브라우저 SSO OIDC
브라우저 SSO OIDC는 AWS IAM Identity Center에서 작동하는 인증 플러그인입니다. IAM Identity Center 활성화 및 사용에 대한 자세한 내용은 AWS IAM Identity Center 사용 설명서의 Step 1: Enable IAM Identity Center를 참조하세요.
참고
v2.1.0.0 보안 업데이트: 버전 2.1.0.0부터 BrowserSSOOIDC 플러그인은 보안 강화를 위해 디바이스 코드 권한 부여 대신 PKCE를 사용한 권한 부여 코드를 사용합니다. 이번 변경으로 디바이스 코드 표시 단계가 없어지고 인증 속도가 빨라졌습니다. OAuth 2.0 콜백 서버에는 새로운 listen_port 파라미터(기본값 7890)가 사용됩니다. 네트워크에서 이 포트를 허용 목록에 추가해야 할 수도 있습니다. 기본 범위가 sso:account:access로 변경되었습니다.
인증 유형
| 연결 문자열 이름 | 파라미터 유형 | 기본값 | 연결 문자열 예제 |
|---|---|---|---|
| AuthenticationType | 필수 | IAM Credentials |
AuthenticationType=BrowserSSOOIDC; |
IAM Identity Center 시작 URL
AWS 액세스 포털의 URL입니다. IAM Identity Center RegisterClient API 작업은 issuerUrl 파라미터에 대해 이 값을 사용합니다.
AWS 액세스 포털 URL을 복사하려면
AWS Management Console에 로그인하여 https://console.aws.amazon.com/singlesignon/
에서 AWS IAM Identity Center 콘솔을 엽니다. -
탐색 창에서 설정을 선택합니다.
-
설정 페이지의 자격 증명 소스에서 AWS 액세스 포털 URL의 클립보드 아이콘을 선택합니다.
| 연결 문자열 이름 | 파라미터 유형 | 기본값 | 연결 문자열 예제 |
|---|---|---|---|
| sso_oidc_start_url | 필수 | none |
sso_oidc_start_url=https://app_id.awsapps.com/start; |
IAM Identity Center 리전
SSO가 구성된 AWS 리전입니다. SSOOIDCClient 및 SSOClient AWS SDK 클라이언트는 region 파라미터에 대해 이 값을 사용합니다.
| 연결 문자열 이름 | 파라미터 유형 | 기본값 | 연결 문자열 예제 |
|---|---|---|---|
| sso_oidc_region | 필수 | none |
sso_oidc_region=us-east-1; |
범위
클라이언트에서 정의한 범위 목록입니다. 권한 부여 시 이 목록은 액세스 토큰이 부여될 때 권한을 제한합니다. IAM Identity Center RegisterClient API 작업은 scopes 파라미터에 대해 이 값을 사용합니다.
| 연결 문자열 이름 | 파라미터 유형 | 기본값 | 연결 문자열 예제 |
|---|---|---|---|
| sso_oidc_scopes | 선택 사항 | sso:account:access |
sso_oidc_scopes=sso:account:access; |
계정 ID
사용자에게 할당된 AWS 계정의 식별자입니다. IAM Identity Center GetRoleCredentials API는 accountId 파라미터에 대해 이 값을 사용합니다.
| 연결 문자열 이름 | 파라미터 유형 | 기본값 | 연결 문자열 예제 |
|---|---|---|---|
| sso_oidc_account_id | 필수 | none |
sso_oidc_account_id=123456789123; |
역할 이름
사용자에게 할당된 역할의 친숙한 이름입니다. 이 권한 세트에 지정한 이름은 AWS 액세스 포털에서 사용 가능한 역할로 표시됩니다. IAM Identity Center GetRoleCredentials API 작업은 roleName 파라미터에 대해 이 값을 사용합니다.
| 연결 문자열 이름 | 파라미터 유형 | 기본값 | 연결 문자열 예제 |
|---|---|---|---|
| sso_oidc_role_name | 필수 | none |
sso_oidc_role_name=AthenaReadAccess; |
제한 시간
폴링 SSO API가 액세스 토큰을 확인해야 하는 시간(초)입니다.
| 연결 문자열 이름 | 파라미터 유형 | 기본값 | 연결 문자열 예제 |
|---|---|---|---|
| sso_oidc_timeout | 선택 사항 | 120 |
sso_oidc_timeout=60; |
리스너 포트
OAuth 2.0 콜백 서버에 사용할 로컬 포트 번호. 이는 리디렉션 URI로 사용되며 네트워크에서 이 포트를 허용 목록에 추가해야 할 수도 있습니다. 기본적으로 생성되는 리디렉션 URI는 http://localhost:7890/athena입니다. 이 파라미터는 디바이스 코드에서 PKCE를 사용한 권한 부여 코드로 마이그레이션의 일환으로 v2.1.0.0에 추가되었습니다.
주의
Windows 터미널 서버 또는 원격 데스크톱 서비스와 같은 공유 환경에서 루프백 포트(기본값: 7890)는 동일한 시스템의 모든 사용자 사이에서 공유됩니다. 시스템 관리자는 다음을 통해 잠재적 포트 하이재킹 위험을 완화할 수 있습니다.
-
서로 다른 사용자 그룹에 대해 서로 다른 포트 번호 구성
-
Windows 보안 정책을 사용하여 포트 액세스 제한
-
사용자 세션 간 네트워크 격리 구현
| 연결 문자열 이름 | 파라미터 유형 | 기본값 | 연결 문자열 예제 |
|---|---|---|---|
| listen_port | 선택 사항 | 7890 |
listen_port=8080; |
Azure 파일 캐시 활성화
임시 보안 인증 캐시를 활성화합니다. 이 연결 파라미터를 사용하면 임시 보안 인증을 캐시하여 여러 프로세스 간에 재사용할 수 있습니다. Microsoft Power BI와 같은 BI 도구를 사용할 때 열려 있는 브라우저 창 수를 줄이려면 이 옵션을 사용합니다.
참고
v2.1.0.0부터 캐시된 자격 증명이 AWS CLI에서 로컬로 저장된 자격 증명을 보호하는 방식과 일관되게 user-profile/.athena-odbc/ 디렉터리에 일반 텍스트 JSON으로 저장되며 파일 권한은 소유 사용자로 제한됩니다.
| 연결 문자열 이름 | 파라미터 유형 | 기본값 | 연결 문자열 예제 |
|---|---|---|---|
| sso_oidc_cache | 선택 사항 | 1 |
sso_oidc_cache=0; |
