SAML2.0 구성 및 WorkSpaces 풀 디렉터리 생성 - 아마존 WorkSpaces
1단계: 요구 사항 고려2단계: 사전 조건 완료3단계: SAML ID 제공자 생성 IAM4단계: WorkSpace 풀 디렉터리 생성5단계: SAML 2.0 페더레이션 IAM 역할 생성6단계: SAML 2.0 ID 제공자 구성7단계: 인증 응답에 대한 어설션 생성 SAML8단계: 페더레이션의 릴레이 상태 구성9단계: WorkSpace 풀 디렉토리에서 SAML 2.0과의 통합 활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SAML2.0 구성 및 WorkSpaces 풀 디렉터리 생성

2.0을 사용하여 SAML ID 페더레이션을 설정하여 WorkSpaces 풀에 WorkSpaces 클라이언트 애플리케이션 등록 및 로그인을 활성화할 WorkSpaces 수 있습니다. 이렇게 하려면 다음을 사용합니다. AWS Identity and Access Management (IAM) SAML 2.0 ID 공급자 (IdP) 를 구성하고 URL 이를 활성화하기 위한 역할 및 릴레이 상태 AWS. 이렇게 하면 페더레이션 사용자에게 WorkSpace 풀 디렉터리에 대한 액세스 권한이 부여됩니다. 릴레이 상태는 로그인에 성공한 사용자가 전달되는 WorkSpaces 디렉터리 엔드포인트입니다. AWS.

주제

1단계: 요구 사항 고려

WorkSpaces Pools 디렉터리를 설정할 SAML 때는 다음 요구 사항이 적용됩니다.

  • workspaces_ DefaultRole IAM 역할은 사용자 위치에 있어야 합니다. AWS 계정. 이 역할은 빠른 설치를 사용하거나 이전에 WorkSpaces Quick Setup을 WorkSpace 사용하여 시작한 경우 자동으로 생성됩니다. AWS Management Console. Amazon에 특정 항목에 액세스할 수 있는 WorkSpaces 권한을 부여합니다. AWS 귀사를 대신하여 리소스를 제공합니다. 역할이 이미 있는 경우 Amazon에서 필요한 리소스에 액세스하는 데 WorkSpaces 사용하는 AmazonWorkSpacesPoolServiceAccess 관리형 정책을 역할에 연결해야 할 수 있습니다. AWS WorkSpaces 풀 계정. 자세한 내용은 DefaultRole 작업공간_ 역할 만들기AWS 관리형 정책: AmazonWorkSpacesPoolServiceAccess 단원을 참조하세요.

  • 에서 WorkSpaces 풀에 대한 SAML 2.0 인증을 구성할 수 있습니다. AWS 리전 이 기능을 지원합니다. 자세한 내용은 AWS 리전 및 WorkSpaces 풀의 가용 영역 단원을 참조하십시오.

  • SAML2.0 인증을 사용하려면 IdP가 딥링크 대상 리소스 또는 릴레이 상태 엔드포인트를 SSO 통한 요청되지 않은 IdP 개시를 지원해야 합니다. WorkSpaces URL 이를 IdPs 지원하는 예로는 Azure ADADFS, 듀오 싱글 사인온, Okta 등이 있습니다. PingFederate PingOne 자세한 내용은 IdP 설명서를 참조하세요.

  • SAML2.0 인증은 다음 클라이언트에서만 지원됩니다. WorkSpaces 최신 WorkSpaces 클라이언트는 Amazon WorkSpaces 클라이언트 다운로드 페이지를 참조하십시오.

    • Windows 클라이언트 애플리케이션 버전 5.20.0 이상

    • macOS 클라이언트 버전 5.20.0 이상

    • 웹 액세스

2단계: 사전 조건 완료

풀 디렉터리에 대한 2.0 SAML IdP 연결을 구성하기 전에 다음 사전 요구 사항을 완료하십시오. WorkSpaces

  • 다음과 신뢰 관계를 구축하도록 IdP를 구성하십시오. AWS.

  • 타사 SAML 솔루션 제공업체 통합을 참조하십시오. AWS구성에 대한 자세한 내용은 AWS 페더레이션. 관련 예에는 액세스를 위한 IdP 통합이 포함됩니다IAM. AWS Management Console.

  • IdP를 사용하여 조직을 IdP로 설명하는 페더레이션 메타데이터 문서를 생성하고 다운로드합니다. 이 서명된 XML 문서는 신뢰 당사자 신뢰를 구축하는 데 사용됩니다. 나중에 IAM 콘솔에서 액세스할 수 있는 위치에 이 파일을 저장합니다.

  • WorkSpaces 콘솔을 사용하여 WorkSpaces 풀 디렉터리를 생성합니다. 자세한 내용은 WorkSpaces 풀과 함께 액티브 디렉터리 사용 단원을 참조하십시오.

  • 지원되는 디렉터리 유형을 사용하여 IdP에 로그인할 수 있는 사용자를 위한 WorkSpaces 풀을 생성합니다. 자세한 내용은 WorkSpaces 풀 생성 단원을 참조하십시오.

3단계: SAML ID 제공자 생성 IAM

시작하려면 에서 SAML IdP를 만들어야 합니다. IAM 이 IdP는 조직의 IdP-to-를 정의합니다.AWS 조직의 IdP 소프트웨어에서 생성한 메타데이터 문서를 사용한 신뢰 관계 자세한 내용은 의 SAMLID 제공자 생성 및 관리를 참조하십시오. AWS Identity and Access Management 사용 설명서. SAML IdPs 에서 작업하는 방법에 대한 자세한 내용은 AWS GovCloud (US) Regions를 참조하십시오. AWS Identity and Access ManagementAWS GovCloud (US) 사용 설명서.

4단계: WorkSpace 풀 디렉터리 생성

다음 절차를 완료하여 WorkSpaces 풀 디렉터리를 생성합니다.

  1. 에서 WorkSpaces 콘솔을 엽니다 https://console.aws.amazon.com/workspaces/.

  2. 탐색 창에서 디렉터리를 선택합니다.

  3. 디렉터리 생성을 선택합니다.

  4. WorkSpace 유형으로는 풀을 선택합니다.

  5. 페이지의 사용자 ID 소스 섹션에서:

    1. 사용자 액세스 URL 텍스트 상자에 자리 표시자 값을 입력합니다. 예를 들어, 텍스트 placeholder 상자에 를 입력합니다. IdP에서 애플리케이션 자격을 설정한 후 나중에 이를 편집합니다.

    2. 릴레이 상태 매개변수 이름 입력란은 비워 둡니다. IdP에서 애플리케이션 자격을 설정한 후 나중에 이를 편집합니다.

  6. 페이지의 디렉터리 정보 섹션에 디렉터리의 이름과 설명을 입력합니다. 디렉터리 이름과 설명은 128자 미만이어야 하며 영숫자와 다음 특수 문자를 포함할 수 있습니다. _ @ # % * + = : ? . / ! \ - 디렉터리 이름과 설명은 특수 문자로 시작할 수 없습니다.

  7. 페이지의 네트워킹 및 보안 섹션에서:

    1. 애플리케이션에 필요한 네트워크 리소스에 액세스할 수 있는 서브넷 VPC 1개와 2개의 서브넷을 선택합니다. 내결함성을 높이려면 서로 다른 가용 영역에 있는 두 개의 서브넷을 선택해야 합니다.

    2. 네트워크 링크를 생성할 수 WorkSpaces 있는 보안 그룹을 선택하십시오. VPC 보안 그룹은 어떤 네트워크 트래픽이 사용자 네트워크로 전송되도록 WorkSpaces 허용할지를 제어합니다VPC. 예를 들어 보안 그룹이 모든 인바운드 HTTPS 연결을 제한하는 경우 웹 포털에 접근하는 사용자는 에서 HTTPS 웹 사이트를 로드할 수 없습니다. WorkSpaces

  8. Active Directory Config 섹션은 선택 사항입니다. 하지만 풀에 AD를 사용하려는 경우 WorkSpaces 풀 디렉터리를 만들 때 Active Directory (AD) 세부 정보를 지정해야 합니다 WorkSpaces . WorkSpaces 풀 디렉터리를 만든 후에는 Active Directory 구성을 편집할 수 없습니다. WorkSpaces 풀 디렉터리의 AD 세부 정보를 지정하는 방법에 대한 자세한 내용은 을 참조하십시오 WorkSpaces 풀 디렉터리의 Active Directory 세부 정보를 지정하십시오.. 해당 항목에 설명된 프로세스를 완료한 후에는 이 항목으로 돌아가 WorkSpaces Pools 디렉터리 생성을 완료해야 합니다.

    풀과 함께 WorkSpaces AD를 사용할 계획이 없다면 Active Directory Config 섹션을 건너뛰어도 됩니다.

  9. 페이지의 스트리밍 속성 섹션에서:

    • 클립보드 권한 동작을 선택하고 로컬 문자 제한에 대한 복사 (선택 사항) 및 원격 세션 문자 제한에 붙여넣기 (선택 사항) 를 입력합니다.

    • 로컬 장치로 인쇄를 허용할지 허용하지 않을지 선택합니다.

    • 진단 로깅을 허용할지 허용하지 않을지 선택합니다.

    • 스마트 카드 로그인 허용 여부를 선택합니다. 이 기능은 이 절차 앞에서 AD 구성을 활성화한 경우에만 적용됩니다.

  10. 페이지의 스토리지 섹션에서 홈 폴더를 활성화하도록 선택할 수 있습니다.

  11. 페이지의 IAM역할 섹션에서 모든 데스크톱 스트리밍 인스턴스에 사용할 수 있는 IAM 역할을 선택합니다. 새 역할을 만들려면 새 IAM 역할 생성을 선택합니다.

    계정의 IAM 역할을 WorkSpace 풀 디렉터리에 적용할 때 다음을 수행할 수 있습니다. AWS API수동으로 관리할 필요 없이 WorkSpace WorkSpace 풀의 a에서 요청을 보낼 수 있습니다. AWS 자격 증명. 자세한 내용은 에서 IAM사용자에게 권한을 위임하기 위한 역할 만들기를 참조하십시오. AWS Identity and Access Management 사용 설명서.

  12. 디렉터리 생성을 선택합니다.

5단계: SAML 2.0 페더레이션 IAM 역할 생성

다음 절차를 완료하여 IAM 콘솔에서 SAML 2.0 페더레이션 IAM 역할을 생성합니다.

  1. 에서 IAM 콘솔을 엽니다 https://console.aws.amazon.com/iam/.

  2. 탐색 창에서 역할을 선택합니다.

  3. 역할 생성을 선택합니다.

  4. 신뢰할 수 있는 엔티티 유형으로 SAML2.0 페더레이션을 선택합니다.

  5. SAML2.0 기반 공급자의 경우, 생성한 ID 공급자를 선택합니다. IAM 자세한 내용은 에서 SAML IAM ID 제공자 생성을 참조하십시오.

  6. 액세스만 허용하려면 프로그래밍 방식 액세스만 허용을 선택합니다.

  7. 속성으로:AUD를 선택합니다SAML.

  8. https://signin.aws.amazon.com/saml를 입력합니다. 이 값은 값이 인 SAML 주제 유형 어설션을 포함하는 SAML 사용자 스트리밍 요청에 대한 역할 액세스를 제한합니다. persistent SAML:sub_type이 지속적이면 IdP는 특정 사용자의 모든 NameID 요청에서 요소에 대해 동일한 고유 값을 전송합니다. SAML 자세한 내용은 기반 페더레이션에서 사용자 고유 식별을 참조하십시오. SAML AWS Identity and Access Management 사용 설명서.

  9. 다음을 선택하여 계속 진행합니다.

  10. 권한 추가 페이지에서 변경하거나 선택하지 마세요. 다음을 선택하여 계속 진행합니다.

  11. 역할의 이름과 설명을 입력합니다.

  12. 역할 생성을 선택합니다.

  13. 역할 페이지에서 생성해야 하는 역할을 선택합니다.

  14. 신뢰 관계 탭을 선택합니다.

  15. 신뢰 정책 편집을 선택합니다.

  16. 신뢰 정책 편집 JSON 텍스트 상자에서 신뢰 정책에 sts: TagSession 작업을 추가합니다. 자세한 내용은 세션 태그 전달을 참조하십시오. AWS STSAWS Identity and Access Management 사용 설명서.

    결과는 다음 예제와 같아야 합니다.

    신뢰 정책의 예.

  17. 정책 업데이트를 선택합니다.

  18. 권한 탭을 선택합니다.

  19. 페이지의 권한 정책 섹션에서 권한 추가를 선택한 다음 인라인 정책 생성을 선택합니다.

  20. 페이지의 정책 편집기 섹션에서 선택합니다 JSON.

  21. 정책 편집기 JSON 텍스트 상자에 다음 정책을 입력합니다. 반드시 다음을 바꾸십시오.

    • <region-code> 의 코드로 AWS WorkSpace 풀 디렉터리를 생성한 지역

    • <account-id> 와 함께 AWS 계정 ID.

    • <directory-id> 이전에 생성한 디렉터리의 ID로 WorkSpaces콘솔에서 가져올 수 있습니다.

    리소스에 대한 자세한 내용은 AWS GovCloud (US) Regions에는 다음 형식을 사용하십시오arn:aws-us-gov:workspaces:<region-code>:<account-id>:directory/<directory-id>. ARN 

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "workspaces:Stream",
            "Resource": "arn:aws:workspaces:<region-code>:<account-id>:directory/<directory-id>",
            "Condition": {
                "StringEquals": {"workspaces:userId": "${saml:sub}"}
            }
        }
    ]
}

  22. Next(다음)를 선택합니다.

  23. 정책 이름을 입력한 후 정책 생성을 선택합니다.

6단계: SAML 2.0 ID 제공자 구성

SAML2.0 IdP에 따라 IdP를 신뢰할 수 있도록 수동으로 업데이트해야 할 수 있습니다. AWS 서비스 제공자로서. https://signin.aws.amazon.com/static/saml-metadata.xml 에 있는 saml-metadata.xml 파일을 다운로드한 다음 IdP에 업로드하면 됩니다. 그러면 IdP의 메타데이터가 업데이트됩니다.

일부의 IdPs 경우 업데이트가 이미 구성되어 있을 수 있습니다. 이미 구성된 경우 이 단계를 건너뛰어도 됩니다. 업데이트가 아직 IdP에 구성되어 있지 않은 경우 IdP에서 제공한 설명서에서 메타데이터를 업데이트하는 방법에 대한 정보를 검토하세요. 일부 제공업체는 대시보드에 XML 파일을 입력할 수 있는 옵션을 제공하면 IdP가 파일을 가져와 설치합니다. URL 에서 파일을 다운로드한 다음 대시보드에 업로드해야 하는 경우도 있습니다. URL

중요

이때 IdP의 사용자에게 IdP에서 구성한 애플리케이션에 액세스할 WorkSpaces 수 있는 권한을 부여할 수도 있습니다. 디렉터리의 응용 프로그램에 액세스할 수 있는 권한이 있는 사용자는 해당 WorkSpaces 응용 프로그램을 자동으로 WorkSpace 생성하지 않습니다. 마찬가지로, 자신을 위해 WorkSpace 만든 사용자가 자동으로 WorkSpaces 응용 프로그램에 액세스할 수 있는 권한이 부여되지 않습니다. SAML2.0 인증을 WorkSpace 사용하여 성공적으로 연결하려면 사용자는 IdP의 인증을 받아야 하며 IdP를 생성해야 합니다. WorkSpace

7단계: 인증 응답에 대한 어설션 생성 SAML

IdP가 보내는 정보를 구성합니다. AWS 인증 응답의 SAML 속성으로. IdP에 따라 이 설정이 이미 구성되어 있을 수 있습니다. 이미 구성된 경우 이 단계를 건너뛰어도 됩니다. 아직 구성되지 않은 경우 다음을 제공하십시오.

  • SAML주체 NameID — 로그인하는 사용자의 고유 식별자입니다. 이 필드의 형식/값은 변경하지 마세요. 그렇지 않으면 사용자가 다른 사용자로 취급되므로 홈 폴더 기능이 예상대로 작동하지 않습니다.

    참고

    도메인에 가입된 WorkSpaces 풀의 경우 사용자 NameID 값은 를 사용하는 domain\username 형식sAMAccountName, 또는 just를 사용하는 username@domain.com userPrincipalName 형식으로 제공해야 합니다. userName sAMAccountName형식을 사용하는 경우 네트워크 BIOS 이름 또는 정규화된 도메인 이름 () 을 사용하여 도메인을 지정할 수 있습니다. FQDN Active Directory 단방향 신뢰 시나리오에는 sAMAccountName 형식이 필요합니다. 자세한 내용은 을 참조하십시오 WorkSpaces 풀과 함께 액티브 디렉터리 사용. ject를 userName 제공하는 경우 사용자는 기본 도메인에 로그인됩니다.

  • SAML주제 유형 (값이 1로 설정된 경우persistent) - IdP가 특정 사용자의 모든 SAML 요청에서 NameID 요소에 대해 동일한 고유 값을 보내도록 persistent 값을 설정합니다. 5단계: SAML 2.0 페더레이션 IAM 역할 생성섹션에 설명된 대로 -로 SAML sub_type persistent 설정된 SAML 요청만 허용하는 조건이 IAM 정책에 포함되어 있는지 확인하세요.

  • AttributeName속성이 https://aws.amazon.com/SAML/ 속성/역할로 설정된 요소 — 이 요소에는 IdP가 사용자를 매핑한 IAM 역할과 SAML IdP를 나열하는 AttributeValue 요소가 하나 이상 포함되어 있습니다. 역할과 IdP는 쉼표로 구분된 쌍으로 지정됩니다. ARNs 예상 값의 예는 arn:aws:iam::<account-id>:role/<role-name>,arn:aws:iam::<account-id>:saml-provider/<provider-name>입니다.

  • AttributeName속성이 https://aws.amazon.com/SAML/ Attributes/로 설정된 요소 RoleSessionName — 이 요소에는 식별자를 제공하는 요소가 하나 포함되어 있습니다. AttributeValue AWS 발급되는 임시 자격 증명. SSO AttributeValue요소의 값은 길이가 2~64자 사이여야 하며 영숫자와 다음 특수 문자를 포함할 수 있습니다. _ . : / = + - @ 공백은 포함할 수 없습니다. 값은 일반적으로 이메일 주소 또는 사용자 계정 이름 () 입니다. UPN 사용자의 표시 이름과 같이 값이 공백을 포함하면 안 됩니다.

  • AttributeName속성이 https://aws.amazon.com/SAML/ Attributes/:Email로 설정된 요소 PrincipalTag — 이 요소에는 사용자의 이메일 주소를 AttributeValue 제공하는 요소가 하나 포함되어 있습니다. 값은 디렉터리에 정의된 WorkSpaces 사용자 이메일 주소와 일치해야 합니다. WorkSpaces 태그 값에는 문자, 숫자, 공백 및 _ . : / = + - @ 문자의 조합이 포함될 수 있습니다. 자세한 내용은 태그 지정 규칙 및 을 참조하십시오. IAM AWS STSAWS Identity and Access Management 사용 설명서.

  • (선택 사항) AttributeName속성이 https://aws.amazon.com/SAML/ Attributes/로 설정된 요소PrincipalTag: UserPrincipalName - 이 요소에는 로그인하는 사용자에게 Active userPrincipalName Directory를 제공하는 AttributeValue 요소가 하나 포함되어 있습니다. 값은 다음 형식으로 제공해야 합니다. username@domain.com 이 파라미터는 인증서 기반 인증과 함께 최종 사용자 인증서의 주체 대체 이름으로 사용됩니다. 자세한 내용은 인증서 기반 인증 단원을 참조하십시오.

  • (선택 사항) AttributeName속성이 https://aws.amazon.com/SAML/ Attributes/PrincipalTag: ObjectSid (선택 사항) 로 설정된 요소 - 이 요소에는 로그인하는 사용자에게 Active Directory 보안 식별자 (SID) 를 제공하는 AttributeValue 요소가 하나 포함되어 있습니다. 이 파라미터는 Active Directory 사용자에 대한 강력한 매핑을 지원하기 위해 인증서 기반 인증과 함께 사용됩니다. 자세한 내용은 인증서 기반 인증 단원을 참조하십시오.

  • (선택 사항) Name속성이 https://aws.amazon.com/SAML/ 속성/도메인으로 설정된 Attribute 요소 PrincipalTag - 이 요소에는 로그인하는 사용자에게 Active Directory의 DNS 정규화된 도메인 이름 () 을 AttributeValue 제공하는 요소가 하나 포함되어 있습니다. FQDN 이 파라미터는 사용자의 Active Directory userPrincipalName에 대체 접미사가 포함된 경우 인증서 기반 인증에 사용됩니다. 값은 domain.com 형식으로 제공해야 하며 모든 하위 도메인을 포함해야 합니다.

  • (선택 사항) AttributeName속성이 https://aws.amazon.com/SAML/ Attributes/로 설정된 요소 SessionDuration — 이 요소에는 재인증이 필요하기 전에 사용자의 페더레이션된 스트리밍 세션이 활성 상태를 유지할 수 있는 최대 시간을 지정하는 AttributeValue 요소 하나가 포함되어 있습니다. 기본값은 3600 초 (60분) 입니다. 자세한 내용은 다음 SAML SessionDurationAttribute항목을 참조하십시오. AWS Identity and Access Management 사용 설명서.

    참고

    SessionDuration는 선택적 속성이지만 SAML 응답에 포함하는 것이 좋습니다. 이 속성을 지정하지 않으면 세션 지속 시간이 기본값인 3600 초 (60분) 로 설정됩니다. WorkSpaces 세션 기간이 만료되면 데스크톱 세션의 연결이 끊깁니다.

이러한 요소를 구성하는 방법에 대한 자세한 내용은 의 인증 응답에 대한 SAML 어설션 구성을 참조하십시오. AWS Identity and Access Management 사용 설명서. IdP의 구체적 구성 요구 사항에 대한 자세한 내용은 IdP의 설명서를 참조하세요.

8단계: 페더레이션의 릴레이 상태 구성

IdP를 사용하여 WorkSpaces 풀 디렉터리 릴레이 상태를 가리키도록 페더레이션의 릴레이 상태를 구성합니다. URL 인증에 성공한 후: AWS사용자는 SAML 인증 응답에서 릴레이 상태로 정의된 WorkSpaces 풀 디렉터리 엔드포인트로 연결됩니다.

릴레이 상태 URL 형식은 다음과 같습니다.


https://relay-state-region-endpoint/sso-idp?registrationCode=registration-code

다음 표에는 의 릴레이 상태 엔드포인트가 나열되어 있습니다. AWS WorkSpaces SAML2.0 인증을 사용할 수 있는 지역. AWS WorkSpaces 풀 기능을 사용할 수 없는 지역은 제거되었습니다.

리전 릴레이 상태 엔드포인트
미국 동부(버지니아 북부) 리전 workspaces.euc-sso.us-east-1.aws.amazon.com
US West (Oregon) Region workspaces.euc-sso.us-west-2.aws.amazon.com
Asia Pacific (Mumbai) Region workspaces.euc-sso.ap-south-1.aws.amazon.com
Asia Pacific (Seoul) Region workspaces.euc-sso.ap-northeast-2.aws.amazon.com
아시아 태평양(싱가포르) 리전 workspaces.euc-sso.ap-southeast-1.aws.amazon.com
아시아 태평양(시드니) 리전 workspaces.euc-sso.ap-southeast-2.aws.amazon.com
아시아 태평양(도쿄) 리전 workspaces.euc-sso.ap-northeast-1.aws.amazon.com
캐나다(중부) 리전 workspaces.euc-sso.ca-central-1.aws.amazon.com
Europe (Frankfurt) Region workspaces.euc-sso.eu-central-1.aws.amazon.com
Europe (Ireland) Region workspaces.euc-sso.eu-west-1.aws.amazon.com
Europe (London) Region workspaces.euc-sso.eu-west-2.aws.amazon.com
South America (São Paulo) Region workspaces.euc-sso.sa-east-1.aws.amazon.com
AWS GovCloud (미국 서부) workspaces.euc-sso. us-gov-west-1. amazonaws-us-gov닷컴
참고

SAML IdPs 에서 작업하는 방법에 대한 자세한 내용은 AWS GovCloud (US) Regions, 아마존 WorkSpaces 참조 AWS GovCloud (미국) 사용 설명서.
AWS GovCloud (미국 동부) workspaces.euc-sso. us-gov-east-1. amazonaws-us-gov닷컴
참고

SAML IdPs 에서 작업하는 방법에 대한 자세한 내용은 AWS GovCloud (US) Regions, 아마존 WorkSpaces 참조 AWS GovCloud (미국) 사용 설명서.

9단계: WorkSpace 풀 디렉토리에서 SAML 2.0과의 통합 활성화

다음 절차를 완료하여 WorkSpaces 풀 디렉터리에 SAML 2.0 인증을 활성화하십시오.

  1. 에서 WorkSpaces 콘솔을 엽니다 https://console.aws.amazon.com/workspaces/.

  2. 탐색 창에서 디렉터리를 선택합니다.

  3. 풀 디렉터리 탭을 선택합니다.

  4. 편집하려는 디렉터리의 ID를 선택합니다.

  5. 페이지의 인증 섹션에서 편집을 선택합니다.

  6. SAML2.0 ID 제공자 편집을 선택합니다.

  7. SSOURL““URL이라고도 하는 사용자 액세스의 경우 자리 표시자 값을 IdP에서 SSO URL 제공한 값으로 바꾸십시오.

  8. IdP 딥링크 파라미터 이름에는 구성한 IdP 및 애플리케이션에 적용할 수 있는 파라미터를 입력합니다. 기본값은 매개변수 이름을 생략한 RelayState 경우입니다.

    다음 표에는 애플리케이션의 다양한 ID 제공자에 고유한 사용자 액세스 URLs 및 딥링크 매개변수 이름이 나열되어 있습니다.

    ID 제공업체 파라미터 사용자 액세스 URL
    ADFS RelayState https://<host>/adfs/ls/idpinitiatedsignon.aspx?RelayState=RPID=<relaying-party-uri>
    Azure AD RelayState https://myapps.microsoft.com/signin/<app-id>?tenantId=<tenant-id>
    Duo Single Sign-On RelayState https://<sub-domain>.sso.duosecurity.com/saml2/sp/<app-id>/sso
    Okta RelayState https://<sub-domain>.okta.com/app/<app-name>/<app-id>/sso/saml
    OneLogin RelayState https://<sub-domain>.onelogin.com/trust/saml2/http-post/sso/<app-id>
    JumpCloud RelayState https://sso.jumpcloud.com/saml2/<app-id>
    Auth0 RelayState https://<default-tenant-name>.us.auth0.com/samlp/<client-id>
    PingFederate TargetResource https://<host>/idp/startSSO.ping?PartnerSpId=<sp-id>
    PingOne 엔터프라이즈용 TargetResource https://sso.connect.pingidentity.com/sso/sp/initsso?saasid=<app-id>&idpid=<idp-id>

  9. 저장(Save)을 선택합니다.