1. 서론

• Google Workspace(이하 GWS)와 M365 EntraID(이하 EntraID)간 계정 연동과 SSO 인증을 위한 가이드 문서입니다.

• 참고 자료

  How-to-federate-Google-with-AAD.pdf

  Google & EntraID Federation

2. Hands On Lab

1. GWS 구성

1. GWS & EntraID 사용자 계정 동기화 (자동 프로비저닝)

   1. Microsoft Office 365 앱 생성

      경로 : 앱 >> 웹 및 모바일 앱

      • 앱 검색 클릭합니다.

      

      • Microsoft Office 365 (SAML)을 선택합니다.

      

      • IdP(GWS) 메타데이터를 다운로드 합니다.

      

      • SP(EntraID) 업체 세부 정보를 입력합니다.

      

      • 생성된 애플리케이션을 확인합니다.

      

   2. 계정 연동을 위한 자동 프로비저닝 구성

      • 우선, 사용자 액세스 설정을 진행합니다.
      • 모든 사용자에게 적용될 수 있도록 설정을 진행합니다.

      

      • 비활성화 되어있는 자동 프로비저닝 설정을 진행합니다.

      

      • Microsoft Office 365에 대한 프로비저닝을 위해 M365 관리자 계정으로 로그인을 진행합니다.

      

      • Microsoft 전역 관리자가 할당 되어있는 계정으로 로그인을 진행합니다.

      

      

      • 프로비저닝 범위를 설정합니다.
      • GWS에 연동이 필요한 그룹이 있다면 검색을 통해 추가합니다.

      

      • GWS와 EntraID 계정에 대한 속성 매핑을 아래와 같이 진행합니다.

      

      • 프로비저닝 해제 설정을 진행합니다.

      

      • 모든 설정을 진행한 후 자동 프로비저닝 활성화를 진행합니다.

      

2. 테스트 결과를 보기 위해서는 여기를 클릭해주세요

2. EntraID 구성

1. Tenant Custom Domain 확인

   1. Custom Domain Primary 확인

      • Custom Domain 추가 후 Primary로 등록되어있는지 확인합니다.
      • 현재는 Federated에 체크 표시가 없으므로 Federation 되지 않은 상태입니다.

      

2. GWS(IdP) 와 EntraID(SP) Federation 구성

   1. 먼저 GWS에서 생성했던 Microsoft Office 365 앱의 SAML 데이터 파일을 azure cloudshell로 업로드합니다.

      

      

      • (참고) GWS 앱 SAML 데이터 파일 다운로드 방법은 다음과 같습니다.

      

      

   2. Federation 설정 스크립트 (Powershell)

      Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser -Force
      Install-Module Microsoft.Graph -Scope CurrentUser
      Import-Module Microsoft.Graph
      
      $domainId = "<your domain name>"
      
      $xml = [Xml](Get-Content GoogleIDPMetadata.xml)
      
      $cert = -join $xml.EntityDescriptor.IDPSSODescriptor.KeyDescriptor.KeyInfo.X509Data.X509Certificate.Split()
      $issuerUri = $xml.EntityDescriptor.entityID
      $signinUri = $xml.EntityDescriptor.IDPSSODescriptor.SingleSignOnService | ? { $_.Binding.Contains('Redirect') } | % { $_.Location }
      $signoutUri = "<https://accounts.google.com/logout>"
      $displayName = "Google Workspace Identity"
      Connect-MGGraph -Scopes "Domain.ReadWrite.All", "Directory.AccessAsUser.All"
      
      $domainAuthParams = @{
        DomainId = $domainId
        IssuerUri = $issuerUri
        DisplayName = $displayName
        ActiveSignInUri = $signinUri
        PassiveSignInUri = $signinUri
        SignOutUri = $signoutUri
        SigningCertificate = $cert
        PreferredAuthenticationProtocol = "saml"
        federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
      }
      
      New-MgDomainFederationConfiguration @domainAuthParams
      

   3. Federation 구성 확인 명령어

      Get-MgDomainFederationConfiguration -DomainId $domainId |fl
      

3. Custom Domain Federation 확인

   

3. 테스트 결과 확인

1. 사용자 계정 동기화 테스트 결과

   1. GWS 사용자 생성

      • GWS에서 테스트 계정을 생성합니다.

      테스트 계정 
      - ID : [email protected] 
      - 성 : 메 
      - 이름 : 가존
      

      

      

      • 테스트 계정 생성 완료 확인합니다.

      

      • EntraID에도 동일한 계정이 생성된 것을 확인할 수 있습니다.
      • 이는 GWS Microsoft Office 365 앱에서 자동 프로비저닝을 계속 진행하고 있기 때문에 실시간에 가까운 계정 동기화가 가능합니다.

      

   2. GWS 사용자 이름 및 비밀번호 변경

      • 테스트 계정 이름(메가존→microsoft tech) 및 비밀번호 변경 적용이 되는지 확인합니다.

      

      

      • EntraID에서도 사용자 이름이 변경된 것을 알 수 있습니다.
      • 동일하게 비밀번호 또한 GWS에서 변경시 변경이 적용되어 로그인이 가능합니다.

      

   3. GWS 사용자 제거

   4. EntraID 사용자 이름 변경

2. Google SSO 인증 로그인 테스트 결과