이 페이지에서는 Google Cloud의 OAuth 애플리케이션 통합에 대해 간략히 설명합니다.

OAuth 애플리케이션 통합을 사용하여 OAuth 기반 애플리케이션을 Google Cloud와 통합할 수 있습니다. 제휴 사용자는 자신의 ID 공급업체(IdP)를 사용하여 애플리케이션에 로그인하고 자신의 Google Cloud 제품 및 데이터에 액세스할 수 있습니다. OAuth 애플리케이션 통합은 직원 ID 제휴의 한 기능입니다.

OAuth 애플리케이션 통합을 사용하려면 먼저 직원 ID 풀 및 공급업체를 만들어야 합니다. 그런 후 OAuth 2.0을 사용해서 OAuth 기반 애플리케이션을 등록할 수 있습니다. 애플리케이션은 직원 ID 풀 및 공급업체가 구성된 조직에 등록되어야 합니다.

OAuth 애플리케이션 등록

Google Cloud에 액세스하도록 애플리케이션을 구성하려면 OAuth 클라이언트 사용자 인증 정보를 만들어서 애플리케이션을 Google Cloud에 등록합니다. 사용자 인증 정보에는 클라이언트 보안 비밀번호가 포함됩니다. 애플리케이션은 액세스 토큰을 사용하여 Google Cloud 제품 및 데이터에 액세스합니다.

OAuth 클라이언트 및 사용자 인증 정보 보안 위험 및 완화 조치

IAM API 및 클라이언트 ID와 보안 비밀에 대한 액세스를 보호해야 합니다. 클라이언트 ID 및 보안 비밀이 유출되면 보안 문제가 발생할 수 있습니다. 이러한 문제에는 다음이 포함됩니다.

• 명의 도용: 사용자의 클라이언트 ID와 보안 비밀을 확보한 악의적인 사용자가 사용자의 적법한 애플리케이션을 매스커레이드하는 애플리케이션을 만들 수 있습니다. 그런 후 다음 작업을 수행할 수 있습니다.

  • 애플리케이션에 부여된 권한 및 사용자 데이터에 대해 승인되지 않은 액세스 권한을 얻습니다.
  • 콘텐츠 게시, API 호출 수행, 사용자 설정 수정 등 사용자를 대신해서 작업을 수행합니다.
  • 악의적인 사용자가 OAuth 공급업체와 비슷한 허위 로그인 페이지를 만드는 피싱 공격을 수행합니다. 그런 후 페이지로 사용자가 사용자 인증 정보를 입력하도록 속이고, 이렇게 얻은 사용자 인증 정보를 사용해서 악의적인 사용자가 사용자 계정에 액세스할 수 있습니다.

• 평판 손상: 보안 사고가 발생하면 애플리케이션 및 조직의 평판이 침해되고 사용자의 신뢰를 잃을 수 있습니다.

사고 발생 시 이러한 위험과 기타 위험을 줄이기 위해서는 보안 사고의 특성을 평가하고 다음을 수행해야 합니다.

• 신뢰할 수 있는 사용자에게만 OAuth 클라이언트 및 사용자 인증 정보 API에 대한 IAM 액세스 권한이 있는지 확인합니다.

• 다음과 같이 클라이언트 사용자 인증 정보를 순환하여 클라이언트 보안 비밀번호를 즉시 순환합니다.

  1. OAuth 클라이언트에 대해 새 클라이언트 사용자 인증 정보를 만듭니다.
  2. 오래된 클라이언트 사용자 인증 정보를 사용 중지합니다.
  3. 오래된 클라이언트 사용자 인증 정보를 삭제합니다.

다음 단계

• OAuth 애플리케이션 관리 방법 알아보기