싱글 사인온 (SSO) 을 위한 ID 공급자 구성

연구 및 엔지니어링 스튜디오는 모든 SAML 2.0 ID 공급자와 통합하여 RES 포털에 대한 사용자 액세스를 인증합니다. 이 단계는 선택한 SAML 2.0 ID 공급자와 통합하기 위한 지침을 제공합니다. IAM ID 센터를 사용하려는 경우 을 참조하십시오. 아이덴티티 센터를 통한 싱글 사인온 (SSO) 설정 IAM

참고

사용자의 이메일은 IDP SAML 어설션과 액티브 디렉터리에서 일치해야 합니다. ID 공급자를 Active Directory에 연결하고 정기적으로 사용자를 동기화해야 합니다.

ID 공급자를 구성하십시오.

이 섹션에서는 RES Amazon Cognito 사용자 풀의 정보를 사용하여 자격 증명 공급자를 구성하는 단계를 제공합니다.

1. RES는 RES 포털 및 프로젝트에 액세스할 수 있는 사용자 ID가 포함된 AD (AWS 관리형 AD 또는 자체 프로비저닝 AD) 가 있다고 가정합니다. AD를 ID 서비스 공급자에 연결하고 사용자 ID를 동기화합니다. ID 제공업체의 설명서를 확인하여 AD를 연결하고 사용자 ID를 동기화하는 방법을 알아보세요. 예를 들어 사용 설명서의 Active Directory를 ID 소스로 사용을 참조하십시오.AWS IAM Identity Center

2. ID 공급자 (IdP) 에서 RES용 SAML 2.0 애플리케이션을 구성합니다. 이 구성에는 다음과 같은 매개변수가 필요합니다.

   • SAML 리디렉션 URL — IdP가 서비스 공급자에게 SAML 2.0 응답을 보내는 데 사용하는 URL입니다.

     참고

     IdP에 따라 SAML 리디렉션 URL의 이름이 다를 수 있습니다.

     • 애플리케이션 URL

     • 어설션 컨슈머 서비스 (ACS) URL

     • ACS POST 바인딩 URL

     URL을 가져오려면

     1. 관리자 또는 클러스터 관리자로 RES에 로그인합니다.

     2. 환경 관리 ⇒ 일반 설정 ⇒ ID 제공자로 이동합니다.

     3. SAML 리디렉션 URL을 선택합니다.

      

   • SAML 오디언스 URI — 서비스 제공자 측 SAML 오디언스 엔티티의 고유 ID입니다.

     참고

     IdP에 따라 SAML 오디언스 URI의 이름이 다를 수 있습니다.

     • ClientID

     • 애플리케이션 SAML 오디언스

     • SP 개체 ID

     다음 형식으로 입력을 제공합니다.

     urn:amazon:cognito:sp:user-pool-id

     SAML 오디언스 URI를 찾으려면

     1. 관리자 또는 클러스터 관리자로 RES에 로그인합니다.

     2. 환경 관리 ⇒ 일반 설정 ⇒ ID 제공자로 이동합니다.

     3. 사용자 풀 ID를 선택합니다.

3. RES에 게시된 SAML 어설션에는 사용자의 이메일 주소로 다음 필드/클레임이 설정되어 있어야 합니다.

   • SAML 제목 또는 네임ID

   • SAML 이메일

4. IdP는 구성에 따라 SAML 어설션에 필드/클레임을 추가합니다. RES에는 다음 필드가 필요합니다. 대부분의 공급자는 기본적으로 이 필드를 자동으로 채웁니다. 구성해야 하는 경우 다음 필드 입력 및 값을 참조하십시오.

   • AudienceRestriction— 로 설정합니다urn:amazon:cognito:sp:user-pool-id. Amazon Cognito 사용자 풀의 user-pool-idID로 바꾸십시오.

     <saml:AudienceRestriction>
         <saml:Audience> urn:amazon:cognito:sp:user-pool-id
     </saml:AudienceRestriction>
     

   • 응답 — InResponseTo 로 설정합니다. https://user-pool-domain/saml2/idpresponse Amazon Cognito 사용자 풀의 도메인 user-pool-domain이름으로 바꾸십시오.

     <saml2p:Response 
       Destination="http://user-pool-domain/saml2/idpresponse"
       ID="id123" 
       InResponseTo="_dd0a3436-bc64-4679-a0c2-cb4454f04184" 
       IssueInstant="Date-time stamp" 
       Version="2.0" 
       xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" 
       xmlns:xs="http://www.w3.org/2001/XMLSchema">  
     

   • SubjectConfirmationData— 사용자 풀 saml2/idpresponse 엔드포인트와 원래 SAML 요청 Recipient InResponseTo ID로 설정합니다.

     <saml2:SubjectConfirmationData 
       InResponseTo="_dd0a3436-bc64-4679-a0c2-cb4454f04184" 
       NotOnOrAfter="Date-time stamp" 
       Recipient="https://user-pool-domain/saml2/idpresponse"/>
     

   • AuthnStatement— 다음과 같이 구성합니다.

     <saml2:AuthnStatement AuthnInstant="2016-10-30T13:13:28.152TZ"
       SessionIndex="32413b2e54db89c764fb96ya2k" SessionNotOnOrAfter="2016-10-30T13:13:28">
         <saml2:SubjectLocality />
         <saml2:AuthnContext>
             <saml2:AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</saml2:AuthnContextClassRef>
         </saml2:AuthnContext>
     </saml2:AuthnStatement>
     

5. SAML 애플리케이션에 로그아웃 URL 필드가 있는 경우 이 필드를 다음과 같이 설정합니다. <domain-url>/saml2/logout

    

   도메인 URL을 가져오려면

   1. 관리자 또는 클러스터 관리자로 RES에 로그인합니다.

   2. 환경 관리 ⇒ 일반 설정 ⇒ ID 제공자로 이동합니다.

   3. 도메인 URL을 선택합니다.

6. IdP가 Amazon Cognito와의 신뢰를 구축하기 위한 서명 인증서를 수락하는 경우 Amazon Cognito 서명 인증서를 다운로드하여 IdP에 업로드하십시오.

    

   서명 인증서를 받으려면

   1. 시작하기 섹션에서 Amazon Cognito 콘솔을 엽니다. AWS Management Console

   2. 사용자 풀을 선택합니다. 사용자 풀은 다음과 같아야 res-<environment name>-user-pool 합니다.

   3. [로그인 환경(Sign-in experience)] 탭을 선택합니다.

   4. 페더레이션 ID 제공자 로그인 섹션에서 서명 인증서 보기를 선택합니다.

      

      이 인증서를 사용하여 Active Directory IDP를 설정하고, 추가하고, 이 신뢰 당사자에 대한 SAML 지원을 활성화할 수 있습니다. relying party trust

      참고

      이는 키클로크 및 IDC에는 적용되지 않습니다.

   5. 애플리케이션 설정이 완료되면 SAML 2.0 애플리케이션 메타데이터 XML 또는 URL을 다운로드합니다. 다음 섹션에서 사용할 수 있습니다.

ID 공급자를 사용하도록 RES를 구성하십시오.

RES용 싱글 사인온 설정을 완료하려면

1. 관리자 또는 클러스터 관리자로 RES에 로그인합니다.

2. 환경 관리 ⇒ 일반 설정 ⇒ ID 제공자로 이동합니다.

   

3. SSO (Single Sign-On) 에서 상태 표시기 옆에 있는 편집 아이콘을 선택하여 SSO (Single Sign-On) 구성 페이지를 엽니다.

   

   1. ID 공급자의 경우 SAML을 선택합니다.

   2. 제공자 이름에는 ID 제공자의 고유한 이름을 입력합니다.

      참고

      다음 이름은 허용되지 않습니다.

      • Cognito

      • IdentityCenter

   3. 메타데이터 문서 소스에서 적절한 옵션을 선택하고 메타데이터 XML 문서를 업로드하거나 ID 제공자의 URL을 제공합니다.

   4. 제공자 이메일 속성에 텍스트 값을 입력합니다email.

   5. 제출을 선택합니다.

4. 환경 설정 페이지를 다시 로드하십시오. 구성이 올바르면 SSO (Single Sign-On) 가 활성화됩니다.

비프로덕션 환경에서 ID 제공자 구성

제공된 외부 리소스를 사용하여 비프로덕션 RES 환경을 만들고 IAM Identity Center를 ID 공급자로 구성한 경우 Okta와 같은 다른 ID 공급자를 구성하는 것이 좋습니다. RES SSO 활성화 양식에서는 다음과 같은 세 가지 구성 매개변수를 요청합니다.

1. 제공자 이름 - 수정할 수 없음

2. 메타데이터 문서 또는 URL — 수정 가능

3. 제공자 이메일 속성 — 수정 가능

메타데이터 문서 및 제공자 이메일 속성을 수정하려면 다음과 같이 하십시오.

1. Amazon Cognito 콘솔로 이동합니다.

2. 탐색에서 사용자 풀을 선택합니다.

3. 사용자 풀을 선택하면 사용자 풀 개요를 볼 수 있습니다.

4. 로그인 경험 탭에서 페더레이션 ID 제공자 로그인으로 이동하여 구성된 ID 공급자를 엽니다.

5. 일반적으로 메타데이터만 변경하고 속성 매핑은 변경하지 않고 그대로 두면 됩니다. 속성 매핑을 업데이트하려면 편집을 선택합니다. 메타데이터 문서를 업데이트하려면 메타데이터 바꾸기를 선택합니다.

   

6. 속성 매핑을 편집한 경우 DynamoDB에서 <environment name>.cluster-settings 테이블을 업데이트해야 합니다.

   1. DynamoDB 콘솔을 열고 탐색에서 테이블을 선택합니다.

   2. <environment name>.cluster-settings테이블을 찾아 선택한 다음 작업 메뉴에서 항목 탐색을 선택합니다.

   3. 스캔 또는 쿼리 항목에서 필터로 이동하여 다음 매개 변수를 입력합니다.

      • 속성 이름 — key

      • 값 — identity-provider.cognito.sso_idp_provider_email_attribute

   4. Run(실행)을 선택합니다.

7. 반품된 항목에서 identity-provider.cognito.sso_idp_provider_email_attribute 문자열을 찾은 다음 편집을 선택하여 Amazon Cognito의 변경 사항에 맞게 문자열을 수정합니다.

   

SAML IdP 문제 디버깅

SAML 추적기 — Chrome 브라우저용 이 확장 프로그램을 사용하여 SAML 요청을 추적하고 SAML 어설션 값을 확인할 수 있습니다. 자세한 내용은 Chrome 웹 스토어의 SAML-트레이서를 참조하십시오.

SAML 개발자 도구 - SAML로 인코딩된 값을 디코딩하고 SAML 어설션의 필수 필드를 확인하는 데 사용할 수 있는 도구를 OneLogin 제공합니다. 자세한 내용은 웹 사이트의 Base 64 디코드 + 팽창을 참조하십시오. OneLogin

Amazon CloudWatch Logs — 로그에서 RES CloudWatch 로그에서 오류나 경고를 확인할 수 있습니다. 로그는 이름 형식의 로그 그룹에 있습니다res-environment-name/cluster-manager.

Amazon Cognito 설명서 — Amazon Cognito와의 SAML 통합에 대한 자세한 내용은 Amazon Cognito 개발자 안내서의 사용자 풀에 SAML 자격 증명 공급자 추가를 참조하십시오.