사용자 풀에 대한 SAML 자격 증명 공급자 생성 및 관리(AWS Management Console) - Amazon Cognito

사용자 풀에 대한 SAML 자격 증명 공급자 생성 및 관리(AWS Management Console)

AWS Management Console을 사용하여 SAML 자격 증명 공급자(IdP)를 생성하고 삭제할 수 있습니다.

SAML IdP를 생성하기 전에 서드 파티 IdP로부터 얻은 SAML 메타데이터 문서가 필요합니다. 필요한 SAML 메타데이터 문서를 가져오거나 생성하는 방법에 대한 지침은 Amazon Cognito 사용자 풀과 서드 파티 SAML 자격 증명 공급자 통합 섹션을 참조하세요.

Original console

사용자 풀에 SAML 2.0 IdP를 구성하려면

  1. Amazon Cognito 콘솔로 이동합니다. 메시지가 표시되면 AWS 자격 증명을 입력합니다.

  2. 사용자 풀 관리(Manage User Pools)를 선택합니다.

  3. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  4. 왼쪽 탐색 모음에서 자격 증명 공급자(Identity providers)를 선택합니다.

  5. SAML을 선택하여 SAML 대화상자를 엽니다.

  6. [메타데이터 문서(Metadata document)]에서 해당 SAML IdP의 메타데이터 문서를 업로드합니다. 메타데이터 문서를 가리키는 URL을 입력할 수도 있습니다. 자세한 내용은 Amazon Cognito 사용자 풀과 서드 파티 SAML 자격 증명 공급자 통합 섹션을 참조하세요.

    참고

    Amazon Cognito에서 메타데이터를 자동으로 새로 고칠 수 있으므로 퍼블릭 엔드포인트인 경우 파일을 업로드하지 않고 엔드포인트 URL을 제공하는 것이 좋습니다. 일반적으로 메타데이터 새로 고침은 6시간마다 또는 메타데이터가 만료되기 전 중 더 빠른 시간에 발생합니다.

  7. 사용자의 SAML 공급자 이름(Provider name)을 입력합니다. SAML 명명에 관한 자세한 내용은 SAML 자격 증명 공급자 이름 선택 섹션을 참조하세요.

  8. 사용할 SAML 식별자(Identifiers)(선택 사항)를 입력합니다.

  9. 사용자가 사용자 풀에서 로그아웃할 때 Amazon Cognito와 SAML IdP에서도 로그아웃되도록 하려는 경우 IdP Sign Out Flow 활성화(Enable IdP sign out flow)를 선택합니다.

    이 흐름을 사용하면 로그아웃 엔드포인트가 호출될 때 서명된 로그아웃 요청이 SAML IdP로 전송됩니다.

    IdP의 로그아웃 응답을 사용하도록 이 엔드포인트를 구성합니다. 이 엔드포인트는 사후 바인딩을 사용합니다.

    https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/logout
    참고

    이 옵션을 선택했고 SAML IdP가 서명된 로그아웃 요청을 필요로 하는 경우 SAML IdP를 사용하여 Amazon Cognito에서 제공한 서명 인증서도 구성해야 합니다.

    SAML IdP가 서명된 로그아웃 요청을 처리하고 사용자를 Amazon Cognito 세션에서 로그아웃합니다.

  10. 공급자 생성(Create provider)을 선택합니다.

  11. 속성 매핑(Attribute mapping) 탭에서 다음과 같이 최소한의 필수 속성(일반적으로 email)에 대한 매핑을 추가합니다.

    1. IdP의 SAML 어설션에 표시된 대로 SAML 속성 이름을 입력합니다. IdP가 샘플 SAML 어설션을 참조용으로 제공할 수도 있습니다. email과 같은 간단한 이름을 사용하는 IdP도 있고, 다음과 같이 URL 형식의 속성 이름을 사용하는 IdP도 있습니다.

      http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
    2. 드롭다운 목록에서 대상 사용자 풀 속성을 선택합니다.

  12. [Save changes]를 선택합니다.

  13. 요약본으로 이동(Go to summary)을 선택합니다.

New console

사용자 풀에 SAML 2.0 IdP를 구성하려면

  1. Amazon Cognito 콘솔로 이동합니다. 메시지가 표시되면 AWS 자격 증명을 입력합니다.

  2. [사용자 풀(User Pools)]을 선택합니다.

  3. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  4. [로그인 환경(Sign-in experience)] 탭을 선택합니다. 페더레이션 로그인(Federated sign-in)을 찾아서 자격 증명 공급자 추가(Add an identity provider)를 선택합니다.

  5. SAML IdP를 선택합니다.

  6. 식별자(Identifiers)를 쉼표로 구분하여 입력합니다. 식별자는 사용자가 로그인할 때 입력한 이메일 주소를 확인한 다음, 사용자 도메인에 해당하는 공급자로 사용자를 보내도록 Amazon Cognito에 지시합니다.

  7. 사용자가 로그아웃할 때 Amazon Cognito에서 서명된 로그아웃 요청을 공급자에게 보내도록 하려는 경우 로그아웃 흐름 추가(Add sign-out flow)를 선택합니다. 호스팅 UI를 구성할 때 생성되는 https://<your Amazon Cognito domain>/saml2/logout 엔드포인트에 로그아웃 응답을 보내도록 SAML 2.0 IdP를 구성해야 합니다. saml2/logout 엔드포인트는 POST 바인딩을 사용합니다.

    참고

    이 옵션을 선택했고 SAML IdP가 서명된 로그아웃 요청을 필요로 하는 경우 SAML IdP를 사용하여 Amazon Cognito에서 제공한 서명 인증서도 구성해야 합니다.

    SAML IdP가 서명된 로그아웃 요청을 처리하고 사용자를 Amazon Cognito 세션에서 로그아웃합니다.

  8. 메타데이터 문서 소스(Metadata document source)를 선택합니다. IdP가 퍼블릭 URL에서 SAML 메타데이터를 제공하는 경우 메타데이터 문서 URL(Metadata document URL)을 선택하고 해당 퍼블릭 URL을 입력할 수 있습니다. 그렇지 않은 경우 메타데이터 문서 업로드(Upload metadata document)를 선택한 다음, 이전에 공급자로부터 다운로드한 메타데이터 파일을 선택합니다.

    참고

    공급자에게 퍼블릭 엔드포인트가 있는 경우 Amazon Cognito에서 메타데이터를 자동으로 새로 고칠 수 있으므로 파일을 업로드하지 않고 메타데이터 문서 URL을 입력하는 것이 좋습니다. 일반적으로 메타데이터 새로 고침은 6시간마다 또는 메타데이터가 만료되기 전 중 더 빠른 시간에 발생합니다.

  9. [SAML 공급자와 앱 간에 속성 매핑(Map attributes between your SAML provider and your app)]을 선택하여 SAML 공급자 속성을 사용자 풀의 사용자 프로파일에 매핑합니다. 속성 맵에 사용자 풀 필수 속성을 포함합니다.

    예를 들어, 사용자 풀 속성(User pool attribute) email을 선택한 경우 IdP의 SAML 어설션에 표시된 대로 SAML 속성 이름을 입력합니다. IdP가 샘플 SAML 어설션을 제공하는 경우 이 샘플 어설션을 사용하여 이름을 찾을 수 있습니다. email과 같은 간단한 이름을 사용하는 IdP도 있고, 다음과 같은 이름을 사용하는 IdP도 있습니다.

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  10. 생성(Create)을 선택합니다.

참고

HTTPS 메타데이터 엔드포인트 URL을 사용하여 SAML IdP를 생성하는 동안 InvalidParameterException(예: "<metadata endpoint>에서 메타데이터를 가져오는 동안 오류가 발생했습니다(Error retrieving metadata from <metadata endpoint>)")이 발생할 경우 메타데이터 엔드포인트에 SSL이 올바르게 설정되어 있고 유효한 SSL 인증서가 연결되어 있는지 확인합니다.

사용자 풀을 신뢰 당사자로 추가하도록 SAML IdP를 설정하려면

  • 사용자 풀 서비스 공급자 URN은 urn:amazon:cognito:sp:<user_pool_id>입니다. Amazon Cognito는 SAML IdP에 대해 AuthnRequest를 실행하여 이 URN에 대한 대상 제한이 적용된 SAML 어설션을 발급합니다. IdP는 IdP에서 SP로 보내는 응답 메시지에 대해 다음 POST 바인딩 엔드포인트를 사용합니다. https://Your user pool domain/saml2/idpresponse

  • SAML IdP가 SAML 어설션의 사용자 풀에 대한 필수 속성과 NameID를 채우는지 확인합니다. NameID는 사용자 풀에서 SAML 연동 사용자를 고유하게 식별하는 데 사용됩니다. 지속 SAML 이름 ID 형식을 사용합니다.

SAML 2.0 IDP에 서명 인증서를 제공하려면

  • IdP가 SAML 요청 및 로그아웃 요청을 검증하는 데 사용할 수 있는 퍼블릭 키 사본을 Amazon Cognito에서 얻으려면 사용자 풀의 Sign-in experience(로그인 경험) 탭에 있는 Signing certificate(서명 인증서)에서 View Signing certificate(서명 인증서 보기) 또는 Download as .crt(.crt로 다운로드)를 선택합니다.

Amazon Cognito 콘솔을 사용하여 사용자 풀에 설정한 SAML 공급자를 삭제할 수 있습니다.

Original console

SAML 공급자를 삭제하려면

  1. Amazon Cognito 콘솔에 로그인합니다. 메시지가 표시되면 AWS 자격 증명을 입력합니다.

  2. 탐색 창에서 사용자 풀 관리(Manage your User Pools)를 선택한 다음 편집할 사용자 풀을 선택합니다.

  3. [페더레이션(Federation)] 콘솔 페이지에서 [자격 증명 공급자(Identity providers)]를 선택합니다.

  4. SAML을 선택하여 SAML 자격 증명 공급자를 표시합니다.

  5. 삭제할 공급자 옆에 있는 확인란을 선택합니다.

  6. Delete provider(공급자 삭제)를 선택합니다.

New console

SAML 공급자를 삭제하려면

  1. Amazon Cognito 콘솔에 로그인합니다.

  2. 탐색 창에서 [사용자 풀(User Pools)]을 선택한 다음 편집할 사용자 풀을 선택합니다.

  3. 로그인 환경(Sign-in experience) 탭을 선택하고 페더레이션 로그인(Federated sign-in)을 찾습니다.

  4. 삭제할 SAML IdP 옆에 있는 라디오 버튼을 선택합니다.

  5. 자격 증명 공급자 삭제(Delete identity provider) 메시지가 표시되면 SAML 공급자의 이름을 입력하여 삭제를 확인하고 삭제(Delete)를 선택합니다.