이 기능이 지원되는 버전: Frontline Plus, Enterprise Plus, Education Standard 및 Education Plus 사용 중인 버전 비교하기
관리자는 외부 사용자가 Google Workspace 클라이언트 측 암호화 (CSE)로 암호화된 콘텐츠에 액세스하도록 허용할 수 있습니다. 외부 액세스를 제공하는 방법에는 두 가지가 있습니다.
- CSE를 사용하는 외부 조직에 대한 액세스 권한 설정하기 이 방법을 사용하면 외부 조직이 사용자 및 CSE 요구사항을 충족하는 경우 암호화된 콘텐츠에 대한 액세스 권한을 부여할 수 있습니다.
- 외부 사용자가 액세스할 수 있도록 게스트 ID 공급업체 (IdP) 구성하기 이 방법을 사용하면 사용자가 Google 계정과 Google 이외의 계정 모두에 클라이언트 측에서 암호화된 콘텐츠에 대한 액세스 권한을 제공할 수 있습니다. 외부 조직은 CSE를 설정할 필요가 없으며 해당 조직의 사용자는 Google Workspace 또는 Cloud ID 라이선스가 필요하지 않습니다.
암호화된 이메일에 대한 외부 액세스 정보
클라이언트 측에서 암호화된 이메일에 대한 외부 액세스를 제공하는 방법에는 두 가지가 있습니다.
옵션 1: S/MIME 없이 Gmail E2EE 사용하기
사용자가 S/MIME를 사용하지 않을 수 있는 외부 사용자와 클라이언트 측 암호화 메시지를 교환하는 경우 게스트 계정으로 암호화 옵션을 사용할 수 있습니다. 이 옵션은 Gmail 엔드 투 엔드 암호화 (E2EE)를 사용하여 기존 S/MIME 설정이나 인증서 없이 외부 사용자와의 암호화된 커뮤니케이션을 자동으로 처리합니다. Gmail E2EE를 사용하면 사용자가 외부 사용자에게 암호화된 메일을 보낼 수 있습니다. Assured Controls 또는 Assured Controls Plus 부가기능이 필요합니다.
Gmail E2EE를 사용하여 외부 액세스를 제공하려면 다음 단계를 따르세요.
- 이 페이지 뒷부분에 설명된 대로 게스트 IdP를 구성해야 합니다.
- 사용자가 조직 외부로 암호화된 메일을 보내면 외부 수신자에게 메일을 열기 위한 게스트 계정을 만들라는 프롬프트가 표시됩니다.
- 관리 콘솔의 Workspace 게스트 조직 단위에서 게스트 계정을 관리할 수 있습니다. 이 조직 단위는 게스트 계정으로 암호화를 사용 설정하고 게스트 IdP를 구성한 후에 자동으로 생성됩니다. 자세한 내용은 Workspace 게스트 관리하기를 참고하세요.
클라이언트 측에서 암호화된 이메일을 주고받는 방법과 게스트 계정 생성에 관한 자세한 내용은 Gmail 클라이언트 측 암호화에 대해 알아보기를 참고하세요.
옵션 2: S/MIME 인증서 사용
사용자가 S/MIME를 사용하는 외부 사용자와만 클라이언트 측 암호화 메시지를 교환하는 경우 추가 설정이 필요하지 않습니다. 게스트 IdP를 사용할 필요가 없으며 외부 사용자는 Google Workspace 또는 Cloud ID 라이선스가 필요하지 않습니다.
CSE를 사용하는 외부 조직에 대한 외부 액세스 설정하기
외부 조직과 조직이 다음 요구사항을 충족하는 경우 조직의 Drive 및 Docs, Calendar, Meet에서 클라이언트 측에서 암호화된 콘텐츠에 대한 외부 액세스 권한을 부여할 수 있습니다.
외부 사용자의 라이선스 요구사항
외부 사용자가 CSE로 암호화된 데이터에 액세스하려면 Google Workspace 또는 Cloud ID 라이선스가 있어야 합니다.
참고: 이 외부 액세스 방법을 사용하면 일반 (비관리) 사용자 Google 계정 또는 방문자 계정을 사용 중인 사용자는 조직의 클라이언트 측에서 암호화된 콘텐츠에 액세스할 수 없습니다.
외부 조직의 설정 요구사항
조직의 클라이언트 측에서 암호화된 콘텐츠에 액세스하려면 외부 조직도 CSE를 설정해야 합니다.
조직의 설정 요구사항
- 외부 조직의 IdP 서비스를 암호화 키 관리 서비스로 허용 목록에 추가합니다. 일반적으로 IdP 서비스가 설정되어 있는 경우 공개된 .well-known 파일에서 IdP 서비스를 찾을 수 있지만, 서비스를 찾을 수 없는 경우 외부 조직의 Google Workspace 관리자에게 IdP 세부정보를 문의하세요.
- 사용자가 조직의 암호화된 콘텐츠를 보거나 수정하려면 내 조직의 키 관리 서비스에 인증 토큰을 제공해야 한다는 사실을 관리자가 이해하고 있어야 합니다. 인증 프로세스에서는 사용자에게 IP 주소 및 기타 ID 정보를 공유하도록 요청합니다. 자세한 내용은 클라이언트 측 암호화 API 참조 가이드의 인증 토큰을 참고하세요.
- 조직과 외부 조직의 보안 정책에 따라 조직의 암호화된 콘텐츠에 액세스하기 위해 별도의 웹 및 모바일 클라이언트 ID를 만들어야 할 수도 있습니다. 암호화 키 관리 서비스에서 이러한 클라이언트 ID를 허용 목록에 추가해야 합니다.
외부 사용자의 게스트 IdP 구성하기
외부 조직에 클라이언트 측에서 암호화된 콘텐츠에 대한 액세스 권한을 부여하려면 사용 중인 것과 동일한 IdP 또는 다른 IdP를 사용하여 외부 사용자를 인증하는 게스트 IdP를 구성할 수 있습니다. 게스트 IdP를 사용하면 사용자는 외부 조직이 CSE를 사용하는지와 관계없이 외부 조직의 사용자와 암호화된 콘텐츠를 공유할 수 있습니다.
참고: 이 페이지의 앞부분에서 설명된 바와 같이 CSE를 사용하는 조직에 이미 외부 액세스 권한을 설정한 경우 게스트 IdP를 구성하면 해당 설정이 무시됩니다.
관리 콘솔에서 게스트 IdP 구성하기
클라이언트 측 암호화에 필요한 ID 공급업체에 연결하기의 안내에 따라 IdP를 설정합니다. 설정 중에 다음을 수행하세요.
- OIDC 규정 준수 IdP 선택하기: Gmail 및 Google Meet의 경우 서드 파티 IdP 또는 Google ID를 사용할 수 있지만, Google Drive 및 Docs 편집기의 경우 서드 파티 IdP만 사용할 수 있습니다. 이 제한을 통해 Drive 및 Docs에서 방문자 계정을 지원할 수 있습니다. 서드 파티 IdP는 사용자에 대해 사용 중인 IdP와 동일한 IdP이거나 다른 IdP일 수 있습니다.
- Google Meet용 추가 클라이언트 ID 만들기: 웹 서비스용 클라이언트 ID를 만드는 단계에서 Google Meet용 추가 클라이언트 ID를 만들어야 합니다.
웹 서비스의 기본 클라이언트 ID는 키 암호화 서비스에 사용되며 Google 시스템과 공유되지 않습니다. Meet용 추가 클라이언트 ID는 Meet에 로그인하지 않은 게스트가 회의에 초대되었는지 확인하는 데 사용됩니다.
- 관리 콘솔을 사용하여 게스트 IdP 구성하기: 관리 콘솔을 사용하여 게스트 IdP 연결을 구성하고 게스트 IdP 구성하기 옵션을 선택해야 합니다. .well-known 파일을 사용하여 게스트 IdP를 구성할 수 없습니다.
게스트 IdP 인증 옵션 설정하기
관리 콘솔에서 IdP 구성을 완료한 후 IdP의 도구를 사용하여 외부 사용자를 인증하는 방법을 설정할 수 있습니다. 게스트 IdP 구현에 따라 다음 옵션을 사용할 수 있습니다.
- 게스트를 위한 별도의 계정을 설정하고 계정 비밀번호를 제공합니다.
- 참석자에게 일회용 코드를 전송하여 이메일 주소를 인증합니다.
- 게스트가 Google, Apple, Microsoft와 같이 사전 구성된 IdP를 사용하도록 허용합니다.
참고: Google ID를 사용하면 사용자는 Google 계정으로 로그인할 수 있습니다. 계정이 없는 경우 계정을 만들 수 있습니다.
모든 인증 방법을 사용하면 게스트가 클라이언트 측에서 암호화된 콘텐츠에 액세스하기 전에 ID 공급업체로 로그인하라는 팝업 메시지가 표시됩니다.