ID 소스 변경 시 고려 사항

ID 소스는 언제든지 변경할 수 있지만, 이러한 변경이 현재 배포에 어떤 영향을 미칠 수 있는지 고려하는 것이 좋습니다.

이미 하나의 ID 소스에서 사용자 및 그룹을 관리하고 있는 경우, 다른 ID 소스로 변경하면 IAM Identity Center에서 구성한 모든 사용자 및 그룹 할당이 제거될 수 있습니다. 이 경우 IAM Identity Center의 관리자를 포함한 모든 사용자는 자신과 애플리케이션에 대한 Single Sign-On 액세스 권한을 AWS 계정 잃게 됩니다.

IAM Identity Center의 ID 소스를 변경하기 전에 다음 고려 사항을 검토한 후 진행하세요. ID 소스 변경을 계속 진행하려면 ID 소스 변경에서 자세한 내용을 확인하세요.

IAM Identity Center와 Active Directory 간 변경

이미 Active Directory에서 사용자와 그룹을 관리하고 있다면 IAM Identity Center를 활성화하고 ID 소스를 선택할 때 디렉터리 연결을 고려하는 것이 좋습니다. 기본 Identity Center 디렉터리에 사용자 및 그룹을 생성하고 할당하기 전에 먼저 이 작업을 수행합니다.

기본 Identity Center 디렉터리에서 이미 사용자 및 그룹을 관리하고 있다면 다음 사항을 고려합니다.

• 할당 제거 및 사용자 및 그룹 삭제 - ID 소스를 Active Directory로 변경하면 Identity Center 디렉터리에서 사용자 및 그룹이 삭제됩니다. 이 변경 사항으로 인해 할당도 제거됩니다. 이 경우 Active Directory로 변경한 후에는 Active Directory의 사용자 및 그룹을 Identity Center 디렉터리로 동기화한 다음 할당을 다시 적용해야 합니다.

  Active Directory를 사용하지 않는 경우 Identity Center 디렉터리에 사용자 및 그룹을 만든 다음 할당해야 합니다.

• ID가 삭제되어도 할당은 삭제되지 않음 – Identity Center 디렉터리에서 ID를 삭제하면 IAM Identity Center에서도 해당 할당이 삭제됩니다. 하지만 Active Directory에서는 ID가 삭제해도(Active Directory 또는 동기화된 ID에서) 해당 할당은 삭제되지 않습니다.

• API에 대한 아웃바운드 동기화 없음 - AActive Directory를 ID 소스로 사용하는 경우에는 생성, 업데이트 및 삭제 API를 주의해서 사용하는 것이 좋습니다. IAM Identity Center는 아웃바운드 동기화를 지원하지 않으므로 이러한 API를 사용하여 사용자 또는 그룹을 변경해도 이에 따라 ID 소스가 자동으로 업데이트되지 않습니다.

• 액세스 포털 URL 변경 — IAM ID 센터와 Active Directory 간에 ID 소스를 변경하면 액세스 포털의 URL도 변경됩니다. AWS

IAM Identity Center에서 사용자 및 그룹을 프로비저닝하는 방법에 대한 자세한 내용은 Microsoft AD 디렉터리에 연결을 참조하세요.

IAM Identity Center에서 외부 IdP로 변경

ID 소스를 IAM Identity Center에서 외부 ID 제공업체(idP)로 변경하는 경우 다음 사항을 고려합니다.

• 과제 및 멤버십은 올바른 어설션으로 작동합니다. 새 IdP가 올바른 어설션 (예: SAML NameID) 을 보내는 한 사용자 할당, 그룹 할당, 그룹 멤버십은 계속 작동합니다. 이러한 어설션은 IAM Identity Center의 사용자 이름 및 그룹과 일치해야 합니다.

• 아웃바운드 동기화 없음 — IAM Identity Center는 아웃바운드 동기화를 지원하지 않으므로 IAM Identity Center에서 사용자 및 그룹을 변경해도 외부 IdP가 자동으로 업데이트되지 않습니다.

• SCIM 프로비저닝 — SCIM 프로비저닝을 사용하는 경우 ID 제공자의 사용자 및 그룹에 대한 변경 사항은 ID 제공자가 해당 변경 사항을 IAM Identity Center로 전송한 후에만 IAM Identity Center에 반영됩니다. 자동 프로비저닝을 사용할 때 고려 사항 섹션을 참조하십시오.

• 롤백 — 언제든지 ID 소스를 다시 IAM Identity Center를 사용하도록 되돌릴 수 있습니다. 외부 IdP에서 IAM Identity Center로 변경 섹션을 참조하십시오.

IAM Identity Center에서 사용자 및 그룹을 프로비저닝하는 방법에 대한 자세한 내용은 외부 ID 제공업체에 연결을 참조하세요.

외부 IdP에서 IAM Identity Center로 변경

ID 소스를 외부 ID 제공업체(idP)에서 IAM Identity Center로 변경하는 경우 다음 사항을 고려합니다.

• IAM Identity Center는 모든 할당을 그대로 유지합니다.

• 비밀번호 강제 재설정 - IAM Identity Center에 비밀번호를 설정한 사용자는 이전 비밀번호로 계속 로그인할 수 있습니다. 외부 IdP에 있고 IAM Identity Center에 있지 않은 사용자 관리자가 비밀번호를 강제로 재설정해야 합니다.

IAM Identity Center에서 사용자 및 그룹을 프로비저닝하는 방법에 대한 자세한 내용은 IAM Identity Center에서 ID 관리을 참조하세요.

하나의 외부 IdP에서 다른 외부 IdP로 변경

이미 외부 IdP를 IAM Identity Center의 ID 소스로 사용 중이고 다른 외부 IdP로 변경하는 경우 다음 사항을 고려합니다.

• 할당 및 멤버십은 올바른 어설션으로 작동 – IAM Identity Center는 모든 할당을 그대로 유지합니다. 사용자 할당, 그룹 할당 및 그룹 멤버십은 새 IdP가 올바른 어설션(예: SAML nameIDs)을 보내는 한 계속 작동합니다.

  이러한 어설션은 사용자가 새 외부 IdP를 통해 인증할 때 IAM Identity Center의 사용자 이름과 일치해야 합니다.

• SCIM 프로비저닝 – SCIM을 사용하여 IAM Identity Center에 프로비저닝하는 경우, 이 가이드의 IdP 관련 정보 및 IdP에서 제공한 설명서를 읽고, SCIM이 활성화되었을 때 새 제공업체가 사용자와 그룹을 올바르게 매칭하는지 확인하는 것이 좋습니다.

IAM Identity Center에서 사용자 및 그룹을 프로비저닝하는 방법에 대한 자세한 내용은 외부 ID 제공업체에 연결을 참조하세요.

Active Directory와 외부 IdP 간 변경

ID 소스를 외부 IdP에서 Active Directory로 또는 Active Directory에서 외부 IdP로 변경하는 경우 다음 사항을 고려합니다.

• 사용자, 그룹 및 할당이 삭제됨 - 모든 사용자, 그룹 및 할당이 IAM Identity Center에서 삭제됩니다. 외부 IdP 또는 Active Directory의 사용자 또는 그룹 정보에는 영향을 미치지 않습니다.

• 사용자 프로비저닝 - 외부 IdP로 변경하는 경우 사용자를 프로비저닝하도록 IAM Identity Center를 구성해야 합니다. 또는 외부 IdP에 대한 사용자 및 그룹을 수동으로 프로비저닝한 후에야 할당을 구성할 수 있습니다.

• 할당 및 그룹 생성 - Active Directory로 변경하는 경우 Active Directory의 디렉터리에 있는 사용자 및 그룹으로 할당을 생성해야 합니다.

IAM Identity Center에서 사용자 및 그룹을 프로비저닝하는 방법에 대한 자세한 내용은 Microsoft AD 디렉터리에 연결을 참조하세요.