클라이언트 측 암호화에 필요한 ID 공급업체에 연결하기

이 기능이 지원되는 버전: Frontline Plus, Enterprise Plus, Education Standard 및 Education Plus 사용 중인 버전 비교하기

Google Workspace 클라이언트 측 암호화(CSE)에 필요한 외부 키 관리 서비스를 선택한 후 Google Workspace를 ID 공급업체(IdP)(서드 파티 IdP 또는 Google ID)에 연결해야 합니다. 암호화 키 관리 서비스는 사용자가 콘텐츠를 암호화하거나 암호화된 콘텐츠에 액세스하기 전에 IdP를 사용하여 사용자를 인증합니다.

참고: IdP를 구성한 후 조직의 클라이언트 측에서 암호화한 콘텐츠에 대한 외부 액세스를 허용하도록 게스트 IdP를 구성할 수 있습니다. 자세한 내용은 게스트 IdP 구성하기를 참고하세요.

시작하기 전에

CSE에서 사용하려는 암호화 키 관리 서비스를 선택했는지 확인합니다. 자세한 내용은 외부 키 관리 서비스 선택하기를 참고하세요.

1단계: IdP 연결 계획하기

지원되는 웹, 데스크톱, 모바일 애플리케이션, 유틸리티 도구 검토하기

IdP 연결을 사용하면 지원되는 모든 Google Workspace 웹 애플리케이션에 CSE를 설정할 수 있습니다.

  • Google Drive
  • Google Docs
  • Google Sheets
  • Google Slides
  • Gmail
  • Google Calendar
  • Google Meet (오디오, 동영상, 채팅 메시지)

ldP 연결을 사용하면 다음 데스크톱 및 모바일 애플리케이션에도 CSE를 설정할 수 있습니다.

다음 유틸리티 도구를 설정할 수도 있습니다.

CSE에 필요한 IdP 선택하기

CSE를 통해 암호화 키 관리 서비스를 사용하려면 OpenID Connect (OIDC) 표준을 지원하는 ID 공급업체 (IdP)가 필요합니다. 아직 Google Workspace에서 OIDC IdP를 사용하지 않는 경우 다음 두 가지 방법 중 하나로 키 관리 서비스에 사용할 IdP를 설정할 수 있습니다.

**옵션 1: 서드 파티 IdP 사용 (권장)**

보안 모델에서 암호화된 데이터를 Google에서 더 격리해야 하는 경우 OIDC 서드 파티 IdP를 사용합니다.

이미 SAML 기반 싱글 사인온 (SSO)에 서드 파티 IdP를 사용하는 경우: 해당 IdP가 OIDC를 지원한다면 Google Workspace 서비스에 액세스하는 데 사용하는 것과 동일한 CSE용 IdP를 사용하는 것이 좋습니다. Google Workspace에서 SAML 기반 SSO를 사용하는 방법 자세히 알아보기

**옵션 2: Google ID 사용**

보안 모델에 따라 암호화된 데이터를 Google에서 추가 격리할 필요가 없는 경우 기본 Google ID를 IdP로 사용할 수 있습니다.

서드 파티 IdP만 해당: 사용자 브라우저 설정하기

CSE에 서드 파티 IdP를 사용하는 경우 사용자의 브라우저에서 IdP의 서드 파티 쿠키를 허용하는 것이 좋습니다. 그렇지 않으면 사용자가 CSE를 사용할 때 IdP에 더 자주 로그인해야 할 수 있습니다.

  • 조직에서 Chrome Enterprise를 사용하는 경우: CookiesAllowedForUrls 정책을 사용할 수 있습니다.
  • 기타 브라우저의 경우: 서드 파티 쿠키를 허용하는 방법에 관한 안내는 브라우저의 지원 콘텐츠를 확인하세요.

CSE에 필요한 IdP에 연결하는 방법 선택하기

조직의 웹사이트에서 호스팅된 .well-known 파일 또는 관리 콘솔(IdP 대체)을 사용하여 IdP(서드 파티 IdP 또는 Google ID)를 설정할 수 있습니다. 아래 표에 설명된 대로 각 방법마다 고려해야 할 사항이 몇 가지 있습니다.

참고: 게스트 IdP를 구성하는 경우 관리 콘솔을 사용해야 합니다.

고려사항 .well-known 설정 관리 콘솔 설정 (예비 IdP)
Google에서 격리 IdP 설정은 자체 서버에 저장됩니다. IdP 설정은 Google 서버에 저장됩니다.
관리자 책임 웹마스터가 Google Workspace 최고 관리자 대신 설정을 관리할 수 있습니다. Google Workspace 최고 관리자만 IdP 설정을 관리할 수 있습니다.
CSE 사용 가능 여부 CSE 사용 가능 여부 (가동시간)는 .well-known 파일을 호스팅하는 서버의 가용성에 따라 결정됩니다. CSE 사용 가능 여부는 Google Workspace 서비스의 전반적인 가용성에 따라 결정됩니다.
설정의 용이성 관리 콘솔 외부에서 서버의 DNS 설정을 변경해야 합니다. 관리 콘솔에서 설정을 구성합니다.
조직 외부와 공유 공동작업자의 외부 키 관리 서비스에서 IdP 설정에 쉽게 액세스할 수 있습니다. 이 액세스는 자동화될 수 있으며 공동작업자의 서비스에서 IdP 설정 변경 시 즉시 액세스할 수 있도록 합니다.

공동작업자의 외부 키 관리 서비스에서 관리 콘솔의 IdP 설정에 액세스할 수 없습니다. 암호화된 파일을 처음 공유하기 전과 IdP 설정을 변경할 때마다 공동작업자에게 직접 IdP 설정을 제공해야 합니다.

2단계: CSE의 클라이언트 ID 만들기

웹 애플리케이션용 클라이언트 ID 만들기

클라이언트 ID를 만든 다음 지원되는 Google Workspace 웹 애플리케이션의 리디렉션 URI를 추가해야 합니다. 지원되는 앱 목록은 이 페이지 앞부분의 지원되는 웹, 데스크톱, 모바일 애플리케이션을 참고하세요.

웹 애플리케이션용 클라이언트 ID를 만드는 방법은 서드 파티 IdP를 사용하는지 또는 Google ID를 사용하는지에 따라 다릅니다.

게스트 IdP를 구성하는 경우: Google Meet 액세스를 위한 추가 클라이언트 ID를 생성하여 게스트가 회의에 초대되었는지 확인하는 데 사용해야 합니다. 자세한 내용은 게스트 IdP 구성하기를 참고하세요.

**CSE에 서드 파티 IdP를 사용하는 경우**

IdP의 관리 콘솔을 사용하여 클라이언트 ID를 만듭니다. 다음 리디렉션 URI를 IdP의 관리 콘솔에 추가해야 합니다.

웹 서비스:

  • https://client-side-encryption.google.com/callback
  • https://client-side-encryption.google.com/oidc/cse/callback
  • https://client-side-encryption.google.com/oidc/drive/callback
  • https://client-side-encryption.google.com/oidc/gmail/callback
  • https://client-side-encryption.google.com/oidc/meet/callback
  • https://client-side-encryption.google.com/oidc/calendar/callback
  • https://client-side-encryption.google.com/oidc/docs/callback
  • https://client-side-encryption.google.com/oidc/sheets/callback
  • https://client-side-encryption.google.com/oidc/slides/callback

데스크톱용 Drive:

http://localhost

Android 및 iOS 모바일 앱:

  • https://client-side-encryption.google.com/oidc/gmail/native/callback
  • https://client-side-encryption.google.com/oidc/meet/native/callback
  • https://client-side-encryption.google.com/oidc/calendar/native/callback
  • https://client-side-encryption.google.com/oidc/drive/native/callback
  • https://client-side-encryption.google.com/oidc/gmail/meet/native/callback

**CSE에 Google ID를 사용하는 경우**

Google Cloud 콘솔에서 클라이언트 ID를 만들어야 합니다. .well-known/cse-configuration 파일 또는 관리 콘솔에 추가합니다. 또한 JavaScript 출처 (교차 출처 리소스 공유 또는 CORS라고도 함)를 설정하고 리디렉션 URI를 추가합니다.

  1. console.cloud.google.com으로 이동합니다.
  2. 새 Google Cloud 프로젝트를 만듭니다. 도움말 보기

    원하는 대로 프로젝트를 설정할 수 있습니다. 단지 인증 정보를 보관하기 위한 것입니다.

  3. 콘솔에서 메뉴 다음 API 및 서비스 다음 사용자 인증 정보로 이동합니다.
  4. CSE에서 사용할 새로운 웹 앱의 OAuth 클라이언트 ID를 만듭니다. 전체 안내 보기
  5. JavaScript 출처를 다음과 같이 업데이트합니다.
    • https://admin.google.com
    • https://client-side-encryption.google.com
  6. 승인된 리디렉션 URI를 다음과 같이 업데이트합니다.

    웹 서비스:

    • https://client-side-encryption.google.com/callback
    • https://client-side-encryption.google.com/oidc/cse/callback
    • https://client-side-encryption.google.com/oidc/drive/callback
    • https://client-side-encryption.google.com/oidc/gmail/callback
    • https://client-side-encryption.google.com/oidc/meet/callback
    • https://client-side-encryption.google.com/oidc/calendar/callback
    • https://client-side-encryption.google.com/oidc/docs/callback
    • https://client-side-encryption.google.com/oidc/sheets/callback
    • https://client-side-encryption.google.com/oidc/slides/callback

    데스크톱용 Drive:

    http://localhost

    Android 및 iOS 모바일 앱:

    Android 및 iOS 모바일 앱에는 추가 구성이 필요하지 않습니다.

OAuth 클라이언트 ID가 생성됩니다. .well-known/cse-configuration 파일 또는 관리 콘솔에 추가할 수 있도록 저장합니다.

데스크톱 및 모바일 애플리케이션용 클라이언트 ID 만들기

사용자가 데스크톱 및 모바일 애플리케이션에서 CSE를 사용하도록 하려면 해당 앱에 대한 클라이언트 ID가 필요합니다. 이를 .well-known/cse-configuration 파일 또는 관리 콘솔에 추가합니다. 키 관리 서비스 구성에 클라이언트 ID를 추가해야 할 수도 있습니다. 키 관리 서비스 문서를 참고하세요.

모바일 앱별로 각 플랫폼 (Android 및 iOS)에 클라이언트 ID가 하나씩 필요합니다. 지원되는 앱 목록은 이 페이지 앞부분의 지원되는 웹, 데스크톱, 모바일 애플리케이션을 참고하세요.

데스크톱 및 모바일 애플리케이션을 위한 클라이언트 ID를 만드는 방법은 서드 파티 IDP를 사용하는지 또는 Google ID를 사용하는지에 따라 다릅니다.

참고: 이러한 클라이언트 ID는 PKCE의 authorization_code 권한 부여 유형 (RFC 7636)을 지원해야 합니다.

**CSE에 서드 파티 IdP를 사용하는 경우**

IdP의 관리 콘솔을 사용하여 앱별로 별도의 클라이언트 ID를 생성합니다.

**CSE에 Google ID를 사용하는 경우**

다음 클라이언트 ID를 사용합니다.

  • 데스크톱용 Drive: 클라이언트 ID 947318989803-k88lapdik9bledfml8rr69ic6d3rdv57.apps.googleusercontent.com를 사용합니다.
  • Android용 Drive: 클라이언트 ID 313892590415-6lbccuf47cou4q45vanraqp3fv5jt9do.apps.googleusercontent.com
  • iOS용 Drive: 클라이언트 ID 313892590415-d3h1l7kl4htab916r6jevqdtu8bfmh9m.apps.googleusercontent.com 사용
  • Android용 Calendar: 클라이언트 ID 313892590415-q84luo8fon5pn5vl8a6rppo1qvcd3qvn.apps.googleusercontent.com 사용
  • iOS용 Calendar: 클라이언트 ID 313892590415-283b3nilr8561tedgu1n4dcm9hd6g3hr.apps.googleusercontent.com 사용
  • Android용 Gmail: 클라이언트 ID 313892590415-samhd32i4piankgs42o9sit5e9dug452.apps.googleusercontent.com을 사용합니다.
  • iOS용 Gmail: 클라이언트 ID 313892590415-ijvjpbnsh0gauuunjgsdn64ngg37k6rc.apps.googleusercontent.com을 사용합니다.
  • Android용 Meet: 클라이언트 ID 313892590415-i06v47su4k03ns7ot38akv7s9ari5oa5.apps.googleusercontent.com 사용
  • iOS용 Meet: 클라이언트 ID 313892590415-32ha2bvs0tr1b12s089i33o58hjvqt55.apps.googleusercontent.com

유틸리티 도구용 클라이언트 ID 만들기

다음을 권장합니다.

  1. 키 관리 서비스의 권한이 있는 엔드포인트 (privilegedwrap, privilegedunwrap, privilegedprivatekeydecrypt)와 상호작용하는 각 유틸리티 도구에 대한 하나의 클라이언트 ID를 사용합니다. 지원되는 도구 목록은 이 페이지의 지원되는 웹, 데스크톱, 모바일 애플리케이션, 유틸리티 도구 검토하기를 참고하세요.
  2. privilegedunwrap 및 권한이 있는 privilegedprivatekeydecrypt에 대한 키 관리 서비스의 액세스 정책을 구성하여 CSE 복호화 유틸리티의 클라이언트 ID를 허용합니다.

3단계: CSE에 필요한 IdP에 연결하기

Google Workspace를 ID 공급업체 (IdP)에 연결하려는 경우 .well-known 파일 또는 관리 콘솔을 사용할 수 있습니다. 연결을 구성한 후 관리 콘솔에서 IdP를 허용해야 합니다.

참고: 게스트 IdP를 구성하는 경우 관리 콘솔을 사용해야 합니다.

옵션 1: .well-known 파일을 사용하여 IdP에 연결하기

이 옵션을 사용하여 서드 파티 또는 Google IdP를 설정하려면 .well-known 파일을 조직의 공개 웹사이트에 저장해야 합니다. 이 파일에서는 사용할 IdP를 구성하고 외부 공동작업자가 IdP 설정을 검색하도록 허용합니다.

1단계: 서버에 .well-known 파일 저장하기

IdP 구성이 도메인의 다음 URI에 있어야 합니다.

https://cse.subdomain.domain.tld/.well-known/cse-configuration

여기에서 subdomain.domain.tld는 이메일 주소의 도메인과 일치해야 합니다. 예를 들어 이메일 주소의 도메인이 solarmora.com인 경우 .well-known 파일을 다음과 같은 위치에 저장합니다.

https://cse.solarmora.com/.well-known/cse-configuration

참고:. well-known URI가 IETF (RFC 8615)에 등록되어 있지 않으므로 접두어 https://cse .가 필요합니다.

2단계: .well-known 파일 구성하기

well-known/cse-configuration에서 .well-known 파일의 콘텐츠는 JSON으로 인코딩 (RFC 8259)되어야 하며 다음 필드가 포함되어야 합니다.

필드 설명

name

 IdP 이름이며 원하는 이름을 사용할 수 있습니다. 이 이름은 Drive 및 Docs 편집기와 같은 Google 서비스에서 사용자의 IdP 오류 메시지에 표시됩니다.

client_id

CSE 클라이언트 웹 애플리케이션에서 JSON 웹 토큰 (JWT)을 가져오는 데 사용하는 OpenID Connect (OIDC) 클라이언트 ID입니다.

클라이언트 ID를 만들 때 Google Cloud 콘솔에서 리디렉션 URI도 추가합니다.

클라이언트 ID 만들기에 대한 자세한 내용은 이 페이지 앞부분의 웹 애플리케이션용 클라이언트 ID 만들기를 참고하세요.
discovery_uri

이 OpenID 사양에 정의된 OIDC 검색 URL입니다.

서드 파티 IdP를 사용하는 경우

IdP에서 제공하는 이 URL은 일반적으로 /.well-known/openid-configuration으로 끝납니다.

Google ID를 사용하는 경우

https://accounts.google.com/.well-known/openid-configuration 사용
grant_type

CSE 클라이언트 웹 애플리케이션에서 OIDC에 사용되는 OAuth 흐름입니다.

서드 파티 IdP를 사용하는 경우

CSE 웹 애플리케이션에 implicit 또는 authorization_code 권한 부여 유형을 사용할 수 있습니다.

Google ID를 사용하는 경우

웹 애플리케이션에는 implicit 권한 부여 유형만 사용할 수 있습니다.

applications

CSE를 사용할 추가 클라이언트 애플리케이션입니다. 각 앱의 클라이언트 ID를 .well-known 파일에 추가해야 합니다.

참고: 이러한 클라이언트 ID는 PKCE의 authorization_code 권한 부여 유형 (RFC 7636)을 지원해야 합니다.

클라이언트 ID 만들기에 대한 자세한 내용은 이 페이지 앞부분의 데스크톱 및 모바일 애플리케이션용 클라이언트 ID 만들기를 참고하세요.

    **서드 파티 IdP를 사용하는 경우 .well-known 파일은 다음과 같습니다.**

    **Google ID를 사용하는 경우 .well-known 파일은 다음과 같습니다.**

    3단계: CORS 설정

    IdP에 Google ID를 사용하는 경우: 클라이언트 ID를 만들 때 Google Cloud 콘솔에서 CORS를 설정합니다. 자세한 내용은 이 페이지 앞부분의 웹 애플리케이션용 클라이언트 ID 만들기를 참고하세요.

    서드 파티 IdP를 사용하는 경우: .well-known/openid-configuration 및 .well-known/cse-configuration은 CORS (교차 출처 리소스 공유) 호출에 대한 출처 URL을 허용해야 합니다. IdP의 관리 콘솔에서 다음과 같이 구성을 설정합니다.

      .well-known/openid-configuration (검색 URI)

      • 메서드: GET
      • 허용된 출처:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      .well-known/cse-configuration

      • 메서드: GET
      • 허용된 출처:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      옵션 2: 관리 콘솔을 사용하여 IdP에 연결하기

      .well-known 파일을 사용하는 대신 관리 콘솔을 사용하여 Google Workspace를 IdP에 연결할 수 있습니다.

      참고: 게스트 IdP를 구성하는 경우 관리 콘솔을 사용해야 합니다.

      1단계: IdP 정보 수집하기

      관리 콘솔을 사용하여 IdP에 연결하려면 IdP에 대한 다음 정보가 필요합니다.

      IdP 이름 자세한 내용은 이 페이지 앞부분의 .well-known 파일 구성하기를 참고하세요.
      웹 애플리케이션용 클라이언트 ID 자세한 내용은 이 페이지 앞부분의 웹 애플리케이션용 클라이언트 ID 만들기를 참고하세요.
      검색 URI 자세한 내용은 이 페이지 앞부분의 .well-known 파일 구성하기를 참고하세요.
      데스크톱 및 모바일 앱용 클라이언트 ID (선택사항) 자세한 내용은 이 페이지 앞부분의 데스크톱 및 모바일 애플리케이션용 클라이언트 ID 만들기를 참고하세요.

      2단계: CORS 설정

      Google ID를 사용하는 경우: 클라이언트 ID를 만들 때 Google Cloud 콘솔에서 교차 출처 리소스 공유 (CORS)를 설정합니다. 자세한 내용은 이 페이지 앞부분의 웹 애플리케이션용 클라이언트 ID 만들기를 참고하세요.

      서드 파티 IdP를 사용하는 경우: IdP의 관리 콘솔에서 교차 출처 리소스 공유 (CORS) 호출에 출처 URL을 허용하도록 다음과 같이 검색 URI를 구성합니다.

      • 메서드: GET
      • 허용된 출처:
        • https://admin.google.com
        • https://client-side-encryption.google.com

      3단계: 관리 콘솔에 정보 추가하기

      이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

      1. Google 관리 콘솔에서 메뉴 다음 데이터다음규정 준수다음클라이언트 측 암호화로 이동합니다.

        이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

        참고: ID 공급업체 구성에 Google Workspace에서 .well-known 파일에 연결할 수 없다는 메시지가 표시되지만 관리 콘솔을 사용하여 IdP에 연결하므로 이 메시지를 무시해도 됩니다.

      2. ID 공급업체 구성에서 예비 IdP 구성을 클릭합니다.

        또는 게스트 IdP를 구성하는 경우 게스트 IdP 구성을 클릭합니다.

      3. IdP에 대한 다음 정보를 입력합니다.
        • 이름
        • 클라이언트 ID (웹 애플리케이션용)
        • 검색 URI

      4. 연결 테스트를 클릭합니다.

        Google Workspace를 IdP에 연결할 수 있는 경우 '연결 성공'이라는 메시지가 표시됩니다.

      5. 게스트 IdP를 구성하는 경우: 계속을 클릭한 다음 게스트 액세스를 제공할 웹 앱을 선택합니다.

        Google Meet (웹)에 게스트 액세스 권한을 제공하려면 게스트 초대 확인을 위한 클라이언트 ID도 입력하세요.

        그런 다음 저장을 클릭하여 카드를 닫습니다.

      6. (선택사항) 특정 애플리케이션에서 CSE를 사용하려면 다음 안내를 따르세요.
        1. Google 데스크톱 및 모바일 애플리케이션 인증 (선택사항)에서 CSE를 사용할 애플리케이션을 선택합니다.
        2. 클라이언트 ID에 애플리케이션의 클라이언트 ID를 입력합니다.
      7. 공급업체 추가를 클릭하여 카드를 닫습니다.

      4단계 (서드 파티 IdP만 해당): 관리 콘솔의 허용 목록에 IdP 추가하기

      사용자가 IdP에 반복적으로 로그인할 필요가 없도록 신뢰할 수 있는 서드 파티 앱 목록에 서드 파티 IdP를 추가해야 합니다. '앱 액세스 권한 관리하기: 신뢰할 수 있음, 제한됨 또는 차단됨'에서 Google Workspace 데이터에 액세스할 수 있는 서드 파티 앱 및 내부 앱 관리하기의 안내를 따르세요.

      다음 단계

      IdP를 설정한 후 키 암호화 서비스를 설정할 수 있습니다.