직원 ID 풀 공급업체 관리

이 가이드에서는 직원 ID 제휴를 사용하여 일반적인 작업을 수행하는 방법을 설명합니다. 직원 ID 제휴를 설정하려면 다음 가이드를 참조하세요.

시작하기 전에

  1. Google Cloud 조직을 설정해야 합니다.

  2. Google Cloud CLI를 설치합니다. 설치 후 다음 명령어를 실행하여 Google Cloud CLI를 초기화합니다. 

    gcloud init

    외부 ID 공급업체(IdP)를 사용하는 경우 먼저 제휴 ID로 gcloud CLI에 로그인해야 합니다.

풀 관리

이 섹션에서는 직원 ID 풀을 관리하는 방법을 보여줍니다.

풀 만들기

직원 풀을 만들려면 다음 명령어를 실행하세요.

gcloud

직원 ID 풀을 만들려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools create WORKFORCE_POOL_ID \
    --organization=ORGANIZATION_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --session-duration=SESSION_DURATION \
    --location=global

다음을 바꿉니다.

  • WORKFORCE_POOL_ID: Google Cloud 직원 풀을 나타내도록 선택한 ID입니다. ID 형식 지정에 대한 자세한 내용은 API 참고 리소스의 쿼리 매개변수 섹션을 참조하세요.
  • ORGANIZATION_ID: 직원 ID 풀에 대한 Google Cloud 조직의 숫자 조직 ID입니다. 직원 ID 풀은 조직 내 모든 프로젝트 및 폴더에서 사용할 수 있습니다.
  • DISPLAY_NAME: 선택사항. 직원 ID 풀 표시 이름입니다.
  • DESCRIPTION: 선택사항. 직원 ID 풀 설명입니다.
  • SESSION_DURATION: 선택사항. 세션 시간으로, s가 추가된 숫자로 표현됩니다(예: 3600s). 세션 시간은 이 직원 풀의 Google Cloud 액세스 토큰, 콘솔(제휴) 로그인 세션, gcloud CLI 로그인 세션이 유효하게 지속되는 시간을 결정합니다. 세션 시간은 기본적으로 1시간(3,600초)입니다. 세션 시간 값은 15분(900초)~12시간(43,200초) 사이여야 합니다.

콘솔

직원 ID 풀을 만들려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 직원 ID 풀 페이지로 이동합니다.

    직원 ID 풀로 이동

  2. 직원 ID 풀의 조직을 선택합니다. 직원 ID 풀은 조직 내 모든 프로젝트 및 폴더에서 사용할 수 있습니다.

  3. 풀 만들기를 클릭하고 다음을 수행합니다.

    1. 이름 필드에 풀의 표시 이름을 입력합니다. 풀 ID는 자동으로 입력한 이름에서 파생되며 이름 필드 아래에 표시됩니다. 풀 ID 옆에 있는 수정을 클릭하여 풀 ID를 업데이트할 수 있습니다.

    2. (선택사항) 설명에 풀 설명을 입력합니다.

    3. 직원 ID 풀을 만들려면 다음을 클릭합니다.

직원 ID 풀 세션 시간 기본값은 1시간(3,600초)입니다. 세션 시간은 이 직원 풀의 Google Cloud 액세스 토큰, 콘솔(제휴) 및 gcloud CLI 로그인 세션이 유효한 기간을 결정합니다. 풀을 만들면 풀을 업데이트하여 커스텀 세션 시간을 설정할 수 있습니다. 세션 시간은 15분(900초)~12시간(43,200초) 사이여야 합니다.

풀 설명

gcloud

gcloud CLI를 사용하여 특정 직원 풀을 설명하려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools describe WORKFORCE_POOL_ID \
    --location=global

WORKFORCE_POOL_ID를 풀을 만들 때 선택한 직원 풀 ID로 바꿉니다.

콘솔

Google Cloud 콘솔을 사용하여 특정 직원 풀을 설명하려면 다음을 수행합니다.

  1. 직원 ID 풀 페이지로 이동합니다.

    직원 ID 풀로 이동

  2. 직원 풀에서 풀을 선택합니다.

풀 나열

gcloud

조직의 직원 풀을 나열하려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools list \
    --organization=ORGANIZATION_ID \
    --location=global

ORGANIZATION_ID를 조직 ID로 바꿉니다.

콘솔

Google Cloud 콘솔을 사용하여 직원 풀을 나열하려면 다음을 수행합니다.

  1. 직원 ID 풀 페이지로 이동합니다.

    직원 ID 풀로 이동

  2. 테이블에서 풀 목록을 봅니다.

풀 업데이트

gcloud

특정 직원 풀을 업데이트하려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools update WORKFORCE_POOL_ID \
    --description=DESCRIPTION \
    --location=global

다음을 바꿉니다.

  • WORKFORCE_POOL_ID: 직원 풀 ID입니다.
  • DESCRIPTION: 풀 설명

콘솔

Google Cloud 콘솔을 사용하여 특정 직원 풀을 업데이트하려면 다음을 수행합니다.

  1. 직원 ID 풀 페이지로 이동합니다.

    직원 ID 풀로 이동

  2. 테이블에서 풀을 선택합니다.

  3. 풀 파라미터를 업데이트합니다.

  4. 풀 저장을 클릭합니다.

풀 삭제

gcloud

직원 ID 풀을 삭제하려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools delete WORKFORCE_POOL_ID \
    --location=global

WORKFORCE_POOL_ID를 직원 풀 ID로 바꿉니다.

콘솔

Google Cloud 콘솔을 사용하여 특정 직원 풀을 삭제하려면 다음을 수행합니다.

  1. 직원 ID 풀 페이지로 이동합니다.

    직원 ID 풀로 이동

  2. 직원 풀에서 삭제하려는 풀에 대한 삭제를 클릭합니다.

  3. 추가 안내를 따릅니다.

풀 삭제 취소

지난 30일 동안 삭제된 직원 ID 풀의 삭제를 취소할 수 있습니다.

풀을 삭제 취소하려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools undelete WORKFORCE_POOL_ID \
    --location=global

WORKFORCE_POOL_ID를 직원 풀 ID로 바꿉니다.

직원 풀 내에 공급업체 구성

이 섹션에서는 gcloud 명령어를 사용하여 직원 ID 풀 공급업체를 구성하는 방법을 설명합니다.

OIDC 공급업체 만들기

이 섹션에서는 OIDC IdP에 대한 직원 ID 풀 공급업체를 만드는 방법을 설명합니다.

gcloud

코드 흐름

웹 로그인에 승인 코드 플로우를 사용하는 OIDC 공급업체를 만들려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --client-secret-value="OIDC_CLIENT_SECRET" \
    --web-sso-response-type="code" \
    --web-sso-assertion-claims-behavior="merge-user-info-over-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

다음을 바꿉니다.

  • WORKFORCE_PROVIDER_ID: 고유한 직원 ID 풀 공급업체 ID입니다. gcp- 프리픽스는 예약되어 있으며 직원 ID 풀 또는 직원 ID 풀 공급업체 ID에 사용할 수 없습니다.
  • WORKFORCE_POOL_ID: IdP를 연결할 직원 ID 풀 ID입니다.
  • DISPLAY_NAME: 선택사항이며 공급업체의 사용자 친화적인 표시 이름(예: idp-eu-employees)
  • DESCRIPTION: 선택적인 직원 공급업체 설명입니다(예: IdP for Partner Example Organization employees).
  • ISSUER_URI: 유효한 URI 형식의 OIDC 발급기관 URI, https(으)로 시작(예: https://example.com/oidc) 참고: 보안상의 이유로 ISSUER_URI은(는) HTTPS 스키마를 사용해야 합니다.
  • OIDC_CLIENT_ID: OIDC IdP에 등록된 OIDC 클라이언트 ID. ID가 IdP에서 발급한 JWT의 aud 클레임과 일치해야 합니다.
  • OIDC_CLIENT_SECRET: OIDC 클라이언트 보안 비밀번호
  • WEB_SSO_ADDITIONAL_SCOPES: 콘솔(제휴) 또는 gcloud CLI 브라우저 기반 로그인을 위해 OIDC IdP로 전송할 선택적 추가 범위
  • ATTRIBUTE_MAPPING: 속성 매핑입니다. 다음은 속성 매핑의 예시입니다. 
    google.subject=assertion.sub,
google.groups=assertion.group1,
attribute.costcenter=assertion.costcenter
     이 예시에서는 OIDC 어설션의 IdP 속성 subject, group1, costcenter를 각각 google.subject, google.groups, attribute.costcenter 속성에 매핑합니다.
  • ATTRIBUTE_CONDITION: 속성 조건(예: assertion.role == 'gcp-users') 이 예시의 조건은 gcp-users 역할 사용자만 이 공급업체를 사용하여 로그인할 수 있도록 합니다.
  • JWK_JSON_PATH: 로컬로 업로드된 OIDC JWK의 선택적 경로입니다. 이 매개변수를 제공하지 않으면 Google Cloud 에서 대신 IdP의 /.well-known/openid-configuration 경로를 사용하여 공개 키가 포함된 JWK를 소싱합니다. 로컬로 업로드된 OIDC JWK에 대한 자세한 내용은 OIDC JWK 관리를 참조하세요.

  • 직원 ID 제휴 상세 감사 로깅은 IdP에서 수신된 정보를 Logging에 로깅합니다. 상세 감사 로깅은 직원 ID 풀 제공업체 구성 문제를 해결하는 데 도움이 될 수 있습니다. 상세 감사 로깅을 사용하여 속성 매핑 오류를 해결하는 방법은 일반 속성 매핑 오류를 참조하세요. Logging 가격 책정에 대한 자세한 내용은 Google Cloud Observability 가격 책정을 참조하세요.

    직원 ID 풀 제공업체의 상세 감사 로깅을 사용 중지하려면 gcloud iam workforce-pools providers create를 실행할 때 --detailed-audit-logging 플래그를 생략합니다. 상세 감사 로깅을 사용 중지하려면 제공업체를 업데이트해도 됩니다.

명령어 응답에서 POOL_RESOURCE_NAME은 풀 이름입니다(예: locations/global/workforcePools/enterprise-example-organization-employees).

암시적 흐름

웹 로그인에 암시적 흐름을 사용하는 OIDC 직원 ID 풀 공급업체를 만들려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools providers create-oidc WORKFORCE_PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --display-name="DISPLAY_NAME" \
    --description="DESCRIPTION" \
    --issuer-uri="ISSUER_URI" \
    --client-id="OIDC_CLIENT_ID" \
    --web-sso-response-type="id-token" \
    --web-sso-assertion-claims-behavior="only-id-token-claims" \
    --web-sso-additional-scopes="WEB_SSO_ADDITIONAL_SCOPES" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --jwk-json-path="JWK_JSON_PATH" \
    --detailed-audit-logging \
    --location=global

다음을 바꿉니다.

  • WORKFORCE_PROVIDER_ID: 고유한 직원 ID 풀 공급업체 ID입니다. gcp- 프리픽스는 예약되어 있으며 직원 ID 풀 또는 직원 ID 풀 공급업체 ID에 사용할 수 없습니다.
  • WORKFORCE_POOL_ID: IdP를 연결할 직원 ID 풀 ID입니다.
  • DISPLAY_NAME: 선택사항이며 공급업체의 사용자 친화적인 표시 이름(예: idp-eu-employees)
  • DESCRIPTION: 선택적인 직원 공급업체 설명입니다(예: IdP for Partner Example Organization employees).
  • ISSUER_URI: 유효한 URI 형식의 OIDC 발급기관 URI, https(으)로 시작(예: https://example.com/oidc) 참고: 보안상의 이유로 ISSUER_URI은(는) HTTPS 스키마를 사용해야 합니다.
  • OIDC_CLIENT_ID: OIDC IdP에 등록된 OIDC 클라이언트 ID. ID가 IdP에서 발급한 JWT의 aud 클레임과 일치해야 합니다.
  • WEB_SSO_ADDITIONAL_SCOPES: 콘솔(제휴) 또는 gcloud CLI 브라우저 기반 로그인을 위해 OIDC IdP로 전송할 선택적 추가 범위
  • ATTRIBUTE_MAPPING: 속성 매핑입니다. 다음은 속성 매핑의 예시입니다. 
    google.subject=assertion.sub,
google.groups=assertion.group1,
attribute.costcenter=assertion.costcenter
     이 예시에서는 OIDC 어설션의 IdP 속성 subject, group1, costcenter를 각각 google.subject, google.groups, attribute.costcenter 속성에 매핑합니다.
  • ATTRIBUTE_CONDITION: 속성 조건(예: assertion.role == 'gcp-users') 이 예시의 조건은 gcp-users 역할 사용자만 이 공급업체를 사용하여 로그인할 수 있도록 합니다.
  • JWK_JSON_PATH: 로컬로 업로드된 OIDC JWK의 선택적 경로입니다. 이 매개변수를 제공하지 않으면 Google Cloud 에서 대신 IdP의 /.well-known/openid-configuration 경로를 사용하여 공개 키가 포함된 JWK를 소싱합니다. 로컬로 업로드된 OIDC JWK에 대한 자세한 내용은 OIDC JWK 관리를 참조하세요.

  • 직원 ID 제휴 상세 감사 로깅은 IdP에서 수신된 정보를 Logging에 로깅합니다. 상세 감사 로깅은 직원 ID 풀 제공업체 구성 문제를 해결하는 데 도움이 될 수 있습니다. 상세 감사 로깅을 사용하여 속성 매핑 오류를 해결하는 방법은 일반 속성 매핑 오류를 참조하세요. Logging 가격 책정에 대한 자세한 내용은 Google Cloud Observability 가격 책정을 참조하세요.

    직원 ID 풀 제공업체의 상세 감사 로깅을 사용 중지하려면 gcloud iam workforce-pools providers create를 실행할 때 --detailed-audit-logging 플래그를 생략합니다. 상세 감사 로깅을 사용 중지하려면 제공업체를 업데이트해도 됩니다.

명령어 응답에서 POOL_RESOURCE_NAME은 풀 이름입니다(예: locations/global/workforcePools/enterprise-example-organization-employees).

콘솔

코드 흐름

  1. Google Cloud 콘솔에서 직원 ID 풀 페이지로 이동합니다.

    직원 ID 풀로 이동

  2. 직원 ID 풀 표에서 공급업체를 만들 풀을 선택합니다.

  3. 공급업체 표에서 공급업체 추가를 클릭합니다.

  4. 프로토콜 선택에서 OpenID Connect(OIDC)를 선택합니다.

  5. 풀 제공업체 만들기에서 다음을 수행합니다.

    1. 이름에 제공업체 이름을 입력합니다.
    2. 발급기관(URL)에 발급기관 URI를 입력합니다. OIDC 발급기관 URI는 유효한 URI 형식이어야 하며 https(으)로 시작해야 합니다. 예를 들면 https://example.com/oidc입니다.
    3. OIDC IdP에 등록된 OIDC 클라이언트 ID인 클라이언트 ID를 입력합니다. ID는 IdP에서 발급한 JWT의 aud 클레임과 일치해야 합니다.
    4. 사용 설정 상태의 공급업체를 만들려면 사용 설정된 제공업체를 사용 설정합니다.
    5. 계속을 클릭합니다.

  6. 흐름 유형에서 다음을 수행합니다. 흐름 유형은 웹 기반 싱글 사인온(SSO) 흐름에만 사용됩니다.

    1. 흐름 유형에서 코드를 선택합니다.
    2. 클라이언트 보안 비밀번호에 IdP에서 받은 클라이언트 보안 비밀번호를 입력합니다.

    3. 어설션 클레임 동작에서 다음 중 하나를 선택합니다.

      • 사용자 정보 및 ID 토큰
      • ID 토큰만

    4. 계속을 클릭합니다.

  7. 공급업체 구성에서 속성 매핑 및 속성 조건을 구성할 수 있습니다. 속성 매핑을 만들려면 다음을 수행합니다. IdP 필드 이름이나 문자열을 반환하는 CEL 형식의 표현식을 입력합니다.

    1. 필수: OIDC 1에 IdP에서 확인된 소유자를 입력합니다. 예를 들면 assertion.sub입니다.

    2. 선택사항: 속성 매핑을 더 추가하려면 다음을 수행합니다.

      1. 매핑 추가를 클릭합니다.
      2. Google n에서 n은 숫자입니다. Google Cloud지원 키 중 하나를 입력합니다.
      3. 해당하는 OIDC n 필드에 매핑할 IdP별 필드 이름을 CEL 형식으로 입력합니다.

    3. 속성 조건을 만들려면 다음을 수행합니다.

      1. 조건 추가를 클릭합니다.
      2. 속성 조건에 조건을 CEL 형식으로 입력합니다(예: assertion.role == 'gcp-users'). 이 예시의 조건은 gcp-users 역할 사용자만 이 공급업체를 사용하여 로그인할 수 있도록 합니다.

    4. 상세 감사 로깅을 사용 설정하려면 상세 로깅에서 상세 속성 값 로깅 사용 설정 전환 버튼을 클릭합니다.

      직원 ID 제휴 상세 감사 로깅은 IdP에서 수신된 정보를 Logging에 로깅합니다. 상세 감사 로깅은 직원 ID 풀 제공업체 구성 문제를 해결하는 데 도움이 될 수 있습니다. 상세 감사 로깅을 사용하여 속성 매핑 오류를 해결하는 방법은 일반 속성 매핑 오류를 참조하세요. Logging 가격 책정에 대한 자세한 내용은 Google Cloud Observability 가격 책정을 참조하세요.

      직원 ID 풀 제공업체의 상세 감사 로깅을 사용 중지하려면 gcloud iam workforce-pools providers create를 실행할 때 --detailed-audit-logging 플래그를 생략합니다. 상세 감사 로깅을 사용 중지하려면 제공업체를 업데이트해도 됩니다.

  8. 제공업체를 만들려면 제출을 클릭합니다.

암시적 흐름

  1. Google Cloud 콘솔에서 직원 ID 풀 페이지로 이동합니다.

    직원 ID 풀로 이동

  2. 직원 ID 풀 표에서 공급업체를 만들 풀을 선택합니다.

  3. 공급업체 표에서 공급업체 추가를 클릭합니다.

  4. 프로토콜 선택에서 OpenID Connect(OIDC)를 선택합니다.

  5. 풀 제공업체 만들기에서 다음을 수행합니다.

    1. 이름에 제공업체 이름을 입력합니다.
    2. 발급기관(URL)에 발급기관 URI를 입력합니다. OIDC 발급기관 URI는 유효한 URI 형식이어야 하며 https(으)로 시작해야 합니다. 예를 들면 https://example.com/oidc입니다.
    3. OIDC IdP에 등록된 OIDC 클라이언트 ID인 클라이언트 ID를 입력합니다. ID는 IdP에서 발급한 JWT의 aud 클레임과 일치해야 합니다.
    4. 사용 설정 상태의 공급업체를 만들려면 사용 설정된 제공업체를 사용 설정합니다.
    5. 계속을 클릭합니다.

  6. 흐름 유형에서 다음을 수행합니다. 흐름 유형은 웹 기반 싱글 사인온(SSO) 흐름에만 사용됩니다.

    1. 흐름 유형에서 ID 토큰을 선택합니다.
    2. 계속을 클릭합니다.

  7. 공급업체 구성에서 속성 매핑 및 속성 조건을 구성할 수 있습니다. 속성 매핑을 만들려면 다음을 수행합니다. IdP 필드 이름이나 문자열을 반환하는 CEL 형식의 표현식을 입력합니다.

    1. 필수: OIDC 1에 IdP에서 확인된 소유자를 입력합니다. 예를 들면 assertion.sub입니다.

    2. 선택사항: 속성 매핑을 더 추가하려면 다음을 수행합니다.

      1. 매핑 추가를 클릭합니다.
      2. Google n에서 n은 숫자입니다. Google Cloud지원 키 중 하나를 입력합니다.
      3. 해당하는 OIDC n 필드에 매핑할 IdP별 필드 이름을 CEL 형식으로 입력합니다.

    3. 속성 조건을 만들려면 다음을 수행합니다.

      1. 조건 추가를 클릭합니다.

      2. 속성 조건에 조건을 CEL 형식으로 입력합니다(예: assertion.role == 'gcp-users'). 이 예시의 조건은 gcp-users 역할 사용자만 이 공급업체를 사용하여 로그인할 수 있도록 합니다.

    4. 상세 감사 로깅을 사용 설정하려면 상세 로깅에서 상세 속성 값 로깅 사용 설정 전환 버튼을 클릭합니다.

      직원 ID 제휴 상세 감사 로깅은 IdP에서 수신된 정보를 Logging에 로깅합니다. 상세 감사 로깅은 직원 ID 풀 제공업체 구성 문제를 해결하는 데 도움이 될 수 있습니다. 상세 감사 로깅을 사용하여 속성 매핑 오류를 해결하는 방법은 일반 속성 매핑 오류를 참조하세요. Logging 가격 책정에 대한 자세한 내용은 Google Cloud Observability 가격 책정을 참조하세요.

      직원 ID 풀 제공업체의 상세 감사 로깅을 사용 중지하려면 gcloud iam workforce-pools providers create를 실행할 때 --detailed-audit-logging 플래그를 생략합니다. 상세 감사 로깅을 사용 중지하려면 제공업체를 업데이트해도 됩니다.

  8. 제공업체를 만들려면 제출을 클릭합니다.

SAML 공급업체 만들기

이 섹션에서는 SAML IdP에 대한 직원 ID 풀 공급업체를 만드는 방법을 설명합니다.

gcloud

공급업체를 만들려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools providers create-saml WORKFORCE_PROVIDER_ID \
    --workforce-pool="WORKFORCE_POOL_ID" \
    --attribute-mapping="ATTRIBUTE_MAPPING" \
    --attribute-condition="ATTRIBUTE_CONDITION" \
    --idp-metadata-path="XML_METADATA_PATH" \
    --detailed-audit-logging \
    --location="global"

다음을 바꿉니다.

  • WORKFORCE_PROVIDER_ID: 직원 공급업체 ID
  • WORKFORCE_POOL_ID: 직원 풀 ID입니다.

  • ATTRIBUTE_MAPPING: 속성 매핑. 예를 들어 제목을 매핑하는 경우 속성 매핑은 다음과 같습니다.

    
google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.department=assertion.attributes.department[0]

  • ATTRIBUTE_CONDITION: 선택사항인 속성 조건입니다(예: assertion.subject.endsWith("@example.com")).

  • XML_METADATA_PATH: IdP의 XML 형식 메타데이터 파일 경로

gcp- 프리픽스는 예약되어 있으며 직원 ID 풀 또는 직원 ID 풀 공급업체 ID에 사용할 수 없습니다.

이 명령어는 SAML 어설션의 제목과 부서를 각각 google.subjectattribute.department 속성에 할당합니다. 또한 속성 조건을 사용하면 제목이 @example.com로 끝나는 사용자만 이 직원 제공업체를 사용하여 로그인할 수 있습니다.

직원 ID 제휴 상세 감사 로깅은 IdP에서 수신된 정보를 Logging에 로깅합니다. 상세 감사 로깅은 직원 ID 풀 제공업체 구성 문제를 해결하는 데 도움이 될 수 있습니다. 상세 감사 로깅을 사용하여 속성 매핑 오류를 해결하는 방법은 일반 속성 매핑 오류를 참조하세요. Logging 가격 책정에 대한 자세한 내용은 Google Cloud Observability 가격 책정을 참조하세요.

직원 ID 풀 제공업체의 상세 감사 로깅을 사용 중지하려면 gcloud iam workforce-pools providers create를 실행할 때 --detailed-audit-logging 플래그를 생략합니다. 상세 감사 로깅을 사용 중지하려면 제공업체를 업데이트해도 됩니다.

콘솔

Google Cloud 콘솔을 사용하여 SAML 제공업체를 구성하려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 직원 ID 풀 페이지로 이동합니다.

    직원 ID 풀로 이동

  2. 직원 ID 풀 표에서 공급업체를 만들 풀을 선택합니다.

  3. 공급업체 표에서 공급업체 추가를 클릭합니다.

  4. 프로토콜 선택에서 SAML을 선택합니다.

  5. 풀 제공업체 만들기에서 다음을 수행합니다.

    1. 이름에 제공업체 이름을 입력합니다.

    2. 선택사항: 설명에 제공업체에 대한 설명을 입력합니다.

    3. IDP 메타데이터 파일(XML)에서 이 가이드의 앞부분에서 생성한 메타데이터 XML 파일을 선택합니다.

    4. 사용 설정된 제공업체를 사용 설정합니다.

    5. 계속을 클릭합니다.

  6. 제공업체 구성에서 다음을 수행합니다.

    1. 속성 매핑에서 google.subject의 CEL 표현식을 입력합니다.

    2. 선택사항: 다른 매핑을 입력하려면 매핑 추가를 클릭하고 다른 매핑을 입력합니다. 예를 들면 다음과 같습니다.

      google.subject=assertion.subject,
google.groups=assertion.attributes['https://example.com/aliases'],
attribute.costcenter=assertion.attributes.costcenter[0]
       이 예시에서는 IdP 속성 assertion.subject, assertion.attributes['https://example.com/aliases'], assertion.attributes.costcenter[0]를 각각 Google Cloud속성인 google.subject, google.groups, google.costcenter에 매핑합니다.

    3. 선택사항: 속성 조건을 추가하려면 조건 추가를 클릭하고 속성 조건을 나타내는 CEL 표현식을 입력합니다. 예를 들어 ipaddr 속성을 특정 IP 범위로 제한하려면 assertion.attributes.ipaddr.startsWith('98.11.12.') 조건을 설정합니다. 이 예시의 조건은 IP 주소가 98.11.12.로 시작하는 사용자만 이 직원 제공업체를 사용하여 로그인할 수 있도록 합니다.

    4. 계속을 클릭합니다.

    5. 상세 감사 로깅을 사용 설정하려면 상세 로깅에서 상세 속성 값 로깅 사용 설정 전환 버튼을 클릭합니다.

      직원 ID 제휴 상세 감사 로깅은 IdP에서 수신된 정보를 Logging에 로깅합니다. 상세 감사 로깅은 직원 ID 풀 제공업체 구성 문제를 해결하는 데 도움이 될 수 있습니다. 상세 감사 로깅을 사용하여 속성 매핑 오류를 해결하는 방법은 일반 속성 매핑 오류를 참조하세요. Logging 가격 책정에 대한 자세한 내용은 Google Cloud Observability 가격 책정을 참조하세요.

      직원 ID 풀 제공업체의 상세 감사 로깅을 사용 중지하려면 gcloud iam workforce-pools providers create를 실행할 때 --detailed-audit-logging 플래그를 생략합니다. 상세 감사 로깅을 사용 중지하려면 제공업체를 업데이트해도 됩니다.

  7. 제공업체를 만들려면 제출을 클릭합니다.

공급업체 설명

gcloud

제공업체를 설명하려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools providers describe PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

다음을 바꿉니다.

  • PROVIDER_ID: 공급업체 ID
  • WORKFORCE_POOL_ID: 직원 풀 ID입니다.

콘솔

공급업체를 보려면 다음을 수행합니다.

  1. 직원 ID 풀 페이지로 이동합니다.

직원 ID 풀로 이동

  1. 테이블에서 제공업체를 보려는 풀을 선택합니다.

  2. 공급업체 표에서 공급업체를 선택합니다.

공급업체 나열

gcloud

제공업체를 나열하려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools providers list \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

WORKFORCE_POOL_ID를 직원 풀 ID로 바꿉니다.

콘솔

공급업체를 보려면 다음을 수행합니다.

  1. 직원 ID 풀 페이지로 이동합니다.

직원 ID 풀로 이동

  1. 테이블에서 제공업체를 나열하려는 풀을 선택합니다.

  2. 공급업체 표에 공급업체 목록이 표시됩니다.

공급업체 업데이트

gcloud

생성 후 OIDC 공급업체를 업데이트하려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools providers update-oidc PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --description="DESCRIPTION" \
    --detailed-audit-logging \
    --location=global

다음을 바꿉니다.

  • PROVIDER_ID: 공급업체 ID
  • WORKFORCE_POOL_ID: 직원 풀 ID입니다.
  • DESCRIPTION: 설명
  • 상세 감사 로깅을 사용 설정하려면 --detailed-audit-logging 플래그를 gcloud iam workforce-pools providers update에 추가합니다. 상세 감사 로깅을 사용 중지하려면 --no-detailed-audit-logging 플래그를 업데이트 명령어에 추가합니다.

콘솔

공급업체를 보려면 다음을 수행합니다.

  1. 직원 ID 풀 페이지로 이동합니다.

직원 ID 풀로 이동

  1. 테이블에서 제공업체를 보려는 풀을 선택합니다.

  2. 공급업체 표에서 수정을 클릭합니다.

  3. 공급업체를 업데이트합니다.

  4. 업데이트된 제공업체를 저장하려면 저장을 클릭합니다.

공급업체 삭제

공급업체를 삭제하려면 다음 명령어를 실행하세요.

gcloud iam workforce-pools providers delete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

다음을 바꿉니다.

  • PROVIDER_ID: 공급업체 ID
  • WORKFORCE_POOL_ID: 직원 풀 ID입니다.

공급업체 삭제 취소

지난 30일 이내에 삭제된 공급업체를 삭제 취소하려면 다음 명령어를 실행합니다.

gcloud iam workforce-pools providers undelete PROVIDER_ID \
    --workforce-pool=WORKFORCE_POOL_ID \
    --location=global

다음을 바꿉니다.

  • PROVIDER_ID: 공급업체 ID
  • WORKFORCE_POOL_ID: 직원 풀 ID입니다.

OIDC JWK 관리

이 섹션에서는 직원 풀 제공업체에서 OIDC JWK를 관리하는 방법을 보여줍니다.

공급업체 만들기 및 OIDC JWK 업로드

OIDC JWK를 만들려면 JWT, JWS, JWE, JWK, JWA 구현을 참조하세요.

직원 풀 제공업체를 만들 때 OIDC JWK 파일을 업로드하려면 --jwk-json-path="JWK_JSON_PATH"와 함께 gcloud iam workforce-pools providers create-oidc 명령어를 실행합니다. JWK_JSON_PATH를 JWK JSON 파일의 경로로 바꿉니다.

이 작업은 파일의 키를 업로드합니다.

OIDC JWK 업데이트

OIDC JWK를 업데이트하려면 --jwk-json-path="JWK_JSON_PATH"와 함께 gcloud iam workforce-pools providers update-oidc 명령어를 실행합니다. JWK_JSON_PATH를 JWK JSON 파일의 경로로 바꿉니다.

이 작업은 기존 업로드된 키를 파일에 있는 항목으로 바꿉니다.

업로드된 모든 OIDC JWK 삭제

업로드된 모든 OIDC JWK를 삭제하고 대신 발급기관 URI를 사용하여 키를 가져오려면 --jwk-json-path="JWK_JSON_PATH"와 함께 gcloud iam workforce-pools providers update-oidc 명령어를 실행합니다. JWK_JSON_PATH를 빈 파일의 경로로 바꿉니다. --issuer-uri 플래그를 사용해서 발급자 URI를 설정합니다.

이 작업은 기존에 업로드된 모든 키를 삭제합니다.

다음 단계