사용자 풀에 자격 증명 공급자 구성 - Amazon Cognito

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

사용자 풀에 자격 증명 공급자 구성

참고

기존 사용자 풀을 편집할 때에만 자격 증명 공급자 탭이 나타납니다.

자격 증명 공급자 탭에서 사용자 풀의 IdP(자격 증명 공급자)를 지정할 수 있습니다. 자세한 내용은 타사를 통한 사용자 풀 로그인 추가 단원을 참조하십시오.

사용자가 소셜 자격 증명 공급자를 사용하여 로그인할 수 있도록 허용

Amazon Cognito 사용자 풀에 연동을 사용하여 Facebook, Google, Login with Amazon 등등 소셜 자격 증명 공급자를 통합할 수 있습니다.

소셜 자격 증명 공급자를 추가하려면 먼저 자격 증명 공급자에서 개발자 계정을 생성합니다. 개발자 계정이 생성되면 자격 증명 공급자에 앱을 등록합니다. 자격 증명 공급자가 앱에 대한 ID와 암호를 생성하면 Amazon Cognito 사용자 풀에 이들 값을 구성합니다.

아래는 소셜 자격 증명 공급자의 이용에 도움이 되는 몇 가지 기본 용어들입니다.

사용자가 소셜 자격 증명 공급자를 이용하여 로그인할 수 있도록 허용하려면

  1. Facebook, Google, Login with Amazon 또는 Apple로 로그인과 같은 소셜 자격 증명 공급자를 선택합니다.

  2. Facebook, Google 또는 Amazon 앱 ID와 앱 암호에 Facebook, Google 또는 Login with Amazon 클라이언트 앱을 생성할 때 받은 앱 ID와 앱 암호를 입력합니다. Apple로 로그인 서비스 ID, 팀 ID, 키 ID 및 프라이빗 키에 Apple에 제공한 서비스 ID와 Apple로 로그인 클라이언트 앱을 생성할 때 받은 팀 ID, 키 ID 및 프라이빗 키를 입력합니다.

  3. 앱 보안에 클라이언트 앱을 생성할 때 받았던 앱 암호를 입력합니다.

  4. Authorize scopes(승인 범위)에 사용자 풀 속성에 매핑하고자 하는 소셜 자격 증명 공급자 범위의 이름을 입력합니다. 범위는 앱에서 액세스하고자 하는 사용자 속성(예: nameemail)을 정의합니다. Facebook의 경우 쉼표로 구분해야 합니다(예: public_profile, email). Google, Login with Amazon 및 Apple로 로그인(CLI)의 경우 공백으로 구분해야 합니다(Google 예: profile email openid, Login with Amazon 예: profile postal_code, Apple로 로그인 예: name email). Apple로 로그인(콘솔)의 경우 확인란을 사용하여 항목을 선택합니다.

    최종 사용자는 앱에 이러한 속성들을 제공한다는 데 동의하라는 요청 메시지를 받게 됩니다. 범위에 대한 자세한 내용은 Google, Facebook, Login with Amazon 또는 Sign in with Apple의 설명서를 참조하십시오.

  5. Facebook 활성화, Google 활성화, Login with Amazon 활성화 또는 Apple로 로그인 활성화를 선택합니다.

소셜 IdP에 관한 자세한 내용은 사용자 풀에 소셜 자격 증명 공급자 추가 섹션을 참조하십시오.

사용자가 OpenID Connect (OIDC) 자격 증명 공급자를 사용하여 로그인할 수 있도록 허용

사용자들이 Salesforce 또는 Ping Identity 같은 OIDC 자격 증명 공급자(IdP)를 통해 로그인하게 할 수 있습니다.

  1. Amazon Cognito 콘솔로 이동합니다. AWS 자격 증명을 입력하라는 메시지가 나타날 수 있습니다.

  2. Manage User Pools(사용자 풀 관리).

  3. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  4. 왼쪽 탐색 모음에서 자격 증명 공급자를 선택합니다.

  5. OpenId Connect를 선택합니다.

  6. Provider name(공급자 이름)에 고유한 이름을 입력합니다.

  7. OIDC IdP의 클라이언트 ID를 클라이언트 ID에 입력합니다.

  8. OIDC IdP의 클라이언트 암호를 클라이언트 암호에 입력합니다.

  9. 드롭다운 목록에서, userinfo 엔드포인트에서 사용자 세부 정보를 Attributes request method(속성 요청 메서드)로 가져올 때 사용하는 HTTP 메서드(GET 또는 POST)를 선택합니다.

  10. 승인하려는 범위의 이름을 입력합니다. 범위는 애플리케이션서 액세스하고자 하는 사용자 속성(예: nameemail)을 정의합니다. 범위는 OAuth 2.0 사양에 따라 공백으로 구분됩니다.

    애플리케이션 사용자는 앱에 이러한 속성들을 제공한다는 데 동의하라는 요청 메시지를 받게 됩니다.

  11. IdP의 URL을 입력하고 검색 실행을 선택합니다.

    예를 들어, Salesforce는 다음 URL을 사용합니다.

    https://login.salesforce.com

    참고

    URL은 https://로 시작해야 하며, 슬래시 /로 끝나면 안 됩니다.

    1. 검색 실행에 실패한 경우에는 권한 부여 엔드포인트, 토큰 엔드포인트, Userinfo 엔드포인트Jwks uri(JSON 웹 키의 위치)를 제공해야 합니다.

  12. 공급자 생성을 선택합니다.

  13. 왼쪽 탐색 모음에서 일반 설정을 선택합니다.

  14. OIDC 공급자를 활성화된 자격 증명 공급자 중 하나로 선택합니다.

  15. Amazon Cognito 권한 부여 서버에 대한 콜백 URL을 입력하여 사용자가 인증된 후 호출합니다. 이것은 로그인 성공 후 사용자가 리디렉션되는 페이지의 URL입니다.

    https://www.examle.com
  16. 허용된 OAuth Flows에서 Authorization code grant(권한 부여 코드 허용)Implicit code grant(암시적 코드 허용)를 모두 활성화합니다.

    특별히 하나를 제외하고 싶은 경우가 아니라면 허용된 OAuth Scopes 확인란을 모두 선택합니다.

  17. [Save changes]를 선택합니다.

  18. 왼쪽 탐색 모음의 속성 매핑 탭에서 OIDC 클레임 매핑을 사용자 풀 속성에 추가합니다.

    1. 기본적으로 OIDC 클레임 sub는 사용자 풀 속성 사용자 이름으로 매핑됩니다. 이 외의 OIDC 클레임도 사용자 풀 속성으로 매핑할 수 있습니다. OIDC 클레임을 입력하고, 드롭다운 목록에서 해당하는 사용자 풀 속성을 선택합니다. 예를 들어, 클레임 email은 주로 사용자 풀 속성 Email로 매핑됩니다.

    2. 드롭다운 목록에서 대상 사용자 풀 속성을 선택합니다.

    3. [Save changes]를 선택합니다.

    4. 요약본으로 이동을 선택합니다.

OIDC IdP에 관한 자세한 내용은 사용자 풀에 OIDC 자격 증명 공급자 추가 섹션을 참조하십시오.

사용자에게 SAML을 사용한 로그인 허용

Amazon Cognito 사용자 풀에 연동을 사용하여 SAML IdP(자격 증명 공급자)와 통합할 수 있습니다. 파일을 업로드하거나 메타데이터 문서 엔드포인트 URL을 입력하여 메타데이터 문서를 제공해야 합니다. 타사 SAML IdP의 메타데이터 문서를 얻는 방법에 대한 자세한 내용은 타사 SAML 자격 증명 공급자와 Amazon Cognito 사용자 풀 통합을 참조하십시오.

사용자에게 SAML을 사용한 로그인을 허용하려면

  1. SAML을 선택하여 SAML 자격 증명 공급자 옵션을 표시합니다.

  2. 메타데이터 문서를 업로드하려면 파일 선택을 선택하거나 메타데이터 문서 엔드포인트 URL을 입력합니다. 메타데이터 문서는 유효한 XML 파일이어야 합니다.

  3. 예를 들어 "SAML_provider_1"과 같이 SAML 공급자 이름 및 원하는 식별자를 입력합니다. 공급자 이름은 필수 사항이고 식별자는 선택 사항입니다. 자세한 내용은 사용자 풀에 SAML 자격 증명 공급자 추가 단원을 참조하십시오.

  4. Amazon Cognito;에서 로그아웃할 때 SAML IdP에서 사용자를 로그아웃되도록 하려면 Enable IdP sign out flow(IdP 로그아웃 흐름 활성화)를 선택합니다.

    이 흐름을 활성화하면 로그아웃 엔드포인트가 호출될 때 서명된 로그아웃 요청이 SAML IdP로 전송됩니다.

    참고

    이 옵션을 선택했고 SAML 자격 증명 공급자가 서명된 로그아웃 요청을 필요로 하는 경우 SAML IdP를 사용하여 Amazon Cognito에서 제공한 서명 인증서도 구성해야 합니다.

    SAML IdP가 서명된 로그아웃 요청을 처리하고 사용자를 Amazon Cognito 세션에서 로그아웃합니다.

  5. 공급자 생성을 선택합니다.

  6. 추가 공급자를 생성하려면 이전 단계를 반복합니다.

참고

HTTPS 메타데이터 엔드포인트 URL을 통해 SAML 자격 증명 공급자를 생성하는 동안 "<metadata endpoint>에서 메타데이터를 검색하는 동안 오류 발생"과 같은 InvalidParameterException이 표시되면 메타데이터 엔드포인트에 SSL이 올바르게 설정되어 있는지 그리고 이와 연관된 유효한 SSL 인증서가 있는지를 확인하십시오.

서명 인증서를 추가하도록 SAML IdP를 설정하려면

  • 서명된 로그아웃 요청을 확인하기 위해 자격 증명 공급자가 사용할 퍼블릭 키를 포함하는 인증서를 가져오려면 연동 콘솔 페이지의 자격 증명 공급자에서 SAML] 대화 상자의Active SAML Providers(활성 SAML 공급자)에 있는 Show signing certificate(서명 인증서 표시)를 선택합니다.

SAML IdP에 관한 자세한 내용은 사용자 풀에 SAML 자격 증명 공급자 추가 섹션을 참조하십시오.