Google Workspace (1-Step)

Okta에서 제공하는 1-step 기능을 활용한 Google Workspace 구성 가이드입니다.

Okta 공식문서

Google Workspace app Integration guides

주요 사항

Okta와 Google Workspace(GWS)를 구성할 때, GWS 계정의 인증이 필요하며 해당 계정은 "최고 관리자(Super Admin)" 권한이 부여되어 있어야 합니다.
Okta와 Google Workspace(GWS)를 연동할 때, GWS의 '기본 도메인(Primary Domain)'을 기준으로 구성하며 Google 보조 이메일 주소(Google alias email address)에 대해서는 "Google email alias support" 가이드를 참고 바랍니다.
Google Workspace에 Super Admin 권한이 부여된 사용자는 GWS 관리 콘솔(https://admin.google.com)에 IDP 인증 없이 직접 로그인이 가능합니다.
Okta와 프로비저닝 구성하고자 한다면 Okta의 LCM License가 필요합니다.

주의 사항

로그인 세션 및 배포:
- Okta와 IDP 구성시 기존 GWS 인증의 사용자 세션이 즉시 종료되지는 않지만, 사용자 혼란 방지를 위해 소규모 그룹 선행 및 충분한 테스트를 강력히 권장합니다.
사용자 공지:
- 로그인 경험(UX)이 변경되고, 크롬 브라우저의 경우 개인 계정과 업무용 계정의 브라우저 세션 쿠키로 로그인이 불가할 수 있으므로 사전 공지 및 교육이 필수적입니다.
서비스 작업공지:
- IDP 연동 작업 중 GWS 접속이 원활하지 않음에 대하여 공지가 필요할 수 있습니다.
GWS 최고 관리자 계정:
- GWS는 최고 관리자 권한이 부여된 사용자는 GWS 운영 정책에 의해 "IDP를 통한 SSO를 지원하지 않습니다"

Ⅰ. Okta-Google Workspace 연동

1. SSO 통합 기능

Google Workspace는 SAML과 OIDC 두 가지 인증 프로토콜을 모두 지원합니다.
두 프로토콜 모두 Okta와 연동할 수 있으나, 본 가이드에서는 SAML 기반 구성을 권장합니다.
Google Workspace의 OIDC 지원이 2025년 11월 18일부로 정식 발표 하였습니다. 다만, 다양한 GWS 환경에서의 운영 안정성과 트러블슈팅 레퍼런스의 검증 및 안정화된 SAML 방식으로 구성하실 것을 권장 드립니다.
SAML 2.0 구성을 통해 인증하는 방식은 아래 2가지 입니다.
- Okta 대시보드 로그인(IdP initiated SSO)
- Google Workspace에 직접 로그인(SP initiated SSO)

2. 프로비저닝 기능

해당 기능은 Okta의 Life Cycle Management License가 필요합니다.
GWS에서 Okta 프로비저닝 구성을 위한 별도 계정을 생성 및 최고관리자 권한을 부여 해주시길 권장드립니다.
- GWS의 관리자 권한이 부여된 개인 계정으로 프로비저닝을 구성할 경우, 사용자 퇴사 또는 권한 변경으로 인해 구성한 프로비저닝이 향후 오류가 발생 할 수 있습니다.
- 최고 관리자 권한이 아닐 경우, 리소스/API 요청에 제한이 발생되어 프로비저닝 구성에 오류가 발생 할 수 있습니다. (Okta Support 답변내역)

Ⅱ. Okta-Google Workspace 연동 구성

1. Google Workspace 연동 기본 설정

1.1 [Okta] Google Workspace ( 1-step ) 구성 기능 활성화

경로: Settings ➡ features ➡ Google Workspace express setup 활성화

1.2 [Okta] Google Workspace 앱 추가 및 설정

경로: Application ➡ Application ➡ Browse App Catalog ➡ Google Workspace ➡ Add Integration

Application label:
Google Workspace 앱을 할당 받은 사람들의 Dashboard에 보여지는 앱의 이름입니다.
Your Google Apps company domain:
Google Workspace의 기본 도메인(Primary Domain) 도메인을 입력해줍니다.
ex) "[email protected]" GWS 계정의 @뒤에 ➡ "oktakorea.com" 도메인만 입력합니다.
Display the following links:
Okta 사용자 대시보드에 표시할 GWS의 서비스 앱 목록입니다.
Seats (optional):
GWS 라이선스의 초과 사용을 제한하기 위해 Okta를 통해 Assing 사용자의 수로 제한하는 기능입니다.
Application visibility:
Okta 사용자 대시보드에서 GWS의 서비스 앱이 노출되지 않도록 설정하는 기능입니다.
Browser plugin auto-submit:
Okta 브라우저 플러그인을 통해 GWS 앱 연결을 지원하는 기능입니다.

GWS 관리자 ID/PW 인증 ➡ OKTA 엑세스 허용 ➡ 엑세스 허용 항목 선택

"Google Workspace Administrator Seed Role" 권한이 부여 된 계정으로 인증을 진행 합니다.

1.3 [Google Workspace] SSO 프로필

경로: https://admin.google.com ➡ 보안 ➡ 인증 ➡ 타사 IDP를 통한 SSO ➡ Okta를 통해 1-step으로 자동 생성된 프로필 확인 (Okta Generated SSO profile Google Workspace) 및 선택

1.4 [Okta] & [Google Workspace] SSO 추가 옵션 설정

Okta 관리콘솔에서 Google Workspace 앱 추가 후, 연결한 "View setup instructions" 페이지를 통해 "로그아웃 페이지 URL" 및 "비밀번호 URL 변경" 정보를 확인할 수 있습니다.

1.5 [Google Workspace] SSO 프로필 할당

GWS 최고 관리자를 제외한 GWS 전체 사용자가 IDP 인증으로 적용되도록 SSO 프로필을 할당하는 가이드입니다.

부서 그룹으로 SSO 프로필을 분리하는 구성은 Google Workspace 조직/그룹에 SSO 분리 적용 가이드를 참고 바랍니다.

경로: https://admin.google.com ➡ 보안 ➡ 인증 ➡ 타사 IDP를 통한 SSO ➡ SSO 프로필 할당 관리 선택

아래 2가지 옵션은 GWS 서비스에서 인증을 시작하는 "SP-initiated SSO"에 대한 설정 옵션입니다.
Google에서 사용자 이름을 확인하도록 메시지가 표시된 후 다음 해당 프로필의 IDP 로그인 페이지로 리디렉션
사용자가 Gmail 연결 시, GWS "ID" 입력 후 IDP로 리다이렉션하여 인증을 처리합니다.
로그인하려면 Google 사용자 이름 및 비밀번호를 입력하도록 요청
사용자가 Gmail 연결 시, GWS "ID" 와 "Password "입력 후 인증을 완료하며 IDP 인증 요청을 진행하지 않습니다. (Okta Dashboard를 통해 GWS 연결시, IdP-initiated의 SSO 인증 가능)

해당 옵션은 사용자가 직접 GWS 서비스 연결시 인증 처리를 분리하는 옵션입니다.

이는, IDP SSO 프로필 설정 변경과 같은 임시 작업 또는 전사 IDP 인증 전환 및 배포 이전에 기존 GWS 인증 방식으로 사용자 경험을 유지하기 위한 옵션으로 활용됩니다.

2. 프로비저닝 구성

2.1 [Okta] API integration 설정

경로: Application ➡ Application ➡ Google Workspace 앱

경로 : Provisioning ➡ Integration ➡ Configure API integration

해당 API 인증은 Google Workspace 1-Step 구성 단계에 GWS 관리자 계정으로 인증하는 과정에서 API 인증도 같이 구성됩니다.

만약 API 인증이 정상적이지 않다면, "Re-authenticate with Google Workspace"를 통해 GWS 관리자 권한 계정으로 다시 재인증 받으시기 바랍니다.

Import Groups

활성화(체크) : GWS 의 Group을 Okta로 가져옵니다.
비활성화(체크해제) : GWS 의 Group을 Okta로 가져오지 않습니다.

2.2 프로비저닝 설정

프로비저닝은 아래 2가지 타입이 존재합니다.

To App : Okta 사용자를 GWS로 프로비저닝 합니다. (Okta가 사용자의 통합 원장으로 관리되는 경우)
To Okta : GWS 사용자를 Okta로 프로비저닝 합니다. (GWS가 사용자의 통합 원장으로 관리되는 경우)

프로비저닝의 2가지 타입을 혼용하여 사용하는 것은 권장하지 않습니다. 이는, 사용자의 정보 충돌 및 관리/운영의 혼란이 발생할 수 있어 꼭 단방향으로 프로비저닝을 구성하시길 권장드립니다.

아래 가이드는 Okta가 사용자 정보의 원장으로, GWS 사용자 정보는 Okta 기준으로 프로비저닝 되는 "To App"의 구성 가이드입니다.

경로: Application ➡ Application ➡ Google Workspace 앱 선택

Create Users : Google Workspace(GWS) 앱으로 Okta 사용자가 Assign 되면, GWS에 계정이 생성됩니다.
참고사항 : 일반적으로 Okta 사용자의 Username Attribute와 GWS 사용자의 Primary Email을 매칭하여 신규 사용자 생성 여부를 판단 함.
Update User Attributes : Google Workspace(GWS) 앱에 Assign 된 사용자의 정보가 Okta에서 업데이트 되면, GWS에 해당 사용자의 정보도 업데이트 됩니다.
Deactivate Users : Google Workspace(GWS) 앱에 Assign 된 사용자가 Assign이 제거되거나, Okta에서 사용자의 상태가 Deactivate로 변경되면 GWS에 해당 사용자가 일시중지 상태로 변경됩니다. (GWS 계정 완전 삭제는 별도 구성 필요)

Sync Password : Okta를 통해 GWS의 사용자 패스워드를 관리할 수 있습니다. > 옵션 활성화 이후 Assign 사용자의 기존 GWS 패스워드가 변경되므로 주의 필요
Password type : Okta가 무작위로 생성한 비밀번호를 GWS 사용자의 암호로 동기화 시킵니다. (해당 기능은 Okta 패스워드 유출/도용 된 경우 확산되는 보안 위험을 방지하기 위한 기능입니다.)
Generate a new random password whenever the user's Okta password changes : Okta의 패스워드 변경 주기 옵션을 통해, Okta의 패스워드 변경 시점에서 무작위로 생성된 패스워드가 GWS 패스워드로 동기화 하는 옵션입니다.
Sync Okta Password : Okta의 사용자 패스워드를 GWS의 사용자 패스워드와 동기화 합니다.

III. [Google Workspace] Assign

싱글 사인온(SSO) 및 프로비저닝을 위해 Google Workspace 애플리케이션에 사용자를 할당합니다.

경로: Application ➡ Application ➡ Google Workspace 앱 선택

1. 프로비저닝을 통한 GWS 사용자 관리

Okta에서 GWS의 프로비저닝 기능이 활성화 되면, Assign 과정에서 GWS 사용자에 대한 "조직(OU) / 라이선스 / 역할 / 계정의 관리" 설정을 Okta에서 적용할 수 있습니다.

주의사항

기존 사용자에게 할당된 GWS의 라이선스/역할/조직(OU)가 변경될 수 있습니다.
테스트 그룹과 특정 사용자를 통해 충분한 검증 후 적용하시길 권장 드립니다.

위 4가지의 GWS 사용자 관리 항목에 대해 Okta를 통해 적용 가능하며, 상세한 가이드는 아래 링크를 참고 바랍니다.
Google Workspace 사용자 관리

2. Assign to People

Okta에 개별 사용자를 Application에 할당합니다.

대체로 "Assign to Groups" 통해 그룹에 포함된 사용자가 Application에 Assign 되도록 구성하는 것이 관리와 운영에 효과적이며, 특정 사용자에 대한 Assign의 경우, Okta 관리자가 직접 운영과 관리가 가능한 임시/테스트와 같은 사안에 한하여 개별 사용자 Assign 적용을 권장 드립니다.

3. Assign to Groups

GWS 앱에 Assign 용도의 별도 Okta 그룹으로 운영/관리를 권장드리며, 해당 Assign 별도 Okta 그룹을 통해 그룹에 포함된 사용자가 Assign 되며 프로비저닝 적용 됩니다.

Push Groups에 구성한 Okta 그룹과 동일한 Okta 그룹으로 Assgin 그룹으로 구성하실 경우, 그룹을 통한 사용자 관리에서 문제가 발생할 수 있습니다.
- Troubleshoot app assignment and group membership

IV. Push Groups

주요 사항

Push Groups 기능은 Okta의 LCM License가 필요하며, 2.프로비저닝 에서 "API integration" 구성이 완료되어야 합니다.
Push Groups은 앱에 있는 그룹을 Okta로 가져오는 기능이 아니며, Okta의 그룹을 타사 앱으로 내보내는 단방향(Okta ➡ 앱)의 그룹 동기화 기능입니다.
Okta 그룹이 주체(Source)가 되며, Okta 그룹으로 Google Workspace 앱에 생성 또는 업데이트를 지원합니다.

주의사항

Push Groups을 구성한 Okta 그룹은 반드시 Okta에서만 관리하여야 합니다.
- Push Groups으로 연동된 그룹에 대해 Google Admin 콘솔에서 직접 제어가 가능하여 그룹의 "사용자 제거/추가", "그룹 이름" 등을 변경할 경우, Okta의 프로비저닝 과정에서 출동이 발생할 수 있으며 동기화 오류가 발생할 수 있습니다.
Assign Group과 Push Group은 각각 다른 Okta 그룹으로 분리하여 구성하여야 합니다.
- Okta에서 사용자에게 앱을 할당하는 "Assign Group"과 앱으로 Okta 그룹 정보를 동기화하는 "Push Group"은 반드시 서로 다른 Okta 그룹으로 구성하여야 합니다.
- 두 기능은 목적이 완전히 다르게 Okta에서 제공하기 때문에, 동일한 그룹을 중복해서 사용할 경우 프로비저닝 이슈(사용자 동기화 오류)가 발생할 수 있습니다.
- Okta 공식 문서에서도 안내하는 사항으로 안정적인 프로비저닝 구성을 위해 Assign Group과 Push Group의 Okta 그룹을 분리하여 사용해 주시길 권장 드립니다.

1. Push Group

1.1 Push Group 생성

위에 주의사항에서 명시한 사안처럼 Assign 그룹과 중복되지 않는 Okta 그룹을 Push Group으로 구성하여도 됩니다.

해당 "1.1 Push Group 생성" 가이드는 Push Group의 기능을 설명드리기 위해 신규 Okta 그룹의 생성 과정을 포함하였습니다.

경로 : Directory ➡ Groups" ➡ Add group 선택

1.2 Push Group 구성

경로: Application ➡ Application ➡ Google Workspace 앱

1.2.1 Find groups by name : Okta의 특정 그룹을 지정하여 Push Groups으로 구성하는 옵션입니다.

Okta 그룹명을 검색하여 Push Groups을 구성할 Okta 그룹을 선택합니다.

"Match result & push action"에 2가지 타입으로 구성이 가능합니다.
Create Group : Okta 그룹과 동일한 그룹을 GWS에 신규 그룹으로 생성하고 매핑합니다.
Link Group : GWS의 특정 그룹을 선택하여 Okta 그룹과 매핑 구성을 하며, Push Groups이 구성되면 기존 GWS 그룹명이 Okta 그룹명으로 변경됩니다.

"Create Group"의 경우, GWS 그룹으로 생성하는 과정에서 그룹 이메일이 필수 정보이기에, Okta 그룹명을 기준으로 GWS의 그룹 이메일이 지정되어 구성됩니다

"Link Group"의 경우, GWS의 그룹을 Okta 그룹 정보로 업데이트 되며, 기존 GWS 그룹에 포함된 사용자가 유지되고 Push Group으로 구성한 Okta 그룹에 포함된 사용자에 대해 업데이트됩니다.

1.2.2 Find gropus by rule : 규칙 정의하여 조건에 만족하는 모든 Okta 그룹에 대해 Push Groups으로 구성하는 옵션입니다. (Okta의 다수 그룹을 Push Groups으로 구성하고자 하는 경우)

Rule 이름 및 조건을 정의 후 "Create Rule" 선택
Rule 생성과 동시에 자동으로 "Active"로 적용되며, 조건에 충족된 Okta 그룹은 GWS에 신규 그룹으로 생성 및 매핑 됩니다.

1.3 Push Group 의 사용자 맴버쉽 적용

Okta 공식 가이드 : App assignments and Group Push

1.3.1 Push Group 사용자 추가

경로: Directory ➡ Groups ➡ 구성한 Push Group 선택

위에서 Push Group을 구성하였으며, GWS에 그룹이 정상적으로 생성이 완료 되었습니다.

이에 따라 관리자는 Okta 관리콘솔에서 해당 그룹에 사용자를 추가하였으나, GWS에서는 그룹에 사용자가 포함되지 않을 수 있습니다. 이는 Push Group에 추가한 사용자가 앱에 Assign 되어 있지 않기 때문입니다.

"GWS_PushGroup1 "에 추가한 사용자(User 2)가 GWS에 추가 되지 않음.
"GWS_Assign_Group"에 사용자(User 2)가 없으며, 추가를 위해 "Assign people"을 선택합니다.
추가할 사용자를 검색 후, "+" 선택하여 그룹에 추가 및 Done 선택
"GWS_Assign_Group"에 사용자가 추가되어 해당 사용자는 Application에 Assign 되며, Assign 됨과 동시에 사용자가 Push Group으로 프로비저닝 된 것을 확인할 수 있습니다.

2. Group Email

GWS에서는 그룹 생성 시, "그룹명"과 "그룹이메일"이 필수 입력 사항입니다.

이에 따라 Okta의 Push Group을 통해 GWS 그룹을 생성 시, Okta 그룹명을 기준으로 "그룹명"과 "그룹이메일"이 자동으로 부여되어 생성됩니다.

GWS에서 Push Group의 그룹명을 변경하면, Okta가 사용자 프로비저닝 시점에 GWS 그룹명을 다시 Okta 그룹명으로 변경합니다. (그룹명 변경 불가) 그룹 이메일의 경우 GWS에서 변경시 Okta에 프로비저닝으로 인해 업데이트 되지 않습니다. (그룹이메일 변경 유지)

GWS API를 활용하여 이메일 주소 변경이 가능하며, API 참조 문서는 해당 링크를 참고 바랍니다.

V. 최종 사용자 경험

1. Okta 로그인

2. Google Workspace에 직접 로그인

Previous라이선스 및 역할 충돌 방지를 위한 설정 NextGoogle Workspace 사용자 관리

Last updated 11 days ago

hashtagⅠ. Okta-Google Workspace 연동

hashtag1. SSO 통합 기능

hashtag2. 프로비저닝 기능

hashtagⅡ. Okta-Google Workspace 연동 구성

hashtag1. Google Workspace 연동 기본 설정

hashtag1.1 [Okta] Google Workspace ( 1-step ) 구성 기능 활성화

hashtag1.2 [Okta] Google Workspace 앱 추가 및 설정

hashtag1.3 [Google Workspace] SSO 프로필

hashtag1.4 [Okta] & [Google Workspace] SSO 추가 옵션 설정

hashtag1.5 [Google Workspace] SSO 프로필 할당

hashtag2. 프로비저닝 구성

hashtag2.1 [Okta] API integration 설정

hashtag2.2 프로비저닝 설정

hashtagIII. [Google Workspace] Assign

hashtag1. 프로비저닝을 통한 GWS 사용자 관리

hashtag2. Assign to People

hashtag3. Assign to Groups

hashtagIV. Push Groups

hashtag1. Push Group

hashtag1.1 Push Group 생성

hashtag1.2 Push Group 구성

hashtag1.3 Push Group 의 사용자 맴버쉽 적용

hashtag2. Group Email

hashtagV. 최종 사용자 경험

hashtag1. Okta 로그인

hashtag2. Google Workspace에 직접 로그인