Single sign-on(SAML 2.0 기반 연동 인증) - AWS 클라이언트 VPN
인증 워크플로SAML 기반 연동 인증에 대한 요구 사항 및 고려 사항SAML 기반 IdP 구성 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Single sign-on(SAML 2.0 기반 연동 인증)

AWS Client VPN Client VPN 엔드포인트에 대한 보안 어설션 마크업 언어 2.0 (SAML 2.0) 과의 ID 페더레이션을 지원합니다. SAML 2.0을 지원하는 ID 공급자 (IdPs) 를 사용하여 중앙 집중식 사용자 ID를 생성할 수 있습니다. 그런 다음 SAML 기반 연동 인증을 사용하도록 Client VPN 엔드포인트를 구성하고 IdP와 연결할 수 있습니다. 그런 다음 사용자는 중앙 집중식 자격 증명을 사용하여 Client VPN 엔드포인트에 연결합니다.

SAML 기반 IdP가 Client VPN 엔드포인트에서 작동하도록 하려면 다음을 수행해야 합니다.

  1. 선택한 IdP에서 SAML 기반 앱을 생성하여 함께 AWS Client VPN사용하거나 기존 앱을 사용할 수 있습니다.

  2. IdP를 구성하여 와 신뢰 관계를 설정합니다 AWS리소스에 대한 자세한 내용은 SAML 기반 IdP 구성 리소스 단원을 참조하십시오.

  3. 사용 중인 IdP에서 조직을 IdP로 설명하는 연동 메타데이터 문서를 생성하고 다운로드합니다. 이 서명된 XML 문서는 IdP AWS 간의 신뢰 관계를 설정하는 데 사용됩니다.

  4. Client VPN 엔드포인트와 동일한 AWS 계정에 IAM SAML ID 공급자를 생성합니다. IAM SAML ID 공급자는 IdP에서 생성한 메타데이터 문서를 사용하여 조직의 IdP와AWS 신뢰 관계를 정의합니다. 자세한 내용은 IAM 사용 설명서IAM SAML 자격 증명 공급자 생성을 참조하십시오. 나중에 IdP에서 앱 구성을 업데이트하는 경우 새 메타데이터 문서를 생성하고 IAM SAML 자격 증명 공급자를 업데이트합니다.

    참고

    IAM SAML 자격 증명 공급자를 사용하기 위해 IAM 역할을 생성할 필요가 없습니다.

  5. Client VPN 엔드포인트를 생성합니다. 연동 인증을 인증 유형으로 지정하고 생성한 IAM SAML 자격 증명 공급자를 지정합니다. 자세한 정보는 Client VPN 엔드포인트를 생성합니다.을 참조하십시오.

  6. 클라이언트 구성 파일을 내보내고 사용자에게 배포합니다. 최신 버전의 AWS 제공 클라이언트를 다운로드하고 이 클라이언트를 사용하여 구성 파일을 로드하고 Client VPN 엔드포인트에 연결하도록 사용자에게 지시합니다. 또는 Client VPN 엔드포인트에 대한 셀프 서비스 포털을 활성화한 경우 사용자에게 셀프 서비스 포털로 이동하여 구성 파일과 제공된 클라이언트를 가져오도록 안내하세요. AWS 자세한 정보는 셀프 서비스 포털 액세스을 참조하세요.

인증 워크플로

다음 다이어그램은 SAML 기반 연동 인증을 사용하는 Client VPN 엔드포인트에 대한 인증 워크플로우의 개요를 제공합니다. Client VPN 엔드포인트를 생성하고 구성할 때 IAM SAML 자격 증명 공급자를 지정합니다.

인증 워크플로

  1. 사용자가 장치에서 AWS 제공된 클라이언트를 열고 Client VPN 엔드포인트에 대한 연결을 시작합니다.

  2. Client VPN 엔드포인트는 IAM SAML 자격 증명 공급자에 제공된 정보를 기반으로 IdP URL 및 인증 요청을 클라이언트로 다시 보냅니다.

  3. AWS 제공된 클라이언트는 사용자 장치에서 새 브라우저 창을 엽니다. 브라우저가 IdP에 요청하고 로그인 페이지를 표시합니다.

  4. 사용자가 로그인 페이지에 자격 증명을 입력하면 IdP가 서명된 SAML 어설션을 클라이언트로 다시 보냅니다.

  5. AWS 제공된 클라이언트가 SAML 어설션을 Client VPN 엔드포인트로 전송합니다.

  6. Client VPN 엔드포인트는 어설션의 유효성을 검사하고 사용자에 대한 액세스를 허용하거나 거부합니다.

SAML 기반 연동 인증에 대한 요구 사항 및 고려 사항

다음은 SAML 기반 연동 인증에 대한 요구 사항 및 고려 사항입니다.

  • SAML 기반 IdP에서 사용자와 그룹을 구성하기 위한 할당량 및 규칙은 사용자 및 그룹 할당량 단원을 참조하십시오.

  • SAML 어설션 및 SAML 문서에는 서명해야 합니다.

  • AWS Client VPN SAML AudienceRestriction 어설션의 "" NotBefore 및 NotOnOrAfter "조건만 지원합니다.

  • SAML 응답에 대해 지원되는 최대 크기는 128KB입니다.

  • AWS Client VPN 서명된 인증 요청을 제공하지 않습니다.

  • SAML 단일 로그아웃은 지원되지 않습니다. 사용자는 AWS 제공된 클라이언트와의 연결을 끊어 로그아웃하거나 연결을 종료할 수 있습니다.

  • Client VPN 엔드포인트는 단일 IdP만 지원합니다.

  • Multi-Factor Authentication(MFA)은 IdP에서 활성화될 때 지원됩니다.

  • 사용자는 AWS 제공된 클라이언트를 사용하여 Client VPN 엔드포인트에 연결해야 합니다. 버전은 1.2.0 이상을 사용해야 합니다. 자세한 내용은 AWS 제공된 클라이언트를 사용한 Connect를 참조하십시오.

  • IdP 인증을 지원하는 브라우저로는 Apple Safari, Google Chrome, Microsoft Edge, Mozilla Firefox 등이 있습니다.

  • AWS 제공된 클라이언트는 SAML 응답을 위해 사용자 장치의 TCP 포트 35001을 예약합니다.

  • IAM SAML 자격 증명 공급자에 대한 메타데이터 문서가 잘못되거나 악의적인 URL로 업데이트되면 사용자에게 인증 문제가 발생하거나 피싱 공격이 발생할 수 있습니다. 따라서 AWS CloudTrail 을 사용하여 IAM SAML 자격 증명 공급자에 대한 업데이트를 모니터링하는 것이 좋습니다. 자세한 내용은 IAM 사용 설명서AWS CloudTrail을 사용하여 IAM 및 AWS STS 호출 로깅을 참조하세요.

  • AWS Client VPN HTTP 리디렉션 바인딩을 통해 IdP에 AuthN 요청을 보냅니다. 따라서 IdP는 HTTP 리디렉션 바인딩을 지원해야 하며 IdP의 메타데이터 문서에 있어야 합니다.

  • SAML 어설션의 경우 NameID 속성에 이메일 주소 형식을 사용해야 합니다.

SAML 기반 IdP 구성 리소스

다음 표에는 사용을 위해 테스트한 SAML 기반 IdPs 및 IdP AWS Client VPN구성에 도움이 되는 리소스가 나열되어 있습니다.

IdP 리소스
Okta SAML로 사용자 인증하기 AWS Client VPN
Microsoft Azure Active Directory 자세한 내용은 Microsoft 설명서 웹 사이트의 자습서: Azure Active Directory 싱글 사인온 (SSO) 과 AWS ClientVPN의 통합을 참조하십시오.
JumpCloud 다음과 같은 싱글 사인온 (SSO) AWS Client VPN
AWS IAM Identity Center 인증 및 권한 AWS Client VPN 부여에 IAM ID 센터 사용

앱 생성을 위한 서비스 공급자 정보

위 표에 나열되지 않은 IdP를 사용하여 SAML 기반 앱을 만들려면 다음 정보를 사용하여 서비스 공급자 정보를 구성하십시오. AWS Client VPN

  • Assertion Consumer Service(ACS) URL: http://127.0.0.1:35001

  • 대상 URI: urn:amazon:webservices:clientvpn

IdP의 SAML 응답에는 하나 이상의 속성이 포함되어야 합니다. 다음은 속성 예시입니다.

속성 설명
FirstName 사용자의 이름입니다.
LastName 사용자의 성입니다.
memberOf 사용자가 속한 그룹입니다.
참고

memberOf 속성은 Active Directory 또는 SAML IdP 그룹 기반 권한 부여 규칙을 사용하는 데 필요합니다. 속성은 대/소문자를 구분하며 지정된 대로 정확하게 구성해야 합니다. 자세한 내용은 네트워크 기반 권한 부여권한 부여 규칙 섹션을 참조하세요.

셀프 서비스 포털에 대한 지원

Client VPN 엔드포인트에 대해 셀프 서비스 포털을 활성화하면 사용자는 SAML 기반 IdP 자격 증명을 사용하여 포털에 로그인합니다.

IdP가 Assertion Consumer Service(ACS) URL을 여러 개 지원하는 경우 다음 ACS URL을 앱에 추가합니다.

https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

특정 GovCloud 지역에서 Client VPN 엔드포인트를 사용하는 경우 다음 ACS URL을 대신 사용하십시오. 동일한 IDP 앱을 사용하여 표준 및 GovCloud 지역 모두를 인증하는 경우 두 URL을 모두 추가할 수 있습니다.

https://gov.self-service.clientvpn.amazonaws.com/api/auth/sso/saml

IdP가 여러 ACS URL을 지원하지 않는 경우 다음을 수행합니다.

  1. IdP에서 추가 SAML 기반 앱을 생성하고 다음 ACS URL을 지정합니다.

    https://self-service.clientvpn.amazonaws.com/api/auth/sso/saml

  2. 연동 메타데이터 문서를 생성하고 다운로드합니다.

  3. Client VPN 엔드포인트와 동일한 AWS 계정에 IAM SAML ID 공급자를 생성합니다. 자세한 내용은 IAM 사용 설명서IAM SAML 자격 증명 공급자 생성을 참조하십시오.

    참고

    기본 앱에 대해 생성한 자격 증명 공급자 외에도, 이 IAM SAML 자격 증명 공급자를 생성합니다.

  4. Client VPN 엔드포인트를 생성하고, 생성한 IAM SAML 자격 증명 공급자를 둘 다 지정합니다.