원문: https://developers.google.com/google-apps/sso/openid_reference_implementation
구글 앱스를 위한 OpenID 연동 로그인 서비스 (OpenID Federated Login Service for Google Apps)
구글 앱스는 최종 사용자가 제 3자의 웹 사이트에 사용자의 구글 앱스 계정을 이용하여 안전하게 로그인 할 수 있도록 해주는 OpenID API를 제공합니다. OpenID 표준은 사용자가 서로 다른 웹 사이트에 로그인 하기 위해 각기 다른 로그인 계정(ID, 비밀번호)을 이용해야 함으로부터, 또 역으로 웹 사이트 개발자가 로그인 정보와 보안 수단을 사이트 별로 각기 다르게 관리해야 하는 일로부터 해방시켜 줍니다. OpenID는 사용자가 구글 앱스 도메인과 같은 OpenID 제공자에게 하나의 계정을 개설하고, 그 계정으로 OpenID를 지원하는 어떤 웹 사이트에도 로그인 할 수 있도록 하는 구조를 제공함으로써 이것을 가능하게 합니다.구글 앱스 API는 OpenID 제공자로서 OpenID 2.0 규약에 맞춰 어떤 도메인에도 계정 인증[1]을 지원합니다. 제 3자의 사이트에서 요청이 오면, 구글은 기존의 구글 앱스 계정으로 사용자를 인증하여, 제 3자의 사이트가 사용자를 알아보는데 사용할 수 있는 식별자를 해당 사이트로 보냅니다. 이 식별자는 일관성 있게, 여러 개의 세션을 통해서 제 3자의 사이트가 사용자를 알아볼 수 있도록 해줍니다. 구글은 또한 다음과 같은 확장기능을 지원합니다:
[1] 여기서 인증, 즉 authentication이란 사용자의 ID와 비밀번호를 서버에 이미 등록된 정보와 맞춰 보는 과정. 로그인 버튼을 클릭했을 때 로그인 된 페이지가 나오기까지 그 중간의 처리.
OpenID Attribute Exchange 1.0은 웹 개발자가 사용자의 허가를 받은 경우, 사용자ID와 이메일 주소를 포함하여 구글에 저장된 특정 사용자의 정보에 접근하는 것을 허용합니다.
OpenID+OAuth Hybrid protocol은 웹 개발자가 OpenID 요청과 OAuth 인증 요청을 결합할 수 있도록 해줍니다. 이 확장기능은 웹 개발자가 OpenID와 OAuth를 모두 사용하는 경우, 두 단계의 사용자 허가를 한 단계로 줄이는 데 있어서 특히 유용합니다.
기업과 공공기관을 위해, 구글 앱스 OpenID API는 전 세계적인 Single Sign-on 서비스를 가능케 합니다. 한 번의 구글 앱스 로그인으로, Salesforce.com과 추가적인 Saas 및 온디맨드 솔루션, B2B 파트너, 내부 애플리케이션과 소비자 웹 사이트에 안전하게 접근할 수 있습니다. 더 자세한 사항과 예제에 대해서는 우리의 블로그 포스팅을 참조하세요.
OpenID 프레임워크에 대한 더 많은 정보를 얻으려면, 다음 사항들을 참고하시기 바랍니다:
- OpenID
- OpenID attribute exchange
- Step2 open-source project including complete Relying Party example code
또한 구글 계정 사용자를 위한 연동 로그인과 구글의 OpenID API 사용에 대한 토론인 연동 로그인에 대한 구글 그룹도 확인하십시오.
Note: 연동 로그인 서비스는 구글 앱스 Business 에디션과 Education 에디션에서 기본적으로 비활성화 되어 있습니다. 도메인 관리자는 제어판의 'http://www.google.com/a/cpanel/당신의도메인/Setupldp'에서 이를 활성화시킬 수 있습니다.
구글 앱스 마켓을 위한 SSO (Single Sign On)
OpenID 기반 SSO를 사용하는 애플리케이션은, 해당 애플리케이션이 구글 앱스 마켓에 등록 되어 있다면 OpenID 로그인의 허가 단계를 건너뛸 수 있습니다. 이는 애플리케이션 명부(applicatoin manifest) 내에서 OpenID realm을 지원함으로써 가능합니다.OpenID 기반 SSO를 마켓의 애플리케이션에 구현하려는 개발자들을 돕기 위하여, 구글은 보안 모범사례 모음을 제공하고 있습니다.
구글 앱스를 위한 OpenID 기반 연동 로그인에 대한 이해
이 장은 OpenID 인증이 어떻게 동작하는지에 대한 고수준의 개요를 제공합니다.상호동작 순서
웹 애플리케이션[2]을 위한 OpenID 로그인 인증은 제 3자의 웹 앱 애플리케이션, 구글 앱스 도메인, 구글 도메인, 구글의 로그인 인증 서비스, 그리고 최종 사용자 사이에서 일련의 상호동작을 통해 이루어집니다. 아래 그림은 구글이 추천하는 순서를 보여줍니다. 그림은 구글 도메인 상에서 discovery가 끝나기까지의 흐름만 단순하게 표시합니다. 전체 흐름과 사례를 보려면 구글 앱스 Relying Party Discovery Documentation를 (실험적) 참조하세요.[2] 애플리케이션 또는 웹 애플리케이션이란, 여기서는 자바스크립트 코드 같은 작은 프로그램을 말한다. 사용자가 브라우저에서 로그인 버튼을 클릭한 후 로그인 된 페이지를 보기 전에, 입력된 로그인 정보를 구글 앱스 서버에 보내고 또 응답을 받는 일을 하는 브라우저의 백그라운드에서 동작하는 작은 프로그램을 뜻한다. 눈에 보이는 모바일 분야나 PC의 앱과는 의미가 다른 개념.
Note: 도메인 관리자는 Discovery Documentation에 설명된 host-meta filedocument를 포스트하는 것을 강력히 추천합니다.
이 이미지는 다음 단계들을 보여줍니다.
- 웹 애플리케이션이 최종 사용자에게 구글 앱스 계정을 포함한 계정 선택 로그인 입력창에서 어떤 정보로 로그인 할 것인지 묻는다.
- 사용자는 구글 앱스 계정을 사용할 것을 선택한다.
- 웹 애플리케이션은 Discovery Documentation에 정의된 방법에 따라 XRDS 문서의 위치 검색을 수행한다.
- 구글은 구글 앱스 도메인의 종점 주소를 가지고 있는 검색된 XRDS 문서를 보내준다.
- 웹 애플리케이션은 제공된 종점 주소로 로그인 인증 요청을(필요한 경우 OAuth 파라미터들도 함께) 보낸다.
- 이 동작은 사용자에게 구글 앱스 연동 로그인 페이지를 연결해(redirect) 준다.
- 사용자는 그의 구글 앱스 계정으로 로그인 한다. 이때 구글 앱스는 로그인 완료 페이지를 보여준 후, 사용자가 웹 애플리케이션에 의한 인증 과정을 완료할 것인지 묻는다. 만일 웹 애플리케이션이 OpenID+OAuth 조합을 사용하고 있다면, 사용자는 특정 구글 앱스 서비스 모음으로의 접근을 허가할 것인지에 대한 물음에도 역시 답해야 한다.
Note: 어떤 상황에서는 로그인 과정이나 허가 과정이 (또한 둘 다) 생략될 수도 있다. - 사용자가 인증을 허가한다면, 구글은 제어를 웹 애플리케이션에게 돌려주면서, 웹 애플리케이션이 사용자를 인식할 수 있도록 하는 (하지만 사람은 알아볼 수 없는) 식별자를 제공한다. OpenID+OAuth 조합에 대해서는 인증된 요청 토큰도 같이 보내준다.
- 웹 애플리케이션은 구글에서 제공된 식별자를 이용하여 사용자를 알아본 후 애플리케이션의 기능과 데이터에 접근을 허가한다. OpenID+OAuth 조합에 대해서는, 웹 애플리케이션은 받은 요청 토큰을 사용하여 OAuth 인증 절차를(step 7 참조) 진행하고 사용자의 구글 앱스 서비스에 대한 허가를 얻는다.
의존