.. _saml-gsuit:


Google G Suite(SAML2.0)
================================

본 가이드는 G-suit와 Genian NAC의 인증연동 기능을 수행하기 위한 설정 방법을 안내합니다.


개요
------
Genian NAC와 Google G Suite를 연동하여 Genian NAC자체 사용자 DB를 관리할 필요 없이 Google G Suite를 통해 사용자 인증을 수행할 수 있습니다.
사용자 인증을 위해 Genian NAC CWP 페이지에서 SAML2.0 프로토콜을 이용하여 G-suite인증을 호출하고 사용자 인증여부를 확인하여 정상적인 SSO가 이루어집니다. 


연동 설정 방법 
----------------


**Step 1: Google G suite 연동을 위한 설정 방법** 
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

1. https://admin.google.com 에 로그인 합니다. ( **Workspace 관리자 계정으로 로그인 합니다.** )
2. 좌측 콘솔 메뉴바에서 **앱 -> 웹 및 모바일 앱** 을 클릭합니다.
3. 앱 추가 -> 맞춤 SAML 앱 추가를 클릭합니다.
4. 앱 이름과 설명 그리고 앱 아이콘을 설정 합니다.
5. Genian NAC 웹 콘솔 접속 후 , **설정 -> 사용자 인증 -> 인증 연동 -> SAML2 인증연동 -> 추가** 를 클릭합니다.
6. Google 관리 콘솔에 작성된 ( **SSO URL, 엔티티ID , x.509 Certificate** ) 값을 Genina NAC SAML2 인증연동 창에( **IdP SSO URL, IdP Entity ID, x509 Certificate** ) 입력합니다.
7. 반대로 Genian NAC SAML2 인증연동 화면에 작성된 값( **SP Entity ID, SP ACS URL** )을 Google 관리콘솔 창( **ACS URL, Entity ID** )에 입력합니다.
8. 정책 - 노드 정책 - 인증방법 - 인증방식 할당을 클릭하여 SAML2 인증을 추가 합니다. 


**step 2: Google G suite 연동을 위한 사용자 추가**
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

1. Google 관리 콘솔 메인화면에 있는 사용자를 클릭합니다.
2. **새 사용자 추가** 를 클릭합니다.
3. 사용자의 이름과 메일을 설정후, **새 사용자 추가** 를 클릭합니다. 
4. 메인화면 - 사용자 - 비밀번호 재설정 클릭 후, 사용자의 비밀번호를 재설정 합니다.

.. note:: Password 항목은 관리자가 패스워드를 지정하여 생성할지 사용자 최초로그인시 변경하도록 할지 선택합니다.


**Step 3: Google G suite 연동 테스트 진행**
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

1. **설정 - 사용자 인증 - 인증연동 - 인증 테스트** 클릭 
2. 인증정보 저장소를 **SAML2** 로 수정
3. 출력되는 화면에서 설정한 SAML 인증 로그인 버튼을 클릭 - 로그인 진행
4. 정상적으로 설정되었을 경우 Google 로그인창이 출력되고, 인증에 성공하게 됩니다.
5. 감사로그에서 로그인한 계정의 ID와 로그인한 인증방식(SAML)을 확인할 수 있습니다.

.. note:: 인증연동 설정 후, 정책적용시 제어정책 권한에 IdP 도메인을 추가해주어야 차단상태에서도 인증연동 창이 표시됩니다. 
    
.. code:: bash

    1. 권한 추가 방법
    2. 정책 > 객체 > 네트워크
    3. 작업선택 > 생성
    4. 기본정보 입력
    5. 네트워크주소 > FQDN 선택 > IdP 도메인 입력(e.g. accounts.google.com)
    6. 생성 클릭
    7. 권한 메뉴로 이동
    8. 생성한 네트워크객체를 이용하여 권한 생성
    9. 단말 네트워크를 제어하는 제어정책에 생성한 권한 할당