- SSO API에서는 어떤 SAML 버전을 지원하나요?
- SAML SSO 기능은 POP3 또는 IMAP을 지원하나요?
- SAML SSO 기능은 Gmail Atom 피드를 지원하나요?
- SAML SSO 기능은 AuthSub을 지원하나요?
- 싱글 사인온(SSO) 구현에 DSA 대신 RSA를 사용할 수 있나요?
- SSO에 필요한 확인 인증서를 생성하려면 어떻게 해야 하나요?
- SSO를 구현한 도메인에서 Google에 바로 로그인할 수 있나요?
- 브라우저 세션 동안 사용자를 확인하는 비영구 세션 쿠키를 어떻게 삭제할 수 있나요 (예: 로그아웃 시)?
- 비밀번호 URL 변경이 작동하지 않는 이유는 무엇인가요?
- SAML 응답 HTML 형식이 Firefox에서는 작동하지만 Internet Explorer에서 작동하지 않는 이유는 무엇인가요?
- 사용자가 인증 없이도 파트너 시작 페이지를 보도록 허용하려면 어떻게 해야 하나요?
- SAML 응답에 필요한 수신자 속성은 무엇인가요?
- 타사 ID 공급업체가 수신자 속성을 올바르게 지정했는지 어떻게 확인할 수 있나요?
'로그인 요청에 잘못된 수신자 정보가 포함되어 있어 서비스에 액세스할 수 없습니다'라는 오류 메시지는 무엇을 의미하나요?
'로그인 사용자 인증 정보를 확인하지 못했기 때문에 해당 계정에 액세스할 수 없습니다'라는 오류 메시지는 무엇을 의미하나요?
SSO API에서는 어떤 SAML 버전을 지원하나요?
현재 Google은 SAML v2.0을 지원합니다. SAML v2.0 표준에 대한 자세한 내용은 http://www.oasis-open.org/specs/index.php#samlv2.0을 참고하세요.
SAML SSO 기능은 POP3 또는 IMAP을 지원하나요?
아니요. SAML은 Google Workspace 웹 애플리케이션만 지원합니다.
SAML SSO 기능은 Gmail Atom 피드를 지원하나요?
아니요, Gmail Atom 피드는 HTTP 기본 인증을 사용합니다.
SAML SSO 기능은 AuthSub을 지원하나요?
예, SAML은 AuthSub을 지원합니다.
싱글 사인온(SSO) 구현에 DSA 대신 RSA를 사용할 수 있나요?
예, RSA 또는 DSA 암호화 알고리즘을 선택하여 사용할 수 있습니다. 두 가지 모두 사용 가능합니다.
SSO에 필요한 확인 인증서를 생성하려면 어떻게 해야 하나요?
openssl 명령어를 사용하여 X509 인증서를 생성할 수 있습니다. 자세한 내용은 SSO용 키 및 인증서 생성하기를 참고하세요.
SSO를 구현한 도메인에서 Google에 바로 로그인할 수 있나요?
아니요. 도메인에 SSO를 구현한 경우 도메인 최종 사용자는 Google에 바로 로그인할 수 없습니다. 최고 관리자는 계속해서 Google 제어판에 로그인할 수 있습니다 (예: http://www.google.com/a/example.com).
브라우저 세션 동안 사용자를 확인하는 비영구 세션 쿠키를 어떻게 삭제할 수 있나요 (예: 로그아웃 시)?
SAML을 통해 인증이 완료되면 Google에서는 사용자 세션을 확인하기 위해 세션 쿠키를 설정합니다. 사용자가 명시적으로 로그아웃하면 (예: 로그아웃 버튼 클릭) 이 쿠키는 삭제되어야 합니다. 영구 세션 관리가 포함된 구현인 경우 ('이 컴퓨터에 저장' 기능) 언제 어떻게 이 쿠키가 삭제되는지 제어해야 할 수 있습니다. 로그아웃하면 Google은 로그아웃 서블릿으로 리디렉션합니다. 로그아웃 서블릿에서는 세션 쿠키를 삭제해야 할지를 결정할 수 있는 몇 가지 옵션을 사용자에게 제공할 수 있습니다.
비밀번호 URL 변경이 작동하지 않는 이유는 무엇인가요?
SSO 설정에서 비밀번호 URL 변경에 대한 변경사항이 적용되려면 한 시간 정도 소요됩니다.
SAML 응답 HTML 형식이 Firefox에서는 작동하지만 Internet Explorer에서 작동하지 않는 이유는 무엇인가요?
Internet Explorer에서 RelayState를 잘못 해석하여 발생한 문제일 수 있습니다. Internet Explorer는 '<mpl'을 '<mpl'로 해석합니다. 이를 방지하려면 XML 특수 문자가 RelayState에서 이스케이프 처리되어야 합니다. { &, <, >, ', " }을 { &, <, >, ', " }로 변경하시기 바랍니다.
사용자가 인증 없이도 파트너 시작 페이지를 보도록 허용하려면 어떻게 해야 하나요?
이 주제는 SAML 응답 사례에 대한 토론방에서 확인하세요.
SAML 응답에 필요한 수신자 속성은 무엇인가요?
SAML 2.0 프로필 사양의 섹션 4.1.4.2에 따르면 수신자 속성은 ACS (Assertion Consumer Service) URL과 동일해야 합니다. 다음 위치에 있습니다.
<samlp:Response ...>
<saml:Assertion ...>
<saml:Subject>
<saml:NameID ...>user@domain.com</saml:NameID>
<saml:SubjectConfirmation ...>
<saml:SubjectConfirmationData Recipient="https://www.google.com/a/domain.com/acs" .../>
</saml:SubjectConfirmation>
</saml:Subject>
</saml:Assertion>
</samlp:Response>
SAML 응답에 수신자를 추가하는 방법은 아래 질문을 참고하세요.
타사 ID 공급업체가 수신자 속성을 올바르게 지정했는지 어떻게 확인할 수 있나요?
상업용 또는 오픈소스 ID 공급업체가 SAML 2.0을 지원하는 경우에는 이미 올바른 수신자 속성이 지정되어 있습니다. 위의 오류 메시지가 표시된다면 수신자 속성이 잘못되었다는 것을 의미합니다. 이 경우에는 소프트웨어 공급업체 또는 관리업체에 문의하고 이 페이지 링크를 전달하시기 바랍니다.
SSO에서는 사용자가 관리자 제어판 로그인 URL을 사용하여 직접 인증할 수 있나요?
예. SAML 기반 싱글 사인온 (SSO)을 사용하면 Google Workspace 로그인 인증을 자신의 ID 공급업체 소프트웨어로 전송할 수 있습니다 (예: 기존 로그인 포털). 소프트웨어에서 사용자 계정의 인증을 제어하고 관리하며, Google Workspace에서는 로그인 시도를 SSO 포털로 리디렉션합니다. 하지만 관리자는 Google 관리 콘솔의 관리자 로그인 URL (https://www.google.com/a/example.com)을 사용하여 이러한 서비스를 계속 관리할 수 있습니다. 이렇게 하면 SSO 포털에 문제가 발생하거나 업데이트가 필요할 때 유연하게 대처할 수 있습니다.
'로그인 요청에 수신자 정보가 없어 서비스에 액세스할 수 없습니다'라는 오류 메시지는 무엇을 의미하나요?
SAML 응답에 필수 Recipient 속성이 누락되었음을 의미합니다.
'로그인 요청에 잘못된 수신자 정보가 포함되어 있어 서비스에 액세스할 수 없습니다'라는 오류 메시지는 무엇을 의미하나요?
SAML 응답의 Recipient 속성이 ACS (Assertion Consumer Service) URL과 일치하지 않음을 의미합니다.
'로그인 사용자 인증 정보를 확인하지 못했기 때문에 해당 계정에 액세스할 수 없습니다'라는 오류 메시지는 무엇을 의미하나요?
이는 일반적으로 SAML 응답에 서명할 때 사용한 비공개 키가 Google Workspace에서 보관하는 공개 키 인증서와 일치하지 않음을 의미합니다. 제어판에서 SSO 설정의 인증서를 업로드하고 다시 시도해 보세요.