신뢰할 수 있는 ID 전파에 대해 고객 관리형 OAuth 2.0 애플리케이션 설정

신뢰할 수 있는 ID 전파에 대해 고객 관리형 OAuth 2.0 애플리케이션을 설정하려면 먼저 IAM Identity Center에 추가해야 합니다. 다음 절차를 사용하여 애플리케이션을 IAM Identity Center에 연결합니다.

1단계: 애플리케이션 유형 선택

1. IAM Identity Center 콘솔을 엽니다.

2. [Applications]를 선택합니다.

3. 고객 관리형 탭을 선택합니다.

4. 애플리케이션 추가를 선택합니다.

5. 애플리케이션 유형 선택 페이지의 설정 기본 설정에서 설정하고자 하는 애플리케이션이 있습니다를 선택합니다.

6. 애플리케이션 유형에서 OAuth 2.0을 선택합니다.

7. 다음을 선택하여 다음 페이지(2단계: 애플리케이션 세부 정보 지정)로 이동합니다.

2단계: 애플리케이션 세부 정보 지정

1. 애플리케이션 세부 정보 지정 페이지의 애플리케이션 이름 및 설명에서 MyApp과 같이 애플리케이션의 표시 이름을 입력합니다. 그런 다음 설명을 입력합니다.

2. 사용자 및 그룹 할당 방법에서 다음 옵션 중 하나를 선택합니다.

   • 할당 필요 - 이 애플리케이션에 할당된 IAM Identity Center 사용자 및 그룹만 애플리케이션에 액세스할 수 있도록 허용합니다.

     애플리케이션 타일 가시성 - 애플리케이션에 직접 또는 그룹 할당을 통해 할당된 사용자만 AWS 액세스 포털의 애플리케이션 가시성이 표시로 설정된 경우 AWS 액세스 포털에서 애플리케이션 타일을 볼 수 있습니다.

   • 할당 불필요 - 모든 권한 부여된 IAM Identity Center 사용자 및 그룹이 이 애플리케이션에 액세스할 수 있도록 허용합니다.

     애플리케이션 타일 가시성 - 애플리케이션 타일은 AWS 액세스 포털에 로그인하는 모든 사용자에게 표시됩니다. 단, AWS 액세스 포털의 애플리케이션 가시성이 표시되지 않음으로 설정된 경우는 예외입니다.

3. AWS 액세스 포털에서 사용자가 애플리케이션에 액세스할 수 있는 URL을 입력하고 애플리케이션 타일이 AWS 액세스 포털에 표시되는지 여부를 지정합니다. 표시되지 않음을 선택하면 할당된 사용자도 애플리케이션 타일을 볼 수 없습니다.

4. 태그(선택 사항)에서 새 태그 추가를 선택한 다음 키 및 값(선택 사항) 의 값을 지정합니다.

   태그에 대한 자세한 내용은 AWS IAM Identity Center 리소스 태그 지정 섹션을 참조하세요.

5. 다음을 선택하고, 다음 페이지(3단계: 인증 설정 지정)로 이동합니다.

3단계: 인증 설정 지정

OAuth 2.0을 지원하는 고객 관리형 애플리케이션을 IAM Identity Center에 추가하려면 신뢰할 수 있는 토큰 발급자를 지정해야 합니다. 신뢰할 수 있는 토큰 발급자는 서명된 토큰을 생성하는 OAuth 2.0 권한 부여 서버입니다. 이러한 토큰은 AWS 관리형 애플리케이션(수신 애플리케이션)에 대한 액세스 요청을 시작하는 애플리케이션(요청 애플리케이션)에 권한을 부여합니다.

1. 인증 설정 지정 페이지의 신뢰할 수 있는 토큰 발급자에서 다음 중 하나를 수행합니다.

   • 기존의 신뢰할 수 있는 토큰 발급자 사용:

     사용할 신뢰할 수 있는 토큰 발급자의 이름 옆에 있는 확인란을 선택합니다.

   • 새 신뢰할 수 있는 토큰 발급자 추가:

     1. 신뢰할 수 있는 토큰 발급자 생성을 선택합니다.

     2. 새 브라우저 탭이 열립니다. IAM Identity Center 콘솔에 신뢰할 수 있는 토큰 발급자를 추가하는 방법에서 5~8단계를 따릅니다.

     3. 이 단계를 완료한 후 애플리케이션 설정에 사용 중인 브라우저 창으로 돌아가서 방금 추가한 신뢰할 수 있는 토큰 발급자를 선택합니다.

     4. 신뢰할 수 있는 토큰 발급자 목록에서 방금 추가한 신뢰할 수 있는 토큰 발급자 이름 옆에 있는 확인란을 선택합니다.

        신뢰할 수 있는 토큰 발급자를 선택하면 선택한 신뢰할 수 있는 토큰 발급자 구성 섹션이 표시됩니다.

2. 선택한 신뢰할 수 있는 토큰 발급자 구성에서 Aud claim을 입력합니다. Aud claim은 신뢰할 수 있는 토큰 발급자가 생성한 토큰의 대상(수신자)을 식별합니다. 자세한 내용은 aud 클레임 섹션을 참조하세요.

3. 사용자가 이 애플리케이션을 사용할 때 다시 인증할 필요가 없도록 하려면 새로 고침 토큰 권한 부여 활성화를 선택합니다. 이 옵션을 선택하면 세션이 만료되거나 사용자가 세션을 종료할 때까지 60분마다 세션의 액세스 토큰이 새로 고쳐집니다.

4. 다음을 선택하고, 다음 페이지(4단계: 애플리케이션 보안 인증 정보 지정)로 이동합니다.

4단계: 애플리케이션 보안 인증 정보 지정

이 절차의 단계를 완료하여 애플리케이션이 신뢰할 수 있는 애플리케이션과의 토큰 교환 작업을 수행하는 데 사용하는 보안 인증 정보를 지정합니다. 이러한 보안 인증 정보는 리소스 기반 정책에서 사용됩니다. 정책을 사용하려면 정책에 지정된 작업을 수행할 권한이 있는 보안 주체를 지정해야 합니다. 신뢰할 수 있는 애플리케이션이 동일한 AWS 계정에 있더라도 보안 주체를 지정해야 합니다.

참고

정책을 사용하여 권한을 설정하는 경우 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 최소 권한으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다.

이 정책에는 sso-oauth:CreateTokenWithIAM 작업이 필요합니다.

1. 애플리케이션 보안 인증 정보 지정 페이지에서 다음 중 하나를 수행합니다.

   • 하나 이상의 IAM 역할을 빠르게 지정:

     1. 하나 이상의 IAM 역할 입력을 선택합니다.

     2. IAM 역할 입력에서 기존 IAM 역할의 Amazon 리소스 이름(ARN)을 지정합니다. ARN을 지정하려면 다음 구문을 사용합니다. IAM 리소스가 글로벌이기 때문에 ARN의 리전 부분은 공백입니다.

          arn:aws:iam::account:role/role-name-with-path

        자세한 내용은 AWS Identity and Access Management 사용 설명서의 리소스 기반 정책을 사용한 크로스 계정 액세스 및 IAM ARN을 참조하세요.

   • 정책을 수동으로 편집하려면(비AWS 자격 증명을 지정하는 경우 필수):

     1. 애플리케이션 정책 편집을 선택합니다.

     2. JSON 텍스트 상자에 입력하거나 붙여 넣어 정책을 수정합니다.

     3. 정책 검증 동안 생성된 모든 보안 경고, 오류 또는 일반 경고를 해결합니다. 자세한 내용은 AWS Identity and Access Management 사용 설명서의 IAM 정책 검증을 참조하세요.

2. 다음을 선택하고, 다음 페이지(5단계: 검토 및 구성)로 이동합니다.

5단계: 검토 및 구성

1. 검토 및 구성 페이지에서 선택한 항목을 검토합니다. 변경하려면 원하는 구성 섹션을 선택하고 편집을 선택한 다음 필요한 사항을 변경합니다.

2. 완료되면 애플리케이션 추가를 선택합니다.

3. 추가한 애플리케이션이 고객 관리형 애플리케이션 목록에 표시됩니다.

4. IAM Identity Center에서 고객 관리형 애플리케이션을 설정한 후에는 자격 증명 전파를 위해 하나 이상의 AWS 서비스또는 신뢰할 수 있는 애플리케이션을 지정해야 합니다. 이를 통해 사용자는 고객 관리형 애플리케이션에 로그인하고 신뢰할 수 있는 애플리케이션의 데이터에 액세스할 수 있습니다.

   자세한 내용은 신뢰할 수 있는 애플리케이션 지정 섹션을 참조하세요.