View a markdown version of this page

를 사용하여 직접 IAM 페더레이션 애플리케이션의 일회성 설정 ADFS - AWS IAM Identity Center
사전 조건Active Directory 그룹 이름 지정 규칙 계획AWS 구성Active Directory 구성구성 테스트에서 기본 SAML 어설션 엔드포인트 업데이트 ADFS

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 직접 IAM 페더레이션 애플리케이션의 일회성 설정 ADFS

이 가이드에서는 IAM Identity Center를 사용할 수 없을 AWS 계정 때에 대한 긴급 액세스를 활성화ADFS하기 위해를 사용하여 직접 IAM 페더레이션을 구성하는 일회성 설정 프로세스에 대해 설명합니다.

사전 조건

AWS 관리형 Microsoft ADADFS로를 구성하려는 경우 먼저 다중 리전 복제를 구성하고 복원력을 위해 기본 리전이 아닌 추가 리전에서 다음 단계를 계속하는 것이 좋습니다.

Active Directory 그룹 이름 지정 규칙 계획

그룹 이름과 AWS IAM 역할 간의 자동 일치를 활성화하는 특정 이름 지정 패턴을 사용하여 AD 그룹을 생성합니다.

그룹 이름 지정 형식: AWS-<AccountNumber>-<RoleName>

설명을 보려면 비상 역할, 계정 및 그룹 매핑을 설계하는 방법 아래의 다이어그램에서 긴급 계정을 참조하세요. 사용자가이 그룹에 할당되면 계정의 EmergencyAccess_Role1_RO 역할에 대한 액세스 권한이 부여됩니다123456789012. 사용자가 여러 그룹과 연결된 경우 별로 사용 가능한 역할 목록이 표시되고 수임할 역할을 선택할 AWS 계정 수 있습니다.

AWS 구성

전체 설정에는 긴급 액세스 계정 및 워크로드 계정의 구성이 포함됩니다. 전체 설정에 대한 그림은 단원을 참조하십시오비상 역할, 계정 및 그룹 매핑을 설계하는 방법.

  1. SAML 자격 증명 공급자 생성

  2. 긴급 액세스 역할 생성

  3. 워크로드 계정 역할 구성

SAML 자격 증명 공급자 생성

긴급 액세스 계정에서 IAM에서 SAML 자격 증명 공급자 생성의 단계에 따라 IAM에서 SAML 자격 증명 공급자를 생성합니다. ADFS 서버에서 필요한 메타데이터를 다운로드합니다.

https://<yourADFSserverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml

긴급 액세스 역할 생성

SAML 2.0 연동을 신뢰할 수 있는 엔터티 유형으로 사용하여 긴급 계정에서 긴급 액세스 역할을 생성합니다. 이전 단계에서 생성한 SAML 2.0 공급자를 선택합니다.

고려 사항:

  • 운영 중인 모든 리전 포함 - 활성 워크로드가 있는 모든 리전을 선택하여 리전 중단 시 페더레이션을 계속 사용할 수 있도록 합니다.

  • 단일 리전에서 운영하는 경우에도 하나 이상의 추가 리전 엔드포인트를 구성합니다. 예를 들어 에서만 운영하는 경우 us-east-1를 보조 엔드포인트us-west-2로 추가합니다. IdP를 us-west-2 SAML 로그인 엔드포인트로 장애 조치하고의 워크로드 없이도 us-east-1 리소스에 계속 액세스할 수 있습니다us-west-2.

  • 비리전 엔드포인트와 리전 엔드포인트 모두 활성화 - 비리전 엔드포인트(https://signin.aws.amazon.com/saml)는 가용성이 높지만 단일에서 호스팅되는 AWS 리전us-east-1반면 리전 엔드포인트(https://<region>.signin.aws.amazon.com/saml)는 단일 글로벌 엔드포인트에 대한 종속성을 줄여 복원력을 개선합니다.

신뢰 정책 구성

여러 로그인 리전 엔드포인트가 있는 신뢰 정책의 예는 섹션을 참조Okta에서 직접 IAM 페더레이션 애플리케이션을 한 번만 설정하면 됩니다.하세요. 샘플 리전 엔드포인트 및 SAML 공급자 ARNs 사용자의 것으로 바꿉니다.

권한 정책 구성

긴급 액세스 역할에 연결하는 권한 정책의 Okta에서 직접 IAM 페더레이션 애플리케이션을 한 번만 설정하면 됩니다. 예는 섹션을 참조하세요.

워크로드 계정 역할 구성

워크로드 계정 역할의 경우 긴급 액세스 계정의 긴급 액세스 역할이 해당 역할을 수임하도록 허용하는 사용자 지정 신뢰 정책을 구성합니다. 계정이 긴급 액세스 계정인 신뢰 정책의 Okta에서 직접 IAM 페더레이션 애플리케이션을 한 번만 설정하면 됩니다. 예는 섹션을 참조123456789012하세요.

Active Directory 구성

다음 단계에서는 긴급 액세스를 위해 Active Directory 및 ADFS를 구성하는 방법을 설명합니다.

  1. 그룹 생성

  2. 신뢰 당사자 생성

  3. 클레임 규칙 생성

그룹 생성

앞에서 설명한 이름 지정 규칙(예: )에 따라 Active Directory에서 비상 그룹을 생성합니다AWS-123456789012-EmergencyAccess_Role1_RO. 기존 프로비저닝 메커니즘을 통해 이러한 그룹에 사용자를 할당합니다.

신뢰 당사자 생성

ADFS 페더레이션에는 신뢰 당사자 구성이 필요합니다. 신뢰 당사자는 자격 증명 공급자ADFS로에 인증을 아웃소싱하는 AWS Security Token Service (AWS STS)입니다.

  1. ADFS 관리 콘솔에서 작업 메뉴를 사용하고 신뢰 당사자 신뢰 추가를 선택합니다. 신뢰 당사자를 추가할 때 클레임 인식을 선택합니다.

  2. 페더레이션 메타데이터의 경우 IAM 콘솔의 자격 증명 공급자 메타데이터 정보에서 메타데이터 URL을 입력합니다. 예제:

    https://signin.aws.amazon.com/static/saml/SAMLSPXXXXXX/saml-metadata.xml

  3. 신뢰 당사자(예: AWS 계정 액세스)의 표시 이름을 설정한 후 다음을 선택합니다.

  4. 에 액세스할 사용자를 선택합니다 AWS. 특정 그룹을 선택하고 MFA와 같은 요구 사항을 정의할 수 있습니다.

  5. 완료 페이지에서 닫기를 선택하여 신뢰 당사자 추가 신뢰 마법사를 완료합니다. AWS 가 이제 신뢰 당사자로 구성됩니다.

클레임 규칙 생성

ADFS는 클레임 규칙 언어를 사용하여 클레임 공급자와 신뢰 당사자 간에 클레임을 발행하고 변환합니다. NameId, RoleSessionName, AD 그룹 가져오기 및 AWS 액세스를 위한 역할이라는 네 가지 클레임 규칙을 생성해야 합니다.

신뢰 당사자를 마우스 오른쪽 버튼으로 클릭한 다음 클레임 발급 정책 편집을 선택합니다. 규칙 추가를 선택하여 규칙을 추가합니다.

1. NameId

  1. 수신 클레임 변환을 선택한 후 다음을 선택합니다.

  2. 다음 설정을 사용합니다.

    • 클레임 규칙 이름: NameId

    • 수신 클레임 유형: Windows Account Name

    • 발신 클레임 유형: Name ID

    • 발신 이름 ID 형식: Persistent Identifier

    • 모든 클레임 값 전달: 확인됨

  3. 확인을 선택합니다.

2. RoleSessionName

  1. 규칙 추가(Add Rule)를 선택합니다.

  2. 클레임 규칙 템플릿 목록에서 클레임으로 LDAP 속성 전송을 선택합니다.

  3. 다음 설정을 사용합니다.

    • 클레임 규칙 이름: RoleSessionName

    • 속성 저장소: Active Directory

    • LDAP 속성: E-Mail-Addresses

    • 발신 클레임 유형: https://aws.amazon.com/SAML/Attributes/RoleSessionName

  4. 확인을 선택합니다.

3. AD 그룹 가져오기

  1. 규칙 추가(Add Rule)를 선택합니다.

  2. 클레임 규칙 템플릿 목록에서 사용자 지정 규칙을 사용하여 클레임 전송을 선택한 후 다음을 선택합니다.

  3. 클레임 규칙 이름에 Get AD Groups를 입력한 다음 사용자 지정 규칙에 다음을 입력합니다.

    c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
=> add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);

    이 사용자 지정 규칙은 인증된 사용자가 속한 모든 그룹을 검색하여 라는 임시 클레임에 배치하는 클레임 규칙 언어의 스크립트를 사용합니다http://temp/variable.

    참고

    예상치 못한 결과를 방지하기 위해 후행 공백이 없는지 확인합니다.

4. 역할 속성

  1. 규칙 추가(Add Rule)를 선택합니다.

  2. 클레임 규칙 템플릿 목록에서 사용자 지정 규칙을 사용하여 클레임 전송을 선택한 후 다음을 선택합니다.

  3. 클레임 규칙 이름에 Roles를 입력한 다음 사용자 지정 규칙에 다음을 입력합니다.

    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([\d]{12})"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([\d]{12})-", "arn:aws:iam::$1:saml-provider/<ADFS>,arn:aws:iam::$1:role/"));

    이 사용자 지정 규칙은 정규식을 사용하여 양식의 각 그룹 멤버십을가 AWS 예상하는 IAM 역할 ARN 및 IAM 페더레이션 공급자 ARN 양식AWS-<Account Number>-<Role Name>으로 변환합니다.

    참고

    위의 예제 규칙 언어에서는 자격 증명 공급자 설정에서 SAML AWS 자격 증명 공급자에 지정된 논리적 이름을 ADFS 나타냅니다. ID 제공업체의 IAM 콘솔에서 선택한 논리적 이름을 기반으로 이를 변경합니다.

구성 테스트

에서 인증하여 솔루션이 작동하는지 테스트합니다https://<yourADFSserverFQDN>/adfs/ls/IdpInitiatedSignOn.aspx. 사이트의 드롭다운 목록에서 생성한 신뢰 당사자 이름을 선택합니다.

에서 기본 SAML 어설션 엔드포인트 업데이트 ADFS

중요

에서 신뢰 당사자 신뢰를 구성할 때 SAML 어설션 엔드포인트ADFS는 기본적으로 글로벌 엔드포인트https://signin.aws.amazon.com/가 아니며에 있습니다us-east-1. 기본 엔드포인트를 IAM Identity Center가 복원력을 위해 구성된 리전 엔드포인트와 다른 리전 엔드포인트로 수정하는 것이 좋습니다. 예를 들어 IAM Identity Center가에 배포되어 us-east-1 있고 에서도 작업하는 경우 기본 SAML 어설션 소비자 엔드포인트를 로 us-west-2변경합니다https://us-west-2.signin.aws.amazon.com/saml.

  1. 신뢰 당사자 신뢰에서 속성을 선택하고 모니터링 탭으로 이동합니다. 신뢰 당사자 자동 업데이트 확인란의 선택을 취소합니다.

  2. 엔드포인트 탭으로 이동하여 원하는 로그인 엔드포인트를 선택하고 편집을 선택합니다.

  3. 신뢰할 수 있는 URL을 기본값으로 설정 확인란을 선택합니다. 설정을 적용하려면 확인적용을 선택합니다.

참고

대부분의 IdP에서는 필요할 때까지 애플리케이션 통합을 비활성화할 수 있습니다. 비상 액세스가 필요할 때까지 IdP에서 직접 IAM 페더레이션 애플리케이션을 비활성화 상태로 유지하는 것이 좋습니다.