Google OAuth 2.0을 사용하는 애플리케이션을 개발하고 배포할 때는 애플리케이션이 가질 수 있는 다양한 상태와 이러한 상태가 Google Workspace 관리자 제어와 상호작용하는 방식을 이해하는 것이 중요합니다. 이 페이지에서는 OAuth 앱 게시 상태, 사용자 유형, 인증 요구사항에 대해 간략하게 설명합니다.
애플리케이션 유형 식별
프로젝트에 적용되는 정책 및 제어를 이해하려면 먼저 대상 사용자를 결정하세요.
- 어디서나 사용할 수 있는 앱: 이러한 애플리케이션은 개인 Google 계정 보유자 및 외부 Google Workspace 조직 내 사용자를 비롯하여 최대한 많은 대상을 타겟팅합니다. 이러한 애플리케이션은 외부 사용자 유형으로 Google Cloud 콘솔에서 구성됩니다. 자세한 내용은 사용자 유형: 외부를 참고하세요.
- Google Workspace 조직 내부에서만 사용할 수 있는 앱: 이러한 애플리케이션은 비공개이며 자체 Google Workspace 도메인 내 사용자로 제한됩니다. 조직 외부의 사용자는 액세스할 수 없습니다. 이러한 애플리케이션은 내부 사용자 유형으로 구성됩니다. 애플리케이션과 해당 사용자는 표준 OAuth 동작을 재정의할 수 있는 조직 수준 관리 정책의 적용을 받습니다. 자세한 내용은 사용자 유형: 내부를 참고하세요.
Google OAuth 플랫폼 동작 비교
다음 표에서는 게시 상태, 사용자 유형, 인증 상태의 다양한 구성이 애플리케이션 동작 및 액세스에 미치는 영향을 간략하게 설명합니다. 이러한 동작은 OAuth 인증 정책 및 토큰 만료 규칙에 의거하여 적용됩니다.
| 게시 상태 | 사용자 유형 | 테스트 사용자 적용 가능? | 인증 상태 | 참고 |
|---|---|---|---|---|
| 해당 사항 없음 | 내부 | 아니요 | 해당 사항 없음 | 조직 내 모든 사용자가 액세스할 수 있습니다. 인증이 필요하지 않습니다. 동의 화면에 범위가 나열되지 않을 수 있습니다. 내부 전용 앱에 유용합니다. |
| 테스트 | 외부 | 예 | 해당 사항 없음 | 테스트 사용자 허용 목록에 명시적으로 추가된 사용자만 앱에 액세스할 수 있습니다 (테스트 사용자 100명으로 제한됨). 예외: 앱에서 기본 ID 범위 (openid, email, profile)만 요청하는 경우 허용 목록에 없어도 모든 사용자가 액세스할 수 있습니다. 사용자에게 표준 인증되지 않은 앱 화면 대신 앱이 테스트 중임을 나타내는 경고 UI가 표시됩니다. 참고: 앱의 사용자 유형이 내부 로 설정되지 않은 한 조직 사용자는 이러한 테스트 요구사항에서 제외되지 않습니다. 개발 및 테스트에 유용합니다. |
| 게시됨 | 외부 | 아니요 | 확인되지 않음 | Google 사용자라면 누구나 액세스할 수 있습니다. 강력히 권장하지 않습니다. 앱이 브랜드 인증을 완료하지 않았으므로 동의 화면에 앱 이름과 로고가 표시되지 않습니다. 또한 민감하거나 제한된 범위를 요청하는 앱의 경우 사용자에게 인증되지 않은 앱 경고 (위험 UI)가 표시되고 총 사용자 수 100명으로 제한됩니다. |
| 게시됨 | 외부 | 아니요 | 인증됨 | Google 사용자라면 누구나 액세스할 수 있습니다. 민감하고 제한된 범위를 요청하는 공개 앱에 필요합니다. 브랜드 및 범위가 인증되면 경고 없이 동의 화면에 앱 이름, 로고, 범위가 표시됩니다. |
Google Workspace 환경의 관리 재정의
Google Workspace 관리자는 Google Cloud 콘솔의 앱 설정과 관계없이 OAuth 앱이 조직의 데이터에 액세스하는 방식을 크게 제어할 수 있습니다. 이러한 제어는 Google Workspace 관리 콘솔의 API 관리에서 관리됩니다.
- 범용 제어: Google Workspace 관리자는 내부 또는 외부, 테스트 또는 게시됨, 인증됨 또는 인증되지 않음과 관계없이 모든 OAuth 앱을 항상 차단 하여 사용자가 승인하지 못하도록 할 수 있습니다.
- 내부 앱: 관리자가 '내부의 도메인 소유 앱 신뢰'를 사용 설정한 경우 Google Workspace 조직 내에서 암시적으로 신뢰되는 경우가 많습니다. 하지만 관리자는 액세스를 세부적으로 조정하기 위해 신뢰할 수 있음, 제한됨 또는 차단됨과 같은 라벨을 계속 적용할 수 있습니다. 도메인 전체 위임(DWD)을 구성하여 특정 범위에 대한 사용자 동의를 우회할 수도 있습니다.
- 외부 앱:
- 확인되지 않음: 관리자가 이러한 앱을 신뢰하지 않을 가능성이 높으며 차단되거나 제한될 수 있습니다. 관리자가 확인되지 않은 외부 앱을 도메인에 대해 "신뢰할 수 있음"으로 표시할 수 있지만 일반적으로 권장되지는 않습니다.
- 인증됨: Google 인증은 신뢰를 구축하지만 Google Workspace 관리자는 여전히 모든 권한을 보유합니다. '인증됨' 상태는 Google Workspace 관리자의 설정을 재정의하지 않습니다. 관리자는 앱을 신뢰할 수 있음 (관리자가 설정한 일부 범위 제한 무시), 제한됨 (서비스 제한 적용) 또는 차단됨으로 표시할 수 있습니다.
'신뢰할 수 있음' 상태 재정의: Google Workspace 관리자가 앱을 신뢰할 수 있음으로 표시하면 해당 조직의 내부 애플리케이션으로 취급됩니다. 이 상태는 조직 사용자에 대한 특정 표준 OAuth 제한사항(예: 테스트 사용자 100명 제한 및 테스트 상태의 앱에 대한 갱신 토큰 만료 기간 7일 제한)을 재정의합니다.
기본적으로 Google의 인증 프로세스는 일반적인 정책 준수 신호이지만 Google Workspace 관리자에게 앱이 조직의 데이터에 액세스할 수 있는지 여부에 대한 최종 권한이 있습니다.
다음 단계
프로덕션을 위해 앱을 준비하고 Google Workspace 관련 고려사항을 처리하는 방법에 관한 자세한 내용은 다음 리소스를 참고하세요.