Microsoft My Apps 포털 통합

Last reviewed 2023-02-27 UTC

Refresh_date: 2023-03-01

이 문서에서는 Google 서비스 및 IAP(Identity-Aware Proxy) 웹 보안 웹 애플리케이션을 Microsoft My Apps 포털에 추가하는 방법과 이러한 애플리케이션에 대해 자동 로그인을 사용 설정하는 방법을 설명합니다.

이 문서에서는 싱글 사인온(SSO)을 위해 Microsoft Entra ID를 구성하여 Cloud ID 또는 Google Workspace 계정을 Microsoft Entra ID와 제휴했다고 가정합니다.

시작하기 전에

Cloud ID 또는 Google Workspace 계정을 Microsoft Entra ID와 제휴하기 위한 단계를 완료했는지 확인합니다.

포털에서 싱글 사인온(SSO) 시작

Azure AD와 같은 외부 ID 공급업체(IdP)를 통한 인증을 지원하기 위해 Cloud ID 및 Google Workspace는 서비스 제공업체에서 시작된 로그인을 사용합니다. 이 유형의 로그인을 사용하면 인증이 서비스 제공업체에서 시작되어 IdP로 리디렉션됩니다. 예를 들면 다음과 같습니다.

  1. URL 또는 북마크를 열어 Google Cloud 콘솔 또는 Looker Studio와 같은 Google 서비스에 액세스합니다. Google 및 관련 서비스는 이 시나리오에서 서비스 제공업체 역할을 합니다.
  2. Google 로그인 화면이 나타나고 Google ID의 이메일 주소를 입력하라는 메시지가 표시됩니다.
  3. IdP 역할을 하는 Microsoft Entra ID로 리디렉션됩니다.
  4. Microsoft Entra ID에 로그인합니다.
  5. Microsoft Entra ID는 원래 액세스하려고 했던 Google 서비스로 사용자를 다시 리디렉션합니다.

서비스 제공업체에서 시작된 로그인의 이점은 사용자가 링크를 열거나 북마크를 사용하여 Google 서비스에 직접 액세스할 수 있다는 것입니다. 조직에서 Microsoft Entra ID를 사용하는 경우 이러한 용도로 Microsoft My Apps 포털을 사용할 수 있습니다. 특정 사이트를 북마크하거나 특정 URL을 암기하고 있는 고급 사용자의 경우 포털을 통해 애플리케이션을 강제로 열지 않아도 되므로 편리합니다. 다른 사용자의 경우 포털에 관련 애플리케이션에 대한 링크를 노출하는 것이 중요할 수 있습니다.

하지만 https://lookerstudio.google.com과 같은 링크를 Microsoft My Apps 포털에 추가하면 서비스 제공업체에서 시작된 로그인 프로세스의 단점이 드러납니다. 포털에서 링크를 클릭하는 사용자에게 유효한 Microsoft Entra ID 세션이 있어도 Google 로그인 화면이 계속 나타나 이메일 주소를 입력하라는 메시지가 표시될 수 있습니다. 이 로그인 프롬프트는 중복된 것처럼 보이지만 Google 로그인에서 기존 Microsoft Entra ID 세션을 인식하지 못하기 때문에 발생합니다.

Microsoft My Apps 포털을 구성할 때 특수 URL을 사용하면 추가 Google 로그인 프롬프트를 차단할 수 있습니다. 이러한 URL에는 사용할 Cloud ID 또는 Google Workspace 계정 사용자에 대한 힌트가 포함됩니다. 추가 정보를 사용하면 인증이 자동으로 수행되고, 결과적으로 사용자 환경이 개선됩니다.

다음 표에는 일반적인 Google 서비스, Microsoft Entra ID에서 해당하는 이름, 그리고 이전 섹션에 설명된 대로 SSO를 구현하는 데 사용할 수 있는 링크가 나와 있습니다.

Google 서비스 URL 로고
Google Cloud 콘솔 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://console.cloud.google.com Google Cloud 로고
Google Docs https://docs.google.com/a/DOMAIN Google 문서 로고
Google Sheets https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://sheets.google.com Google Sheets 로고
Google Sites https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://slides.google.com Google Sites 로고
Google Drive https://drive.google.com/a/DOMAIN Google Drive 로고
Gmail https://mail.google.com/a/DOMAIN Gmail 로고
Google 그룹스 https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://groups.google.com Google 그룹스 로고
Google Keep https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://keep.google.com Google Keep 로고
Looker Studio https://www.google.com/a/DOMAIN/ServiceLogin?continue=https://lookerstudio.google.com Looker Studio 로고

Microsoft My Apps 포털에 추가하려는 각 Google 서비스에 대해 새로운 엔터프라이즈 애플리케이션을 만듭니다.

  1. Azure 포털에서 Microsoft Entra ID > Enterprise applications(엔터프라이즈 애플리케이션)로 이동합니다.
  2. New application(새 애플리케이션)을 클릭합니다.

  3. Create your own application(자체 애플리케이션 만들기)을 클릭하고 다음을 입력합니다.

    • 앱 이름: 위 표에 표시된 대로 Google 서비스 이름을 입력합니다.
    • 애플리케이션으로 수행할 작업: 갤러리에 없는 다른 모든 애플리케이션 통합(갤러리 아님)을 선택합니다.

  4. 만들기를 클릭합니다.

  5. Properties(속성)을 클릭합니다.

  6. 표에 링크된 파일의 로고를 변경합니다.

  7. Save(저장)를 클릭합니다.

  8. 왼쪽 메뉴에서 Single sign-on(싱글 사인온)을 선택합니다.

  9. Linked(연결됨)을 선택합니다.

  10. 표에 나열된 URL을 입력합니다(예: http://docs.google.com/a/DOMAIN).

    DOMAIN을 Cloud ID 또는 Google Workspace 계정의 기본 도메인 이름(예: example.com)으로 바꿉니다.

  11. Save(저장)를 클릭합니다.

애플리케이션에는 SAML 기반 SSO를 구성하지 않아도 됩니다. 모든 싱글 사인온(SSO) 작업은 앞에서 싱글 사인온(SSO)을 위해 만든 애플리케이션에서 계속 처리됩니다.

사용자에게 애플리케이션을 할당하려면 다음 단계를 따르세요.

  1. 왼쪽 메뉴에서 Properties(속성)를 선택합니다.
  2. User assignment required(사용자 할당 필요)Yes(예)로 설정합니다.
  3. Save(저장)를 클릭합니다.
  4. 왼쪽의 메뉴에서 Manage(관리) > Users and groups(사용자 및 그룹)를 클릭합니다.
  5. Add user(사용자 추가)를 클릭합니다.
  6. Users(사용자)를 선택합니다.
  7. 프로비저닝할 사용자 또는 그룹을 선택합니다. 그룹을 선택하면 해당 그룹의 모든 구성원이 프로비저닝됩니다.
  8. Select(선택)를 클릭합니다.
  9. Assign(할당)을 클릭합니다.

링크가 My Apps 포털에 표시되는 데 몇 분 정도 걸릴 수 있습니다.

액세스 제어

Microsoft Entra ID의 개별 애플리케이션에 사용자 및 그룹을 할당하면 링크의 공개 상태는 제어되지만 서비스에 대한 액세스는 제어되지 않습니다. 사용자가 올바른 URL을 열었다면 사용자의 My Apps 포털에 표시되지 않는 서비스에 계속 액세스할 수 있습니다. 서비스에 액세스할 수 있는 사용자 및 그룹을 제어하려면 Google 관리 콘솔에서 서비스를 사용/사용 중지해야 합니다.

그룹을 사용하여 공개 상태와 액세스를 제어하는 프로세스를 간소화할 수 있습니다.

  1. Microsoft Entra ID에서 각 Google 서비스에 대한 보안 그룹을 만듭니다(예: Looker Studio usersGoogle Drive users).
  2. 이전 섹션에서 설명한 대로 그룹을 적절한 Microsoft Entra ID 엔터프라이즈 애플리케이션에 할당합니다. 예를 들어 Looker Studio 애플리케이션에 Looker Studio users를, Google 드라이브 애플리케이션에 Google Drive users를 할당합니다.
  3. Cloud ID 또는 Google Workspace 계정에 프로비저닝할 그룹을 구성합니다.
  4. 관리 콘솔에서 각 그룹에 해당하는 서비스를 사용 설정합니다. 예를 들어 Looker Studio users 그룹에는 Looker Studio를, Google Drive users 그룹에는 Google 드라이브를 사용 설정합니다. 그 외 모든 사용자에 대해서는 서비스를 사용 중지합니다.

이제 이러한 그룹에 구성원을 추가 및 삭제하여 액세스와 공개 상태를 한 번에 제어할 수 있습니다.

IAP로 보호되는 웹 애플리케이션

IAP(Identity-Aware Proxy)를 사용하여 웹 애플리케이션을 보호하는 경우 이러한 애플리케이션에 대한 링크를 Microsoft My Apps 포털에 추가하고 해당 애플리케이션에 대해 싱글 사인온(SSO)을 사용 설정할 수 있습니다.

Microsoft My Apps 포털에 링크를 추가하는 프로세스는 Google 서비스와 동일하지만 IAP로 보호되는 웹 애플리케이션의 URL을 사용해야 합니다.

Google 서비스와 마찬가지로 포털에서 IAP로 보호되는 웹 애플리케이션의 링크를 연 후 사용자에게 Google 로그인 화면이 표시되지 않도록 할 수 있지만 프로세스는 다릅니다. 특수 URL을 사용하는 대신 항상 특정 Cloud ID 또는 Google Workspace 계정을 사용하여 인증하도록 IAP를 구성합니다.

  1. Google Cloud 콘솔에서 Cloud Shell을 활성화합니다.

    Cloud Shell 활성화

  2. 환경 변수를 초기화합니다.

    PRIMARY_DOMAIN=primary-domain

    primary-domain을 Cloud ID 또는 Google Workspace 계정의 기본 도메인(예: example.com)으로 바꿉니다.

  3. IAP가 항상 Cloud ID 또는 Google Workspace 계정의 기본 도메인을 인증에 사용하도록 지시하는 임시 설정 파일을 만듭니다.

    cat << EOF > iap-settings.yaml
accessSettings:
  oauthSettings:
    loginHint: "$PRIMARY_DOMAIN"
EOF

  4. 프로젝트의 모든 IAP 웹 리소스에 설정을 적용합니다.

    gcloud iap settings set iap-settings.yaml --resource-type=iap_web

  5. 임시 설정 파일을 삭제합니다.

    rm iap-settings.yaml

액세스 제어

Microsoft Entra ID의 개별 애플리케이션에 사용자 및 그룹을 할당하면 IAP로 보호되는 웹 애플리케이션 링크의 공개 상태는 제어되지만 해당 애플리케이션에 대한 액세스는 제어되지 않습니다. 액세스를 제어하려면 IAP로 보호되는 웹 애플리케이션의 IAM 정책을 맞춤설정해야 합니다.

Google 서비스와 마찬가지로 그룹을 사용하여 공개 상태와 액세스를 제어하는 프로세스를 간소화할 수 있습니다.

  1. Microsoft Entra ID에서 각 애플리케이션에 대한 보안 그룹을 만듭니다(예: Payroll application users).
  2. 각 Microsoft Entra ID 엔터프라이즈 애플리케이션에 그룹을 할당합니다.
  3. Cloud ID 또는 Google Workspace 계정에 프로비저닝할 그룹을 구성합니다.
  4. IAP로 보호되는 웹 애플리케이션의 IAM 정책을 업데이트하여 Payroll application users 그룹에 IAP 보안 웹 앱 사용자 역할을 부여하는 동시에 다른 사용자의 액세스 권한을 금지할 수 있습니다.

이제 Payroll application users 그룹에 구성원을 추가 및 삭제하여 액세스와 공개 상태를 한 번에 제어할 수 있습니다.

다음 단계