니다.
권장 사항•
GWS에서 SSO를 활성화하면 모든 웹 로그인 인증을 Okta를 통해 이루어져 사용자 접근을 중앙에서 관리할 수 있습니다.
•
GWS의 비밀번호 동기화를 권장합니다. GWS에서 사용자가 비밀번호를 변경하려고 할때 Okta로 오게 됩니다.
•
Google Workspace 프로비저닝에 사용하는 관리자 계정은 비밀번호 변경으로 인한 연동 오류를 방지하기 위해 개인 계정이 아닌 전용 시스템 계정을 사용하는 것을 권장합니다.
•
사용자 계정이 Google Workspace에서 생성되는 환경이라면 Okta 프로비저닝 설정에서 Create Users 기능을 비활성화하고, 사용자 Import를 통해 기존 계정을 Okta와 연결하는 방식으로 운영해야 합니다.
•
사용자 비활성화/재활성화 기능을 활성화합니다. 이렇게 하면 Okta 또는 AD에서 사용자가 비활성화될 경우 Google Workspace에서도 자동으로 비활성화됩니다.
1. SAML 2.0 기능
•
Okta를 SAML을 통해 Google Workspace에 연결할 때 다음과 같은 기능이 지원됩니다.
•
RPID란, Google Workspace에서 어떤 IdP를 사용할지 구분하기 위한 식별자입니다.
◦
RPID가 필요한 경우는 멀티 IdP를 사용하는 경우입니다.
•
IdP-initiated SSO (로그인 시작 위치: Okta Dashboard)
사용자가 Okta 포털에서 Google Workspace 애플리케이션을 선택하면 Okta가 SAML Assertion을 생성하여 Google Workspace로 전달하고 바로 로그인됩니다.
지원되는 SSO 프로필은 다음과 같습니다.
◦
Root Organization SSO Profile (RPID unset)
▪
조직 전체에 단일 IdP(Okta)를 사용하는 기본 구성
◦
Single Multi-IdP SSO Profile (RPID set)
▪
여러 IdP가 존재하는 환경에서 특정 IdP를 지정하여 로그인하는 구성
•
SP-initiated SSO (로그인 시작 위치: Google Workspace)
사용자가 Google Workspace 서비스에 먼저 접근하면 인증 요청이 Okta(IdP)로 전달되고, Okta에서 인증 후 Google Workspace로 다시 리디렉션됩니다.
지원되는 SSO 프로필은 다음과 같습니다.
◦
Root Organization SSO Profile (RPID unset)
▪
Google Workspace 조직 전체에 대해 하나의 IdP(Okta)를 사용하는 구성
▪
RPID(Realm Provider ID)가 설정되지 않은 기본 SSO 구성
◦
Single Multi-IdP SSO Profile (RPID set)
▪
여러 IdP를 사용할 수 있는 환경에서 특정 IdP를 지정하는 방식
▪
RPID 값으로 어떤 IdP를 사용할지 구분
Step 1. Okta에서 GWS 앱 추가 및 설정
경로: Applications → Applications → Browse App Catalog
•
Application label: 사용자 대시보드에 표시되는 앱 이름
•
Your Google Apps company domain: GWS에서 사용하는 조직의 도메인 주소
•
Display following links: 사용자 대시보드에서 GWS의 개벼 서비스 아이콘을 각각 노출할지 설정, 체크 시 사용자가 대시보드에서 원하는 서비스에 바로 접속 가능
•
Seats(옵션): 라이선스 관리 및 모니터링을 위한 항목, 현재 구매한 GWS 라이선스 수량을 입력해 두면 Okta를 통해 할당된 사용자 수와 비교하여 라이선스 현황을 관리하는 용도로 사용
•
Application Visibility: 사용자 대시보드에서 앱 아이콘의 노출 여부 결정
•
Browser plugin auto-submit: 사용자가 로그인을 시도할 때 Okta Browser Plugin이 자격 증명을 자동으로 입력하고 전송할지 설정
•
“View Setup Instructions”를 클릭하면 우측 페이지를 볼 수 있습니다.
•
해당 페이지를 통해 Google Workspace의 Admin console에서 SSO 설정을 할 수 있습니다.
Step 2. Google admin console에서 SSO 설정
경로: Security → Authentication → SSO With third party IdP
•
IdP 등록 후, “MANEGE”에서 어떤 조직(Organization Unit)에 등록한 IdP 중 어떤 IdP를 사용할 것인지 선택이 가능합니다.
•
해당 기능을 통해 소규모 사용자 그룹을 대상으로 SAML 테스트를 진행을 할 수 있습니다.
•
테스트를 진행할 조직(Organization Unit)를 선택해서 “okta-SAML”를 선택하고 “SAVE”를 클릭합니다.
•
사용자가 선택한 SSO profile를 통해 먼저 로그인하지 않고 Google에 직접 접속할 경우 어떤 일이 발생할지를 선택합니다.
•
SSO를 통해 한곳에서 접속할 수 있는 환경을 만들기 위해서는 첫번째 옵션으로 진행하는 것을 권장합니다. 테스트 또는 관리자 계정 설정을 위해서라면 두번째 옵션을 선택할 수 있습니다.
◦
Have Google prompt for their username, then redirect them to this profile’s IDP sign-in page: Google 로그인 페이지에서 사용자 입력하고 “다음” 버튼을 누르게 되면 사용자는 설정한 프로파일 IDP 로그인 페이지로 리다이렉트 되어 인증을 진행합니다.
◦
Require users to enter their Google username and password to sign in: 사용자가 IDP로 리다이렉션되지 않고 구글에서 로그인할 수 있습니다.
SSO with 1-click
경로: Settings → Features → Google Workspace express setup 토글 ON
경로: Applications → Applications → Browse App Catalog
•
Application label: 사용자 대시보드에 표시되는 앱 이름
•
Your Google Apps company domain: GWS에서 사용하는 조직의 도메인 주소, 기본 도메인(Primary Domain)을 기준으로 구성
•
Display following links: 사용자 대시보드에서 GWS의 개벼 서비스 아이콘을 각각 노출할지 설정, 체크 시 사용자가 대시보드에서 원하는 서비스에 바로 접속 가능
•
Seats(옵션): 라이선스 관리 및 모니터링을 위한 항목, 현재 구매한 GWS 라이선스 수량을 입력해 두면 Okta를 통해 할당된 사용자 수와 비교하여 라이선스 현황을 관리하는 용도로 사용
•
Application Visibility: 사용자 대시보드에서 앱 아이콘의 노출 여부 결정
•
Browser plugin auto-submit: 사용자가 로그인을 시도할 때 Okta Browser Plugin이 자격 증명을 자동으로 입력하고 전송할지 설정
2. 프로비저닝 기능
주요 사항•
Step 3. Okta GWS 앱에서 프로비저닝 설정
경로: Okta 관리자 콘솔 → Application → Application → Google Workspace 앱 → Provisioning → Configure API Integration 클릭
•
“Enable API integration”을 활성화한 후 “Re-authenticate with Google Workspace”를 클릭하면 Google Workspace 관리자 계정으로 인증을 진행하여 Okta가 Google Workspace API에 접근할 수 있도록 승인합니다.
•
인증이 완료되면 화면과 같이 초록색 상태 메시지가 표시됩니다.
•
Create Users: Okta에서 Google Workspace 애플리케이션이 할당된 사용자는 Google Workspace에 새 사용자 계정으로 자동 생성됩니다.
•
Update User Attributes: Okta에서 사용자 정보(이름, 이메일 등)가 변경되면 해당 변경 사항이 Google Workspace 사용자 정보에도 자동으로 동기화됩니다.
•
Deactivate Users: Okta에서 Google Workspace 애플리케이션 할당이 제거되면 Google Workspace에서 해당 사용자 계정이 자동으로 비활성화됩니다.
•
Sync User Password: Okta에서 변경된 사용자 비밀번호를 Google Workspace 계정에도 동기화할 수 있습니다.
◦
Sync a randomly generated password: Okta가 임의로 생성한 비밀번호를 Google Workspace 계정에 설정합니다. 사용자는 일반적으로 Google 로그인 대신 Okta SSO를 통해 로그인하게 됩니다.
◦
Sync Okta Password: 사용자가 Okta에서 사용하는 동일한 비밀번호를 Google Workspace 계정에도 동기화합니다.
