튜토리얼: QuickSight Amazon과 IAM 자격 증명 페더레이션

적용 대상: 엔터프라이즈 에디션 및 스탠다드 에디션

대상 사용자: Amazon QuickSight 관리자 및 Amazon QuickSight 개발자

참고

IAMID 페더레이션은 QuickSight Amazon과의 ID 공급자 그룹 동기화를 지원하지 않습니다.

다음 자습서에서는 IdP Okta를 Amazon용 페더레이션 서비스로 설정하는 방법을 단계별로 설명합니다. QuickSight 이 자습서에서는 AWS Identity and Access Management (IAM) 와 Okta의 통합을 보여 주지만 원하는 2.0을 사용하여 이 솔루션을 복제할 수도 있습니다. SAML IdPs

다음 절차에서는 Okta IdP의AWS "계정 페더레이션” 단축키를 사용하여 앱을 생성합니다. Okta는 이 통합 앱을 다음과 같이 설명합니다.

“Okta를 Amazon Web Services (AWS) Identity and Access Management (IAM) 계정에 페더레이션함으로써 최종 사용자는 Okta 자격 증명으로 자신에게 할당된 모든 AWS 역할에 싱글 사인온 방식으로 액세스할 수 있습니다. 각 계정에서 관리자는 AWS 계정 Okta를 신뢰하도록 페더레이션을 설정하고 역할을 구성합니다 AWS . 사용자가 로그인하면 Okta 싱글 로그인 환경에서 자신에게 할당된 역할을 확인할 수 있습니다. AWS AWS 그런 다음 원하는 역할을 선택하여 인증된 세션 기간에 권한을 정의하면 됩니다. AWS 계정 수가 많은 고객이라면 Single AWS Sign-On 앱을 대안으로 확인해 보세요.” () https://www.okta.com/aws/

Okta의 “AWS 계정 페더레이션” 애플리케이션 단축키를 사용하여 Okta 앱을 만들려면

Okta 대시보드에 로그인하십시오. 계정이 없는 경우 이 브랜드를 사용하여 무료 Okta Developer Edition 계정을 만드세요. QuickSight URL 이메일을 활성화했으면 Okta에 로그인하세요.
Okta 웹 사이트의 왼쪽 상단에 있는 <> 개발자 콘솔을 선택한 다음 클래식 UI를 선택합니다.
애플리케이션 추가를 선택하고 앱 추가를 선택합니다.
검색에 aws을(를) 입력하고 검색 결과에서 AWS 계정 페더레이션을 선택합니다.
추가를 선택하여 이 애플리케이션의 인스턴스를 생성합니다.
애플리케이션 라벨에 AWS Account Federation - QuickSight을(를) 입력합니다.
Next(다음)를 선택합니다.
SAML2.0, 기본 릴레이 상태를 입력하려면 를 입력하십시오. https://quicksight.aws.amazon.com

Identity Provider 메타데이터의 컨텍스트(마우스 오른쪽 버튼 클릭) 메뉴를 열고 파일을 저장하도록 선택합니다. 파일 이름을 metadata.xml로 지정합니다. 다음 절차에서 이 파일이 필요합니다.

파일 콘텐츠는 다음과 비슷합니다.


<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" entityID="http://www.okta.com/exkffz2hATwiVft645d5">
    <md:IDPSSODescriptor WantAuthnRequestsSigned="false" protocolSupportEnumeration="urn:oasis:names:tc:SAML:2.0:protocol">
    <md:KeyDescriptor use="signing">
        <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        <ds:X509Data>
            <ds:X509Certificate>
            MIIDpjCCAo6gAwIBAgIGAXVjA82hMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYDVQQGEwJVUzETMBEG 
            . 
            .        (certificate content omitted)
            . 
            QE/6cRdPQ6v/eaFpUL6Asd6q3sBeq+giRG4=
            </ds:X509Certificate>
        </ds:X509Data>
        </ds:KeyInfo>
    </md:KeyDescriptor>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress</md:NameIDFormat>
    <md:NameIDFormat>urn:oasis:names:tc:SAML:2.0:nameid-format:unspecified</md:NameIDFormat>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-1054988.okta.com/app/amazon_aws/exkffz2hATwiVft645d5/sso/saml"/>
    </md:IDPSSODescriptor>
    </md:EntityDescriptor>

XML파일을 저장한 후 Okta 페이지 하단으로 스크롤하여 완료를 선택합니다.
가능하면 이 브라우저 창을 열어 두십시오. 이는 나중에 이 튜토리얼에서 필요합니다.

다음으로 AWS 계정에서 ID 공급자를 생성합니다.

AWS Identity and Access Management () IAM 에서 SAML 제공자를 만들려면

에 AWS Management Console 로그인하고 에서 IAM 콘솔을 엽니다 https://console.aws.amazon.com/iam/.
탐색 창에서 자격 증명 공급자, 공급자 생성을 선택합니다.
다음 설정을 입력합니다.
- 제공자 유형 — SAML목록에서 선택합니다.
- 제공자 이름 - Okta을(를) 입력합니다.
- 메타데이터 문서 - 이전 manifest.xml 절차에서 XML 파일을 업로드합니다.
다음 단계, 생성을 선택합니다.
생성한 IdP를 찾아 선택하여 설정을 확인합니다. 제공자를 기록해 두십시오ARN. 이는 튜토리얼을 완료하는 데 필요합니다.
설정을 사용하여 ID 공급자가 생성되었는지 확인하십시오. 에서 ID 공급자 IAM, Okta (추가한 IdP), 메타데이터 다운로드를 선택합니다. 파일은 최근에 업로드한 파일이어야 합니다.

다음으로 SAML 2.0 페더레이션이 사용자 내에서 신뢰할 수 있는 주체 IAM 역할을 할 수 있도록 역할을 생성합니다. AWS 계정이 단계에서는 Amazon에서 사용자를 프로비저닝할 방법을 선택해야 QuickSight 합니다. 다음 중 하나를 수행할 수 있습니다.

처음 방문하는 사람이 자동으로 QuickSight 사용자가 되도록 IAM 역할에 권한을 부여하십시오.
를 사용하여 QuickSight 사용자를 미리 제공하십시오. QuickSight API 이 옵션을 선택하면 사용자를 프로비저닝하는 동시에 그룹에 추가할 수 있습니다. 자세한 내용은 Amazon에서 그룹 생성 및 관리 QuickSight 단원을 참조하십시오.

신뢰할 수 있는 엔티티로서 SAML 2.0 페더레이션을 위한 IAM 역할 생성하기

에서 AWS Management Console 로그인하고 IAM 콘솔을 엽니다 https://console.aws.amazon.com/iam/.
탐색 창에서 역할, 역할 생성을 선택합니다.
신뢰할 수 있는 엔티티 유형 선택에서 SAML2.0 페더레이션이라는 레이블이 붙은 카드를 선택합니다.
예를 들어 SAML공급자의 경우 이전 절차에서 만든 IdP를 선택합니다. Okta
프로그래밍 및 AWS 관리 콘솔 액세스 허용 옵션을 활성화합니다.
다음: 권한을 선택합니다.

다음 정책을 편집기에 붙여넣습니다.

정책 편집기에서 공급자의 Amazon 리소스 이름 (ARN) JSON 으로 업데이트합니다.


{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": "sts:AssumeRoleWithSAML",
        "Resource": "arn:aws:iam::111111111111:saml-provider/Okta",
        "Condition": {
        "StringEquals": {
            "saml:aud": "https://signin.aws.amazon.com/saml"
        }
        }
    }
    ]
    }

정책 검토를 선택합니다.
이름의 경우, QuicksightOktaFederatedPolicy을(를) 입력한 후 정책 생성을 선택합니다.
정책 생성을 두 번째로 선택합니다. JSON

다음 정책을 편집기에 붙여넣습니다.

정책 편집기에서 AWS 계정 ID를 JSON 사용하여 업데이트합니다. 공급자의 이전 정책에서 사용한 것과 동일한 계정 ID여야 ARN 합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "quicksight:CreateReader"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:quicksight::111111111111:user/${aws:userid}"
            ]
        }
    ]
    }

다음과 같이 에서 AWS 리전 이름을 생략할 수 있습니다. ARN


arn:aws:quicksight::111111111111:user/$${aws:userid}

정책 검토를 선택합니다.
이름의 경우, QuicksightCreateReader을(를) 입력한 후 정책 생성을 선택합니다.
오른쪽에 있는 새로 고침 아이콘을 선택하여 정책 목록을 새로 고칩니다.
검색에 QuicksightOktaFederatedPolicy을(를) 입력합니다. 정책을 선택하여 이것( )을 활성화합니다.

자동 프로비저닝을 사용하지 않으려면 다음 단계를 건너 뛸 수 있습니다.

QuickSight 사용자를 추가하려면 register-user를 사용하십시오. 그룹을 추가하려면 QuickSight 그룹 만들기를 사용합니다. QuickSight 그룹에 사용자를 추가하려면 를 사용합니다. create-group-membership
(선택 사항) 검색에서 QuicksightCreateReader을(를) 입력합니다. 정책을 선택하여 이것( )을 활성화합니다.

를 사용하는 대신 QuickSight 사용자를 자동으로 프로비전하려면 이 단계를 수행하십시오 QuickSight API.

QuicksightCreateReader 정책은 quicksight:CreateReader 작업 사용을 허용하여 자동 프로비저닝을 활성화합니다. 이렇게 하면 처음 사용하는 사용자에게 대시보드 구독자(독자 수준) 액세스 권한이 부여됩니다. QuickSight관리자는 나중에 QuickSight 프로필 메뉴인 관리 QuickSight, 사용자 관리에서 사용자를 업그레이드할 수 있습니다.
IAM정책 또는 정책을 계속 연결하려면 [다음: 태그] 를 선택합니다.
다음: 검토를 선택합니다.
역할 이름에 QuicksightOktaFederatedRole을(를) 입력한 다음 역할 생성을 선택합니다.
다음 단계를 수행하여 이 작업을 성공적으로 완료했는지 확인하십시오.
1. 에서 IAM https://console.aws.amazon.com/iam/콘솔의 기본 페이지로 돌아가십시오. 브라우저의 뒤로 버튼을 사용할 수 있습니다.
2. 역할을 선택합니다.
3. 검색에 Okta를 입력합니다. 검색 QuicksightOktaFederatedRole결과에서 선택합니다.
4. 정책의 요약 페이지에서 권한 탭을 살펴보십시오. 역할에 연결한 정책 또는 정책이 있는지 확인하십시오. QuicksightOktaFederatedPolicy이(가) 있어야 합니다. 사용자 생성 기능을 추가하기로 선택했다면 QuicksightCreateReader을(를) 추가해야 합니다.
5. 아이콘을 사용하여 각 정책을 엽니다. 텍스트가 이 절차에 표시된 내용과 일치하는지 확인하십시오. 예제 계좌 번호 111111111111 대신 자신의 AWS 계정 번호를 추가했는지 다시 확인하세요.
6. 신뢰 관계 탭에서 신뢰할 수 있는 엔티티 필드에 ID 제공자에 대한 정보가 포함되어 있는지 확인합니다. ARN ARNIAM콘솔에서 ID 제공자인 Okta를 열어 다시 한 번 확인할 수 있습니다.

Okta에 대한 액세스 키 생성하기

에 AWS Management Console 로그인하고 에서 IAM 콘솔을 엽니다. https://console.aws.amazon.com/iam/
Okta가 사용자에게 IAM 역할 목록을 표시할 수 있도록 허용하는 정책을 추가하세요. 이렇게 하려면 정책, 정책 생성을 선택합니다.

선택한 JSON후 다음 정책을 입력합니다.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListRoles",
                "iam:ListAccountAliases"
            ],
            "Resource": "*"
        }
    ]
    }

정책 검토를 선택합니다.
이름(Name)에 OktaListRolesPolicy을(를) 입력합니다. 그런 다음 정책 생성을 선택합니다.
Okta에 액세스 키를 제공할 수 있도록 사용자를 추가합니다.

탐색 창에서 사용자를 선택한 다음 사용자 추가를 선택합니다.
다음 설정을 사용합니다.
- 사용자 이름에 OktaSSOUser를 입력합니다.
- 액세스 유형에서 프로그래밍 방식 액세스를 사용하도록 설정합니다.
다음: 권한을 선택합니다.
기존 정책 직접 첨부를 선택합니다.
검색에 OktaListRolesPolicy 를 입력하고 검색 OktaListRolesPolicy결과에서 선택합니다.
Next: Tags(다음: 태그)를 선택한 후 Next: Review(다음: 검토)를 선택합니다.
사용자 생성을 선택합니다. 이제 액세스 키를 가져올 수 있습니다.
.csv 다운로드를 선택하여 키 파일을 다운로드합니다. 이 파일에는 이 화면에 표시되는 것과 동일한 액세스 키 ID 및 보안 액세스 키가 포함되어 있습니다. 하지만 이 정보가 두 번 표시되지 AWS 않으므로 파일을 다운로드해야 합니다.
다음 작업을 수행하여 이 단계를 올바르게 완료했는지 확인하십시오.
1. IAM콘솔을 열고 사용자를 선택합니다. ktaSSOUserO를 검색하고 검색 결과에서 사용자 이름을 선택하여 엽니다.
2. 권한 탭에서 가 첨부되어 OktaListRolesPolicy있는지 확인합니다.
3. 아이콘을 사용하여 정책을 엽니다. 텍스트가 이 절차에 표시된 내용과 일치하는지 확인하십시오.
4. 이미 다운로드한 액세스 키는 안전 보안 인증 정보 탭에서 확인할 수 있습니다. 새 액세스 키가 필요할 때 이 탭으로 돌아가서 액세스 키를 만들 수 있습니다.

다음 절차에서는 Okta로 돌아가 액세스 키를 제공합니다. 액세스 키는 새 보안 설정과 함께 작동하여 Okta IdP가 함께 작동하도록 허용합니다 AWS .

설정이 포함된 Okta 애플리케이션 구성을 마치려면 AWS

Okta 대시보드로 돌아가십시오. 요청을 받으면 로그인하세요. 개발자 콘솔이 더 이상 열려 있지 않으면 관리를 선택하여 다시 여십시오.
Okta를 다시 열어야 하는 경우 다음 단계에 따라 이 섹션으로 돌아갈 수 있습니다.
1. Okta에 로그인하십시오. [Applications]를 선택합니다.
2. 이 자습서의 시작 부분에서 만든 QuickSight 애플리케이션인 AWS 계정 페더레이션 - 을 선택합니다.
3. 일반 및 모바일 사이에서 로그온 탭을 선택합니다.
고급 사인온 설정으로 스크롤합니다.
ID 공급자 ARN (SAMLIAM페더레이션에만 필요) 의 경우 이전 절차의 ARN 공급자를 입력합니다. 예를 들면 다음과 같습니다.
```
arn:aws:iam::111122223333:saml-provider/Okta
```
완료 또는 저장을 선택합니다. 버튼 이름은 애플리케이션을 생성하는지 또는 편집하는지에 따라 달라집니다.
프로비전 탭을 선택하고 탭 하단에서 API통합 구성을 선택합니다.
API통합 활성화를 켜서 설정을 표시합니다.
액세스 키 및 보안 암호 키의 경우 이전에 다운로드한 액세스 키와 보안 암호 키를 이름이 OktaSSOUser_credentials.csv(으)로 지정된 파일에 제공하십시오
테스트 API 자격 증명을 선택합니다. AWS 계정 페더레이션이 성공적으로 확인되었음을 확인하는 메시지는 API통합 활성화 설정 위에서 확인하십시오.
저장(Save)을 선택합니다.
왼쪽에 앱으로가 강조 표시되어 있는지 확인하고 오른쪽에서 편집을 선택합니다.
사용자 생성에서 활성화 옵션을 켜십시오.
저장(Save)을 선택합니다.
할당 탭의 프로비저닝 및 가져오기 근처에서 할당을 선택합니다.
페더레이션 액세스를 활성화하려면 다음 중 하나 이상을 수행하십시오.
- 개별 사용자와 함께 작업하려면 사용자에게 할당을 선택합니다.
- IAM그룹과 함께 작업하려면 그룹에 할당을 선택합니다. 특정 IAM 그룹 또는 모든 사용자 (조직 내 모든 사용자) 를 선택할 수 있습니다.
각 IAM 사용자 또는 그룹에 대해 다음을 수행하십시오.
1. 할당, 역할을 선택합니다.
2. IAM역할 QuicksightOktaFederatedRole목록에서 선택합니다.
3. SAML사용자 역할의 경우 QuicksightOktaFederatedRole활성화하십시오.
저장 후 뒤로 이동을 선택한 다음 완료를 선택합니다.
왼쪽의 사람 또는 그룹 필터를 선택하고 입력한 사용자 또는 그룹을 확인하여 이 단계를 올바르게 완료했는지 확인하십시오. 생성한 역할이 목록에 표시되지 않아 이 프로세스를 완료할 수 없는 경우 이전 절차로 돌아가 설정을 확인하십시오.

QuickSight Okta를 사용하여 로그인하려면 (IdP에서 서비스 제공업체 로그인까지)

Okta 관리자 계정을 사용하는 경우 사용자 모드로 전환하세요.
페더레이션 액세스 권한이 부여된 사용자로 Okta 애플리케이션 대시보드에 로그인하십시오. 레이블이 붙은 새 애플리케이션 (예: AWS 계정 페더레이션 -) 이 표시되어야 합니다. QuickSight
애플리케이션 아이콘을 선택하여 AWS 계정 페더레이션 -을 시작합니다 QuickSight.

이제 Okta를 사용하여 ID를 관리하고 Amazon의 페더레이션 액세스를 사용할 수 있습니다. QuickSight

다음 절차는 이 튜토리얼 중 선택 사항입니다. 해당 단계를 따르면 사용자를 QuickSight 대신하여 승인 요청을 IdP에 전달할 수 있는 권한을 부여합니다. 이 방법을 사용하면 사용자는 먼저 IdP 페이지를 사용하여 로그인할 필요 없이 로그인할 수 있습니다. QuickSight

(선택 사항) Okta에 인증 요청을 보내도록 QuickSight 설정하려면

QuickSight를 열고 프로필 QuickSight 메뉴에서 관리를 선택합니다.
탐색 창에서 싱글 사인온 (IAM페더레이션) 을 선택합니다.
구성, URLIdP에 사용자 인증을 위해 IdP가 제공하는 URL 것을 입력합니다 (예: https://dev -1-----0.okta.com/home/amazon_aws/0oabababababaGQei5d5/282. Okta 앱 페이지의 일반 탭에 있는 임베드 링크에서 찾을 수 있습니다.
IdP의 URL 경우 를 입력합니다. RelayState
다음 중 하나를 수행합니다.
- ID 공급자를 통한 로그인을 먼저 테스트하려면 IdP부터 시작하여 테스트에 URL 제공된 사용자 지정을 사용하세요. 시작 페이지 (예: https://quicksight.aws.amazon.com/sn/ 시작) 에 도착해야 합니다. QuickSight
- QuickSight First로 로그인을 테스트하려면 end-to-end 환경 테스트에 URL 제공된 사용자 지정을 사용하세요. enable-sso매개변수가 에 URL 추가됩니다. enable-sso=1인 경우 IAM 페더레이션은 인증을 시도합니다. enable-sso=0가 인증 요청을 보내지 QuickSight 않고 이전과 QuickSight 같이 로그인하는 경우
상태에서 켜기를 선택합니다.
설정을 유지하려면 저장을 선택합니다.

대시보드에 대한 딥 링크를 생성하여 사용자가 IAM 페더레이션을 사용하여 특정 QuickSight 대시보드에 직접 연결할 수 있도록 할 수 있습니다. 이렇게 하려면 다음 설명과 같이 릴레이 상태 플래그와 대시보드를 URL Okta Single Sign-On에 URL 추가합니다.

SSO (Single Sign-On) 용 대시보드로 연결되는 딥 링크를 만들려면 QuickSight

자습서 시작 부분에서 다운로드한 metadata.xml 파일에서 Okta 애플리케이션의 Single Sign-On (IAM페더레이션) URL 을 찾으세요. 파일 하단의 URL 이름이 지정된 요소에서 찾을 수 있습니다. md:SingleSignOnService 다음 예제에서와 같이 속성의 Location(이)라는 이름이 지정되고 값이 /sso/saml(으)로 끝납니다.
```
<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="https://dev-0000001.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml"/>
```
IAMURL페더레이션의 값을 가져와서 URL QuickSight 대시보드의 이름을 ?RelayState= 그 뒤에 추가합니다. RelayState파라미터는 사용자가 인증으로 리디렉션되었을 때의 상태 (URL) 를 전달합니다. URL

릴레이 상태가 IAM 추가된 새 페더레이션에 대시보드를 추가합니다URL. QuickSight 결과는 URL 다음과 비슷해야 합니다.


https://dev-1-----0.okta.com/app/amazon_aws/abcdef2hATwiVft645d5/sso/saml?RelayState=https://us-west-2.quicksight.aws.amazon.com/sn/analyses/12a12a2a-121a-212a-121a-abcd12abc1ab

만든 링크가 열리지 않는 경우 URL 에서 가장 최근에 만든 IAM 페더레이션을 사용하고 있는지 확인하십시오. metadata.xml 또한 로그인하는 데 사용하는 사용자 이름이 둘 이상의 IAM 페더레이션 Okta 앱에 할당되지 않았는지도 확인하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

QuickSight IAM페더레이션 설정 (SP에서 IdP로)

이메일 동기화 구성