SSO 관련 정보

SSO가 설정된 경우 서드 파티 IdP에 로그인한 사용자는 추가 인증 없이 Google 앱에 액세스할 수 있습니다. 단, 다음의 예외가 있습니다.

• 사용자가 이미 IdP에 로그인한 경우에도 추가 보안 조치의 일환으로 Google에서 본인 확인을 요청하기도 합니다. 필요한 경우 본인 확인 요청을 사용 중지하는 방법에 대한 자세한 내용은 SAML 보안 로그인 이해하기를 참고하세요.
• Google 서비스에 액세스하는 사용자에 대해 2단계 인증을 추가로 설정할 수 있습니다. SSO가 사용 설정되면 일반적으로 2단계 인증이 우회됩니다. 자세한 내용은 SSO로 본인 확인 요청 사용 설정하기를 참고하세요.

그림 1은 사용자가 파트너가 제공하는 SAML 기반 SSO 서비스를 통해 Gmail과 같은 Google 애플리케이션에 로그인하는 프로세스를 보여줍니다. 이미지에 표시된 번호 목록은 각 단계를 자세하게 설명합니다.

중요: 이 과정이 시작되려면 파트너가 Google이 SAML 응답을 확인할 때 사용해야 하는 공개 키와 SSO 서비스 URL을 제공해야 합니다.

그림 1: SAML 기반 SSO 서비스를 사용하여 Google에 로그인하는 프로세스를 보여줍니다. 

이 이미지는 다음 단계를 설명합니다.

1. 사용자가 Gmail, Google Calendar 또는 기타 Google 서비스와 같은 호스팅된 Google 애플리케이션에 도달하려고 시도합니다.
2. Google은 파트너 SSO 서비스용 URL에 인코딩되어 삽입되는 SAML 인증 요청을 생성합니다. 사용자가 도달하려는 Google 애플리케이션의 인코딩된 URL이 포함된 RelayState 매개변수도 SSO URL에 삽입됩니다. 이 RelayState 매개변수는 수정 또는 검사 없이 되돌려 보내지는 불투명한 식별자입니다.
3. 사용자 브라우저로 리디렉션이 전송됩니다. 리디렉션 URL에는 파트너의 SSO 서비스에 제출되어야 하는 인코딩된 SAML 인증 요청이 포함됩니다.
4. 브라우저가 SSO URL로 리디렉션됩니다.
5. 파트너는 SAML 요청을 디코딩하여 Google Assertion 일반 고객 서비스(ACS) 및 사용자의 대상 URL(RelayState 매개변수) 둘 다를 위한 URL을 추출합니다. 
6. 그런 다음 파트너가 사용자를 인증합니다. 파트너는 유효한 로그인 사용자 인증 정보를 요청하거나 유효한 세션 쿠키를 검사하여 사용자를 인증할 수 있습니다.
7. 파트너가 인증된 사용자의 사용자 이름을 포함하는 SAML 응답을 생성합니다. 이 응답은 SAML v2.0 사양에 따라 파트너의 공개 및 비공개 DSA/RSA 키로 디지털 서명됩니다.
8. 파트너가 SAML 응답 및 RelayState 매개변수를 인코딩하여 정보를 사용자 브라우저로 반환합니다. 파트너는 브라우저가 정보를 Google ACS에 전달할 수 있는 메커니즘을 제공합니다. 예를 들어 파트너는 SAML 응답 및 도착 URL을 양식에 삽입하고 사용자가 양식을 Google에 제출하기 위해 클릭할 수 있는 버튼을 제공할 수 있습니다. 또한 파트너는 양식을 Google에 제출할 수 있는 페이지에 자바스크립트를 포함할 수 있습니다.
9. 브라우저에서 ACS URL로 응답을 보냅니다. Google ACS가 파트너의 공개 키를 사용하여 SAML 응답을 확인합니다. 응답이 성공적으로 확인되면 ACS에서 사용자를 대상 URL로 리디렉션합니다. 
10. 사용자가 Google 앱에 로그인합니다.