이 페이지에서는 Google Cloud의 OAuth 애플리케이션 통합에 대해 간략히 설명합니다.
OAuth 애플리케이션 통합을 사용하여 OAuth 기반 애플리케이션을 Google Cloud와 통합할 수 있습니다. 제휴 사용자는 자신의 ID 공급업체(IdP)를 사용하여 애플리케이션에 로그인하고 자신의 Google Cloud제품 및 데이터에 액세스할 수 있습니다. OAuth 애플리케이션 통합은 직원 ID 제휴의 한 기능입니다.
OAuth 애플리케이션 통합을 사용하려면 먼저 직원 ID 풀 및 공급업체를 만들어야 합니다. 그런 후 OAuth 2.0을 사용해서 OAuth 기반 애플리케이션을 등록할 수 있습니다. 애플리케이션은 직원 ID 풀 및 공급업체가 구성된 조직에 등록되어야 합니다.
OAuth 애플리케이션 등록
Google Cloud에 액세스하도록 애플리케이션을 구성하려면 OAuth 클라이언트 사용자 인증 정보를 만들어서 애플리케이션을 Google Cloud 에 등록합니다. 사용자 인증 정보에는 클라이언트 보안 비밀번호가 포함됩니다. 애플리케이션은 액세스 토큰을 사용하여 Google Cloud 제품 및 데이터에 액세스합니다.
OAuth 클라이언트 및 사용자 인증 정보 보안 위험 및 완화 조치
IAM API 및 클라이언트 ID와 보안 비밀에 대한 액세스를 보호해야 합니다. 클라이언트 ID 및 보안 비밀이 유출되면 보안 문제가 발생할 수 있습니다. 이러한 문제에는 다음이 포함됩니다.
명의 도용: 사용자의 클라이언트 ID와 보안 비밀을 확보한 악의적인 사용자가 사용자의 적법한 애플리케이션을 매스커레이드하는 애플리케이션을 만들 수 있습니다. 그런 후 다음 작업을 수행할 수 있습니다.
- 애플리케이션에 부여된 권한 및 사용자 데이터에 대해 승인되지 않은 액세스 권한을 얻습니다.
- 콘텐츠 게시, API 호출 수행, 사용자 설정 수정 등 사용자를 대신해서 작업을 수행합니다.
- 악의적인 사용자가 OAuth 공급업체와 비슷한 허위 로그인 페이지를 만드는 피싱 공격을 수행합니다. 그런 후 페이지로 사용자가 사용자 인증 정보를 입력하도록 속이고, 이렇게 얻은 사용자 인증 정보를 사용해서 악의적인 사용자가 사용자 계정에 액세스할 수 있습니다.
평판 손상: 보안 사고가 발생하면 애플리케이션 및 조직의 평판이 침해되고 사용자의 신뢰를 잃을 수 있습니다.
사고 발생 시 이러한 위험과 기타 위험을 줄이기 위해서는 보안 사고의 특성을 평가하고 다음을 수행해야 합니다.
신뢰할 수 있는 사용자에게만 OAuth 클라이언트 및 사용자 인증 정보 API에 대한 IAM 액세스 권한이 있는지 확인합니다.
다음과 같이 클라이언트 사용자 인증 정보를 순환하여 클라이언트 보안 비밀번호를 즉시 순환합니다.
- OAuth 클라이언트에 대해 새 클라이언트 사용자 인증 정보를 만듭니다.
- 오래된 클라이언트 사용자 인증 정보를 사용 중지합니다.
- 오래된 클라이언트 사용자 인증 정보를 삭제합니다.
다음 단계
- OAuth 애플리케이션 관리 방법 알아보기