본문으로 건너뛰기

Google Workspace 로 싱글 사인온 (SSO) 설정하세요

최소한의 구성 노력으로 이 커넥터는 Microsoft Entra ID 와의 통합을 통해 엔터프라이즈 SSO 를 가능하게 합니다.

:

SSO 및 Logto에서 SSO를 구성하는 방법에 대한 자세한 정보는 엔터프라이즈 SSO (SAML & OIDC) 문서를 참조하여 시작하세요.

1단계: Google Cloud Platform 에서 새 프로젝트 생성하기

Google Workspace를 인증 (Authentication) 제공자로 사용하기 전에, Google API Console에서 프로젝트를 설정하여 OAuth 2.0 자격 증명을 얻어야 합니다. 이미 프로젝트가 있는 경우, 이 단계를 건너뛸 수 있습니다. 그렇지 않으면, Google 조직 아래에 새 프로젝트를 생성하세요.

새로운 OIDC 자격 증명을 생성하려면 애플리케이션의 동의 화면을 구성해야 합니다.

  1. OAuth 동의 화면 페이지로 이동하여 Internal 사용자 유형을 선택하세요. 이렇게 하면 OAuth 애플리케이션이 조직 내 사용자에게만 제공됩니다.
Google Workspace 동의 화면 사용자 유형
  1. 페이지의 지침에 따라 동의 화면 설정을 채우세요. 다음 최소 정보를 제공해야 합니다:
  • 애플리케이션 이름: 애플리케이션의 이름입니다. 동의 화면에 표시됩니다.
  • 지원 이메일: 애플리케이션의 지원 이메일입니다. 동의 화면에 표시됩니다.
Google Workspace 동의 화면 설정
  1. 애플리케이션의 스코프를 설정하세요. IdP로부터 사용자의 아이덴티티 정보와 이메일 주소를 올바르게 가져오기 위해, Logto SSO 커넥터는 IdP로부터 다음 스코프를 부여받아야 합니다:
Google Workspace 동의 화면 스코프
  • openid: 이 스코프는 OIDC 인증에 필요합니다. ID 토큰을 가져오고 IdP의 userInfo 엔드포인트에 접근하는 데 사용됩니다.
  • profile: 사용자의 기본 프로필 정보에 접근하기 위해 필요한 스코프입니다.
  • email: 사용자의 이메일 주소에 접근하기 위해 필요한 스코프입니다.

저장 버튼을 클릭하여 동의 화면 설정을 저장하세요.

3단계: 새 OAuth 자격 증명 생성하기

자격 증명 페이지로 이동하여 Create Credentials 버튼을 클릭하세요. 드롭다운 메뉴에서 OAuth client ID 옵션을 선택하여 애플리케이션에 대한 새로운 OAuth 자격 증명을 생성하세요.

Google Workspace create credentials

다음 정보를 입력하여 OAuth 자격 증명 설정을 계속 진행하세요:

Google Workspace credentials config
  1. 애플리케이션 유형으로 Web application을 선택하세요.
  2. 클라이언트 애플리케이션의 Name을 입력하세요. 예를 들어, Logto SSO Connector를 입력하세요. 이는 나중에 자격 증명을 식별하는 데 도움이 됩니다.
  3. Authorized redirect URIs에 Logto 콜백 URI를 입력하세요. 이는 Google이 인증에 성공한 후 사용자의 브라우저를 리디렉션할 URI입니다. 사용자가 IdP를 통해 성공적으로 인증되면, IdP는 사용자의 브라우저를 이 지정된 URI로 인가 코드와 함께 다시 리디렉션합니다. Logto는 이 URI에서 받은 인가 코드를 기반으로 인증 과정을 완료합니다.
  4. Authorized JavaScript origins에 Logto 콜백 URI의 출처를 입력하세요. 이는 오직 Logto 애플리케이션만이 Google OAuth 서버에 요청을 보낼 수 있도록 보장합니다.
  5. Create 버튼을 클릭하여 OAuth 자격 증명을 생성하세요.

4단계: 클라이언트 자격 증명으로 Logto 커넥터 설정하기

OAuth 자격 증명을 성공적으로 생성한 후, 클라이언트 ID와 클라이언트 시크릿이 포함된 프롬프트 모달을 받게 됩니다.

Google Workspace 자격 증명 생성

Client IDClient secret을 복사하여 Logto의 SSO 커넥터 Connection 탭의 해당 필드에 입력하세요.

이제 Logto에서 Google Workspace SSO 커넥터를 성공적으로 구성했습니다.

5단계: 추가 스코프 (선택 사항)

Scope 필드를 사용하여 OAuth 요청에 추가적인 스코프를 추가하세요. 이를 통해 Google OAuth 서버로부터 더 많은 정보를 요청할 수 있습니다. 자세한 내용은 Google OAuth Scopes 문서를 참조하세요.

사용자 정의 스코프 설정과 관계없이, Logto는 항상 openid, profile, email 스코프를 IdP에 전송합니다. 이는 Logto가 사용자의 아이덴티티 정보와 이메일 주소를 올바르게 가져올 수 있도록 하기 위함입니다.

6단계: 이메일 도메인 설정 및 SSO 커넥터 활성화하기

Logto의 커넥터 SSO 경험 탭에서 조직의 이메일 도메인을 제공하세요. 이렇게 하면 해당 사용자들에게 SSO 커넥터가 인증 (Authentication) 방법으로 활성화됩니다.

지정된 도메인의 이메일 주소를 가진 사용자는 SSO 커넥터를 유일한 인증 (Authentication) 방법으로 사용하도록 리디렉션됩니다.

Google Workspace SSO 커넥터에 대한 자세한 정보는 Google OpenID Connector를 확인하세요.