기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
튜토리얼: QuickSight Amazon과 IAM 자격 증명 페더레이션
적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션 |
대상 사용자: Amazon QuickSight 관리자 및 Amazon QuickSight 개발자 |
참고
IAMID 페더레이션은 QuickSight Amazon과의 ID 공급자 그룹 동기화를 지원하지 않습니다.
다음 자습서에서는 IdP Okta를 Amazon용 페더레이션 서비스로 설정하는 방법을 단계별로 설명합니다. QuickSight 이 자습서에서는 AWS Identity and Access Management (IAM) 와 Okta의 통합을 보여 주지만 원하는 2.0을 사용하여 이 솔루션을 복제할 수도 있습니다. SAML IdPs
다음 절차에서는 Okta IdP의AWS "계정 페더레이션” 단축키를 사용하여 앱을 생성합니다. Okta는 이 통합 앱을 다음과 같이 설명합니다.
“Okta를 Amazon Web Services (AWS) Identity and Access Management (IAM) 계정에 페더레이션함으로써 최종 사용자는 Okta 자격 증명으로 자신에게 할당된 모든 AWS 역할에 싱글 사인온 방식으로 액세스할 수 있습니다. 각 계정에서 관리자는 AWS 계정 Okta를 신뢰하도록 페더레이션을 설정하고 역할을 구성합니다 AWS . 사용자가 로그인하면 Okta 싱글 로그인 환경에서 자신에게 할당된 역할을 확인할 수 있습니다. AWS AWS 그런 다음 원하는 역할을 선택하여 인증된 세션 기간에 권한을 정의하면 됩니다. AWS 계정 수가 많은 고객이라면 Single AWS Sign-On 앱을 대안으로 확인해 보세요.” () https://www.okta.com/aws/
Okta의 “AWS 계정 페더레이션” 애플리케이션 단축키를 사용하여 Okta 앱을 만들려면
-
Okta 대시보드에 로그인하십시오. 계정이 없는 경우 이 브랜드를 사용하여 무료 Okta Developer Edition 계정을 만드세요. QuickSight URL
이메일을 활성화했으면 Okta에 로그인하세요. -
Okta 웹 사이트의 왼쪽 상단에 있는 <> 개발자 콘솔을 선택한 다음 클래식 UI를 선택합니다.
-
애플리케이션 추가를 선택하고 앱 추가를 선택합니다.
-
검색에
aws
을(를) 입력하고 검색 결과에서 AWS 계정 페더레이션을 선택합니다. -
추가를 선택하여 이 애플리케이션의 인스턴스를 생성합니다.
-
애플리케이션 라벨에
AWS Account Federation - QuickSight
을(를) 입력합니다. -
Next(다음)를 선택합니다.
-
SAML2.0, 기본 릴레이 상태를 입력하려면 를 입력하십시오.
https://quicksight.aws.amazon.com
-
Identity Provider 메타데이터의 컨텍스트(마우스 오른쪽 버튼 클릭) 메뉴를 열고 파일을 저장하도록 선택합니다. 파일 이름을
metadata.xml
로 지정합니다. 다음 절차에서 이 파일이 필요합니다.파일 콘텐츠는 다음과 비슷합니다.
<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5"> <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol"> <md:KeyDescriptor use="signing"> <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:X509Data> <ds:X509Certificate> MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG . . (certificate content omitted) . QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4= </ds:X509Certificate> </ds:X509Data> </ds:KeyInfo> </md:KeyDescriptor> <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat> <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat> <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/> <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/> </md:IDPSSODescriptor> </md:EntityDescriptor>
-
XML파일을 저장한 후 Okta 페이지 하단으로 스크롤하여 완료를 선택합니다.
-
가능하면 이 브라우저 창을 열어 두십시오. 이는 나중에 이 튜토리얼에서 필요합니다.
다음으로 AWS 계정에서 ID 공급자를 생성합니다.
AWS Identity and Access Management () IAM 에서 SAML 제공자를 만들려면
-
에 AWS Management Console 로그인하고 에서 IAM 콘솔을 엽니다 https://console.aws.amazon.com/iam/
. -
탐색 창에서 자격 증명 공급자, 공급자 생성을 선택합니다.
-
다음 설정을 입력합니다.
-
제공자 유형 — SAML목록에서 선택합니다.
-
제공자 이름 -
Okta
을(를) 입력합니다. -
메타데이터 문서 - 이전
manifest.xml
절차에서 XML 파일을 업로드합니다.
-
-
다음 단계, 생성을 선택합니다.
-
생성한 IdP를 찾아 선택하여 설정을 확인합니다. 제공자를 기록해 두십시오ARN. 이는 튜토리얼을 완료하는 데 필요합니다.
-
설정을 사용하여 ID 공급자가 생성되었는지 확인하십시오. 에서 ID 공급자 IAM, Okta (추가한 IdP), 메타데이터 다운로드를 선택합니다. 파일은 최근에 업로드한 파일이어야 합니다.
다음으로 SAML 2.0 페더레이션이 사용자 내에서 신뢰할 수 있는 주체 IAM 역할을 할 수 있도록 역할을 생성합니다. AWS 계정이 단계에서는 Amazon에서 사용자를 프로비저닝할 방법을 선택해야 QuickSight 합니다. 다음 중 하나를 수행할 수 있습니다.
-
처음 방문하는 사람이 자동으로 QuickSight 사용자가 되도록 IAM 역할에 권한을 부여하십시오.
-
를 사용하여 QuickSight 사용자를 미리 제공하십시오. QuickSight API 이 옵션을 선택하면 사용자를 프로비저닝하는 동시에 그룹에 추가할 수 있습니다. 자세한 내용은 Amazon에서 그룹 생성 및 관리 QuickSight 단원을 참조하십시오.
신뢰할 수 있는 엔티티로서 SAML 2.0 페더레이션을 위한 IAM 역할 생성하기
-
에서 AWS Management Console 로그인하고 IAM 콘솔을 엽니다 https://console.aws.amazon.com/iam/
. -
탐색 창에서 역할, 역할 생성을 선택합니다.
-
신뢰할 수 있는 엔티티 유형 선택에서 SAML2.0 페더레이션이라는 레이블이 붙은 카드를 선택합니다.
-
예를 들어 SAML공급자의 경우 이전 절차에서 만든 IdP를 선택합니다.
Okta
-
프로그래밍 및 AWS 관리 콘솔 액세스 허용 옵션을 활성화합니다.
-
다음: 권한을 선택합니다.
-
다음 정책을 편집기에 붙여넣습니다.
정책 편집기에서 공급자의 Amazon 리소스 이름 (ARN) JSON 으로 업데이트합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRoleWithSAML", "Resource": "arn:aws:iam::
111111111111
:saml-provider/Okta
", "Condition": { "StringEquals": { "saml:aud": "https://signin.aws.amazon.com/saml" } } } ] } -
정책 검토를 선택합니다.
-
이름의 경우,
QuicksightOktaFederatedPolicy
을(를) 입력한 후 정책 생성을 선택합니다. -
정책 생성을 두 번째로 선택합니다. JSON
-
다음 정책을 편집기에 붙여넣습니다.
정책 편집기에서 AWS 계정 ID를 JSON 사용하여 업데이트합니다. 공급자의 이전 정책에서 사용한 것과 동일한 계정 ID여야 ARN 합니다.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "quicksight:CreateReader" ], "Effect": "Allow", "Resource": [ "arn:aws:quicksight::
111111111111
:user/${aws:userid}" ] } ] }다음과 같이 에서 AWS 리전 이름을 생략할 수 있습니다. ARN
arn:aws:quicksight::
111111111111
:user/$${aws:userid} -
정책 검토를 선택합니다.
-
이름의 경우,
QuicksightCreateReader
을(를) 입력한 후 정책 생성을 선택합니다. -
오른쪽에 있는 새로 고침 아이콘을 선택하여 정책 목록을 새로 고칩니다.
-
검색에
QuicksightOktaFederatedPolicy
을(를) 입력합니다. 정책을 선택하여 이것( )을 활성화합니다.자동 프로비저닝을 사용하지 않으려면 다음 단계를 건너 뛸 수 있습니다.
QuickSight 사용자를 추가하려면 register-user를 사용하십시오. 그룹을 추가하려면 QuickSight 그룹 만들기를 사용합니다. QuickSight 그룹에 사용자를 추가하려면 를 사용합니다. create-group-membership
-
(선택 사항) 검색에서
QuicksightCreateReader
을(를) 입력합니다. 정책을 선택하여 이것( )을 활성화합니다.를 사용하는 대신 QuickSight 사용자를 자동으로 프로비전하려면 이 단계를 수행하십시오 QuickSight API.
QuicksightCreateReader
정책은quicksight:CreateReader
작업 사용을 허용하여 자동 프로비저닝을 활성화합니다. 이렇게 하면 처음 사용하는 사용자에게 대시보드 구독자(독자 수준) 액세스 권한이 부여됩니다. QuickSight관리자는 나중에 QuickSight 프로필 메뉴인 관리 QuickSight, 사용자 관리에서 사용자를 업그레이드할 수 있습니다. -
IAM정책 또는 정책을 계속 연결하려면 [다음: 태그] 를 선택합니다.
-
다음: 검토를 선택합니다.
-
역할 이름에
QuicksightOktaFederatedRole
을(를) 입력한 다음 역할 생성을 선택합니다. -
다음 단계를 수행하여 이 작업을 성공적으로 완료했는지 확인하십시오.
-
에서 IAM https://console.aws.amazon.com/iam/
콘솔의 기본 페이지로 돌아가십시오. 브라우저의 뒤로 버튼을 사용할 수 있습니다. -
역할을 선택합니다.
-
검색에 Okta를 입력합니다. 검색 QuicksightOktaFederatedRole결과에서 선택합니다.
-
정책의 요약 페이지에서 권한 탭을 살펴보십시오. 역할에 연결한 정책 또는 정책이 있는지 확인하십시오.
QuicksightOktaFederatedPolicy
이(가) 있어야 합니다. 사용자 생성 기능을 추가하기로 선택했다면QuicksightCreateReader
을(를) 추가해야 합니다. -
아이콘을 사용하여 각 정책을 엽니다. 텍스트가 이 절차에 표시된 내용과 일치하는지 확인하십시오. 예제 계좌 번호 111111111111 대신 자신의 AWS 계정 번호를 추가했는지 다시 확인하세요.
-
신뢰 관계 탭에서 신뢰할 수 있는 엔티티 필드에 ID 제공자에 대한 정보가 포함되어 있는지 확인합니다. ARN ARNIAM콘솔에서 ID 제공자인 Okta를 열어 다시 한 번 확인할 수 있습니다.
-
Okta에 대한 액세스 키 생성하기
-
에 AWS Management Console 로그인하고 에서 IAM 콘솔을 엽니다. https://console.aws.amazon.com/iam/
-
Okta가 사용자에게 IAM 역할 목록을 표시할 수 있도록 허용하는 정책을 추가하세요. 이렇게 하려면 정책, 정책 생성을 선택합니다.
-
선택한 JSON후 다음 정책을 입력합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:ListAccountAliases" ], "Resource": "*" } ] }
-
정책 검토를 선택합니다.
-
이름(Name)에
OktaListRolesPolicy
을(를) 입력합니다. 그런 다음 정책 생성을 선택합니다. -
Okta에 액세스 키를 제공할 수 있도록 사용자를 추가합니다.
탐색 창에서 사용자를 선택한 다음 사용자 추가를 선택합니다.
-
다음 설정을 사용합니다.
-
사용자 이름에
OktaSSOUser
를 입력합니다. -
액세스 유형에서 프로그래밍 방식 액세스를 사용하도록 설정합니다.
-
-
다음: 권한을 선택합니다.
-
기존 정책 직접 첨부를 선택합니다.
-
검색에
OktaListRolesPolicy
를 입력하고 검색 OktaListRolesPolicy결과에서 선택합니다. -
Next: Tags(다음: 태그)를 선택한 후 Next: Review(다음: 검토)를 선택합니다.
-
사용자 생성을 선택합니다. 이제 액세스 키를 가져올 수 있습니다.
-
.csv 다운로드를 선택하여 키 파일을 다운로드합니다. 이 파일에는 이 화면에 표시되는 것과 동일한 액세스 키 ID 및 보안 액세스 키가 포함되어 있습니다. 하지만 이 정보가 두 번 표시되지 AWS 않으므로 파일을 다운로드해야 합니다.
-
다음 작업을 수행하여 이 단계를 올바르게 완료했는지 확인하십시오.
-
IAM콘솔을 열고 사용자를 선택합니다. ktaSSOUserO를 검색하고 검색 결과에서 사용자 이름을 선택하여 엽니다.
-
권한 탭에서 가 첨부되어 OktaListRolesPolicy있는지 확인합니다.
-
아이콘을 사용하여 정책을 엽니다. 텍스트가 이 절차에 표시된 내용과 일치하는지 확인하십시오.
-
이미 다운로드한 액세스 키는 안전 보안 인증 정보 탭에서 확인할 수 있습니다. 새 액세스 키가 필요할 때 이 탭으로 돌아가서 액세스 키를 만들 수 있습니다.
-
다음 절차에서는 Okta로 돌아가 액세스 키를 제공합니다. 액세스 키는 새 보안 설정과 함께 작동하여 Okta IdP가 함께 작동하도록 허용합니다 AWS .
설정이 포함된 Okta 애플리케이션 구성을 마치려면 AWS
-
Okta 대시보드로 돌아가십시오. 요청을 받으면 로그인하세요. 개발자 콘솔이 더 이상 열려 있지 않으면 관리를 선택하여 다시 여십시오.
-
Okta를 다시 열어야 하는 경우 다음 단계에 따라 이 섹션으로 돌아갈 수 있습니다.
-
Okta에 로그인하십시오. [Applications]를 선택합니다.
-
이 자습서의 시작 부분에서 만든 QuickSight 애플리케이션인 AWS 계정 페더레이션 - 을 선택합니다.
-
일반 및 모바일 사이에서 로그온 탭을 선택합니다.
-
-
고급 사인온 설정으로 스크롤합니다.
-
ID 공급자 ARN (SAMLIAM페더레이션에만 필요) 의 경우 이전 절차의 ARN 공급자를 입력합니다. 예를 들면 다음과 같습니다.
arn:aws:iam::
111122223333
:saml-provider/Okta -
완료 또는 저장을 선택합니다. 버튼 이름은 애플리케이션을 생성하는지 또는 편집하는지에 따라 달라집니다.
-
프로비전 탭을 선택하고 탭 하단에서 API통합 구성을 선택합니다.
-
API통합 활성화를 켜서 설정을 표시합니다.
-
액세스 키 및 보안 암호 키의 경우 이전에 다운로드한 액세스 키와 보안 암호 키를 이름이
OktaSSOUser
_credentials.csv
(으)로 지정된 파일에 제공하십시오 -
테스트 API 자격 증명을 선택합니다. AWS 계정 페더레이션이 성공적으로 확인되었음을 확인하는 메시지는 API통합 활성화 설정 위에서 확인하십시오.
-
저장(Save)을 선택합니다.
-
왼쪽에 앱으로가 강조 표시되어 있는지 확인하고 오른쪽에서 편집을 선택합니다.
-
사용자 생성에서 활성화 옵션을 켜십시오.
-
저장(Save)을 선택합니다.
-
할당 탭의 프로비저닝 및 가져오기 근처에서 할당을 선택합니다.
-
페더레이션 액세스를 활성화하려면 다음 중 하나 이상을 수행하십시오.
-
개별 사용자와 함께 작업하려면 사용자에게 할당을 선택합니다.
-
IAM그룹과 함께 작업하려면 그룹에 할당을 선택합니다. 특정 IAM 그룹 또는 모든 사용자 (조직 내 모든 사용자) 를 선택할 수 있습니다.
-
-
각 IAM 사용자 또는 그룹에 대해 다음을 수행하십시오.
-
할당, 역할을 선택합니다.
-
IAM역할 QuicksightOktaFederatedRole목록에서 선택합니다.
-
SAML사용자 역할의 경우 QuicksightOktaFederatedRole활성화하십시오.
-
-
저장 후 뒤로 이동을 선택한 다음 완료를 선택합니다.
-
왼쪽의 사람 또는 그룹 필터를 선택하고 입력한 사용자 또는 그룹을 확인하여 이 단계를 올바르게 완료했는지 확인하십시오. 생성한 역할이 목록에 표시되지 않아 이 프로세스를 완료할 수 없는 경우 이전 절차로 돌아가 설정을 확인하십시오.
QuickSight Okta를 사용하여 로그인하려면 (IdP에서 서비스 제공업체 로그인까지)
-
Okta 관리자 계정을 사용하는 경우 사용자 모드로 전환하세요.
-
페더레이션 액세스 권한이 부여된 사용자로 Okta 애플리케이션 대시보드에 로그인하십시오. 레이블이 붙은 새 애플리케이션 (예: AWS 계정 페더레이션 -) 이 표시되어야 합니다. QuickSight
-
애플리케이션 아이콘을 선택하여 AWS 계정 페더레이션 -을 시작합니다 QuickSight.
이제 Okta를 사용하여 ID를 관리하고 Amazon의 페더레이션 액세스를 사용할 수 있습니다. QuickSight
다음 절차는 이 튜토리얼 중 선택 사항입니다. 해당 단계를 따르면 사용자를 QuickSight 대신하여 승인 요청을 IdP에 전달할 수 있는 권한을 부여합니다. 이 방법을 사용하면 사용자는 먼저 IdP 페이지를 사용하여 로그인할 필요 없이 로그인할 수 있습니다. QuickSight
(선택 사항) Okta에 인증 요청을 보내도록 QuickSight 설정하려면
-
QuickSight를 열고 프로필 QuickSight 메뉴에서 관리를 선택합니다.
-
탐색 창에서 싱글 사인온 (IAM페더레이션) 을 선택합니다.
-
구성, URLIdP에 사용자 인증을 위해 IdP가 제공하는 URL 것을 입력합니다 (예: https://dev -
1-----0
.okta.com/home/amazon_aws/0oabababababaGQei5d5/282
. Okta 앱 페이지의 일반 탭에 있는 임베드 링크에서 찾을 수 있습니다. -
IdP의 URL 경우 를 입력합니다.
RelayState
-
다음 중 하나를 수행합니다.
-
ID 공급자를 통한 로그인을 먼저 테스트하려면 IdP부터 시작하여 테스트에 URL 제공된 사용자 지정을 사용하세요. 시작 페이지 (예: https://quicksight.aws.amazon.com/sn/ 시작) 에 도착해야 합니다. QuickSight
-
QuickSight First로 로그인을 테스트하려면 end-to-end 환경 테스트에 URL 제공된 사용자 지정을 사용하세요.
enable-sso
매개변수가 에 URL 추가됩니다.enable-sso=1
인 경우 IAM 페더레이션은 인증을 시도합니다.enable-sso=0
가 인증 요청을 보내지 QuickSight 않고 이전과 QuickSight 같이 로그인하는 경우
-
-
상태에서 켜기를 선택합니다.
-
설정을 유지하려면 저장을 선택합니다.
대시보드에 대한 딥 링크를 생성하여 사용자가 IAM 페더레이션을 사용하여 특정 QuickSight 대시보드에 직접 연결할 수 있도록 할 수 있습니다. 이렇게 하려면 다음 설명과 같이 릴레이 상태 플래그와 대시보드를 URL Okta Single Sign-On에 URL 추가합니다.
SSO (Single Sign-On) 용 대시보드로 연결되는 딥 링크를 만들려면 QuickSight
-
자습서 시작 부분에서 다운로드한
metadata.xml
파일에서 Okta 애플리케이션의 Single Sign-On (IAM페더레이션) URL 을 찾으세요. 파일 하단의 URL 이름이 지정된 요소에서 찾을 수 있습니다.md:SingleSignOnService
다음 예제에서와 같이 속성의Location
(이)라는 이름이 지정되고 값이/sso/saml
(으)로 끝납니다.<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>
-
IAMURL페더레이션의 값을 가져와서 URL QuickSight 대시보드의 이름을
?RelayState=
그 뒤에 추가합니다.RelayState
파라미터는 사용자가 인증으로 리디렉션되었을 때의 상태 (URL) 를 전달합니다. URL -
릴레이 상태가 IAM 추가된 새 페더레이션에 대시보드를 추가합니다URL. QuickSight 결과는 URL 다음과 비슷해야 합니다.
https://dev-
1-----0
.okta.com/app/amazon_aws/abcdef2hATwiVft645d5
/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab -
만든 링크가 열리지 않는 경우 URL 에서 가장 최근에 만든 IAM 페더레이션을 사용하고 있는지 확인하십시오.
metadata.xml
또한 로그인하는 데 사용하는 사용자 이름이 둘 이상의 IAM 페더레이션 Okta 앱에 할당되지 않았는지도 확인하세요.