자동 프로비저닝 - AWS IAM Identity Center
자동 프로비저닝을 사용할 때 고려 사항액세스 토큰 만료를 모니터링하는 방법자동 프로비저닝을 활성화하는 방법자동 프로비저닝을 비활성화하는 방법새 액세스 토큰을 생성하는 방법액세스 토큰 삭제 방법액세스 토큰 교체 방법

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자동 프로비저닝

IAM Identity Center는 도메인 간 ID 관리 시스템(SCIM) v2.0 프로토콜을 사용하여 ID 제공업체(idP)의 사용자 및 그룹 정보를 IAM Identity Center로 자동 프로비저닝(동기화)할 수 있도록 지원합니다. SCIM 동기화를 구성할 때 ID 제공업체(idP) 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이로 인해 IAM Identity Center와 IdP 간에 예상 속성이 일치하게 됩니다. IAM Identity Center의 SCIM 엔드포인트와 IAM Identity Center에서 생성한 베어러 토큰을 사용하여 IdP에서 이 연결을 구성합니다.

자동 프로비저닝을 사용할 때 고려 사항

SCIM 배포를 시작하기 전에 먼저 IAM Identity Center와의 작동 방식에 대한 다음과 같은 중요한 고려 사항을 검토하는 것이 좋습니다. 추가 프로비저닝 고려 사항은 해당 IdP에 시작하기 튜토리얼 해당하는 사항을 참조하십시오.

  • 기본 이메일 주소를 프로비저닝하는 경우 이 속성 값은 각 사용자마다 고유해야 합니다. 일부의 IdPs 경우 기본 이메일 주소가 실제 이메일 주소가 아닐 수도 있습니다. 예를 들어 이메일처럼 보이는 범용 사용자 이름(UPN)일 수 있습니다. 여기에는 사용자의 실제 이메일 주소가 포함된 보조 또는 “기타” 이메일 주소가 IdPs 있을 수 있습니다. IdP에서 NULL이 아닌 고유 이메일 주소를 IAM Identity Center 기본 이메일 주소 속성에 매핑하도록 SCIM을 구성해야 합니다. 그리고 NULL이 아닌 사용자의 고유 로그인 속성을 IAM Identity Center 사용자 이름 속성에 매핑해야 합니다. IdP에 로그인 속성과 사용자 이메일 이름을 모두 포함하는 단일 값이 있는지 확인합니다. 그렇다면 해당 IdP 필드를 IAM Identity Center 기본 이메일과 IAM Identity Center 사용자 이름 모두에 매핑할 수 있습니다.

  • SCIM 동기화가 작동하려면 모든 사용자에게 이름, , 사용자 이름디스플레이 이름 값을 지정해야 합니다. 사용자에게 이러한 값이 하나라도 없으면 해당 사용자는 프로비저닝되지 않습니다.

  • 타사 애플리케이션을 사용해야 하는 경우 먼저 아웃바운드 SAML 주체 속성을 사용자 이름 속성에 매핑해야 합니다. 타사 애플리케이션에 라우팅 가능한 이메일 주소가 필요한 경우 IdP에 이메일 속성을 제공해야 합니다.

  • SCIM 프로비저닝 및 업데이트 주기는 ID 제공업체가 제어합니다. ID 제공업체의 사용자 및 그룹에 대한 변경 사항은 ID 제공업체가 해당 변경 사항을 IAM Identity Center로 전송한 후에만 IAM Identity Center에 반영됩니다. 사용자 및 그룹 업데이트 빈도에 대한 자세한 내용은 ID 제공업체에 문의하세요.

  • 현재 SCIM에는 다중 값 속성(예: 특정 사용자에 대한 여러 이메일 또는 전화번호)이 프로비저닝되지 않습니다. SCIM을 사용하여 다중 값 속성을 IAM Identity Center에 동기화할 수 없습니다. 동기화에 실패하지 않으려면 각 속성에 대해 단일 값만 전달해야 합니다. 다중 값 속성을 가진 사용자가 있는 경우 IAM Identity Center에 연결하기 위해 IdP에서 SCIM의 중복 속성 매핑을 제거하거나 수정합니다.

  • IdP의 externalId SCIM 매핑이 고유하고 항상 존재하며 사용자에 대해 변경될 가능성이 가장 적은 값에 해당하는지 확인합니다. 예를 들어, IdP는 이름 및 이메일과 같은 사용자 속성의 변경에 영향을 받지 않는 보장된 objectId 또는 기타 식별자를 제공할 수 있습니다. 그렇다면 해당 값을 SCIM externalId 필드에 매핑할 수 있습니다. 이렇게 하면 이름이나 이메일을 변경해야 하는 경우에도 사용자가 AWS 자격, 할당 또는 권한을 잃지 않을 수 있습니다.

  • 아직 애플리케이션에 할당되지 않았거나 IAM Identity Center에 AWS 계정 프로비저닝할 수 없는 사용자 사용자와 그룹을 동기화하려면 IAM Identity Center에 대한 IdP의 연결을 나타내는 애플리케이션 또는 기타 설정에 해당 사용자와 그룹을 할당해야 합니다.

  • 사용자 프로비저닝 해제 동작은 ID 공급자가 관리하며 구현에 따라 달라질 수 있습니다. 사용자 프로비저닝에 대한 자세한 내용은 ID 공급자에게 문의하십시오.

IAM Identity Center의 SCIM 구현에 대한 자세한 내용은 IAM Identity Center SCIM 구현 개발자 가이드를 참조하세요.

액세스 토큰 만료를 모니터링하는 방법

SCIM 액세스 토큰의 유효 기간은 1년으로 생성됩니다. SCIM 액세스 토큰이 90일 이내에 만료되도록 설정되면 IAM Identity Center 콘솔과 AWS Health 대시보드를 통해 알림을 AWS 보내 토큰 교체에 도움을 줍니다. SCIM 액세스 토큰이 만료되기 전에 이를 교체하면 사용자 및 그룹 정보의 자동 프로비저닝을 지속적으로 보호할 수 있습니다. SCIM 액세스 토큰이 만료되면 ID 제공업체의 사용자 및 그룹 정보를 IAM Identity Center로 동기화하는 작업이 중지되므로 더 이상 자동 프로비저닝을 통해 정보를 업데이트하거나 생성 및 삭제할 수 없습니다. 자동 프로비저닝이 중단되면 보안 위험이 증가하고 서비스 액세스에 영향을 미칠 수 있습니다.

Identity Center 콘솔은 SCIM 액세스 토큰을 교체하고 사용하지 않거나 만료된 액세스 토큰을 삭제할 때까지 지속적으로 알림을 보냅니다. AWS Health 대시보드 이벤트는 90일에서 60일 사이에 매주, 60일에서 30일까지 주 2회, 30일에서 15일까지 주 3회, SCIM 액세스 토큰이 만료될 때까지 15일에서 매일 갱신됩니다.

자동 프로비저닝을 활성화하는 방법

다음 절차를 따라 SCIM 프로토콜을 사용하여 IdP에서 IAM Identity Center로 사용자 및 그룹을 자동으로 프로비저닝할 수 있습니다.

참고

이 절차를 시작하기 전에 먼저 IdP에 적용되는 프로비저닝 고려 사항을 검토하는 것이 좋습니다. 자세한 내용은 시작하기 튜토리얼 IdP용 을 참조하십시오.

IAM Identity Center에서 자동 프로비저닝을 활성화하려면

  1. 사전 필수 조건을 완료한 후 IAM Identity Center 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 설정을 선택합니다.

  3. 설정 페이지에서 자동 프로비저닝 정보 상자를 찾은 다음 활성화를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.

  4. 인바운드 자동 프로비저닝 대화 상자에서 다음 옵션의 각 값을 복사합니다. 나중에 IdP에서 프로비저닝을 구성할 때 이를 붙여넣어야 합니다.

    1. SCIM 엔드포인트

    2. 액세스 토큰

  5. 닫기를 선택하세요.

이 절차를 완료한 후에는 IdP에서 자동 프로비저닝을 구성해야 합니다. 자세한 내용은 시작하기 튜토리얼 IdP용 을 참조하십시오.

자동 프로비저닝을 비활성화하는 방법

다음 절차에 따라 IAM Identity Center 콘솔에서 자동 프로비저닝을 비활성화합니다.

중요

이 절차를 시작하기 전에 액세스 토큰을 삭제해야 합니다. 자세한 내용은 액세스 토큰 삭제 방법 단원을 참조하세요.

IAM Identity Center 콘솔에서 자동 프로비저닝을 비활성화하려면

  1. IAM Identity Center 콘솔의 왼쪽 탐색 창에서 설정을 선택합니다.

  2. 설정 페이지에서 ID 소스 탭을 선택한 다음 작업 > 프로비저닝 관리를 선택합니다.

  3. 자동 프로비저닝 페이지에서 비활성화를 선택합니다.

  4. 자동 프로비저닝 비활성화 대화 상자에서 정보를 검토하고 비활성화을 입력한 다음 자동 프로비저닝 비활성화를 선택합니다.

새 액세스 토큰을 생성하는 방법

다음 절차를 사용하여 IAM Identity Center 콘솔에서 새 액세스 토큰을 생성합니다.

참고

이 절차를 수행하려면 이전에 자동 프로비저닝을 활성화한 적이 있어야 합니다. 자세한 내용은 자동 프로비저닝을 활성화하는 방법 단원을 참조하세요.

새 액세스 토큰을 생성하려면

  1. IAM Identity Center 콘솔의 왼쪽 탐색 창에서 설정을 선택합니다.

  2. 설정 페이지에서 ID 소스 탭을 선택한 다음 작업 > 프로비저닝 관리를 선택합니다.

  3. 자동 프로비저닝 페이지의 액세스 토큰에서 토큰 생성을 선택합니다.

  4. 새 액세스 토큰 생성 대화 상자에서 새 액세스 토큰을 복사하여 안전한 장소에 저장합니다.

  5. 닫기를 선택하세요.

액세스 토큰 삭제 방법

다음 절차를 사용하여 IAM Identity Center 콘솔에서 기존 액세스 토큰을 삭제합니다.

기존 액세스 토큰을 삭제하려면

  1. IAM Identity Center 콘솔의 왼쪽 탐색 창에서 설정을 선택합니다.

  2. 설정 페이지에서 ID 소스 탭을 선택한 다음 작업 > 프로비저닝 관리를 선택합니다.

  3. 자동 프로비저닝 페이지의 액세스 토큰에서 삭제하려는 액세스 토큰을 선택한 다음 삭제를 선택합니다.

  4. 액세스 토큰 삭제 대화 상자에서 정보를 검토하고 삭제를 입력한 다음 액세스 토큰 삭제를 선택합니다.

액세스 토큰 교체 방법

IAM Identity Center 디렉터리는 한 번에 최대 2개의 액세스 토큰을 지원합니다. 교체 전에 추가 액세스 토큰을 생성하려면 만료되었거나 사용하지 않은 액세스 토큰을 모두 삭제합니다.

SCIM 액세스 토큰이 곧 만료되는 경우 다음 절차를 사용하여 IAM Identity Center 콘솔에서 기존 액세스 토큰을 교체할 수 있습니다.

액세스 토큰을 교체하려면

  1. IAM Identity Center 콘솔의 왼쪽 탐색 창에서 설정을 선택합니다.

  2. 설정 페이지에서 ID 소스 탭을 선택한 다음 작업 > 프로비저닝 관리를 선택합니다.

  3. 자동 프로비저닝 페이지의 액세스 토큰에서 교체하려는 토큰의 토큰 ID를 기록해 둡니다.

  4. 새 액세스 토큰을 생성하는 방법의 단계에 따라 새 토큰을 생성합니다. 이미 최대 개수의 SCIM 액세스 토큰을 생성한 경우 기존 토큰 중 하나를 먼저 삭제해야 합니다.

  5. ID 제공업체의 웹 사이트로 이동하여 SCIM 프로비저닝을 위한 새 액세스 토큰을 구성한 다음 새 SCIM 액세스 토큰을 사용하여 IAM Identity Center 연결을 테스트합니다. 새 토큰을 사용하여 프로비저닝이 정상적으로 작동하는 것을 확인했으면 이 절차의 다음 단계를 진행합니다.

  6. 액세스 토큰 삭제 방법 단계에 따라 앞서 기록해 둔 이전 액세스 토큰을 삭제합니다. 토큰 생성 날짜를 제거할 토큰에 대한 힌트로 사용할 수도 있습니다.