기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 를 사용하여 직접 IAM 페더레이션 애플리케이션의 일회성 설정 ADFS
<a name="emergency-access-one-time-setup-direct-IAM-federation-application-in-adfs"></a>

이 가이드에서는 IAM Identity Center를 사용할 수 없을 AWS 계정 때에 대한 긴급 액세스를 활성화ADFS하기 위해를 사용하여 직접 IAM 페더레이션을 구성하는 일회성 설정 프로세스에 대해 설명합니다.

## 사전 조건
<a name="emergency-access-adfs-prerequisites"></a>

 AWS 관리형 Microsoft ADADFS로를 구성하려는 경우 먼저 [다중 리전 복제를 구성](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_configure_multi_region_replication.html)하고 복원력을 위해 기본 리전이 아닌 추가 리전에서 다음 단계를 계속하는 것이 좋습니다.

## Active Directory 그룹 이름 지정 규칙 계획
<a name="emergency-access-adfs-plan-naming"></a>

그룹 이름과 AWS IAM 역할 간의 자동 일치를 활성화하는 특정 이름 지정 패턴을 사용하여 AD 그룹을 생성합니다.

**그룹 이름 지정 형식**: `AWS-<AccountNumber>-<RoleName>`

설명을 보려면 [비상 역할, 계정 및 그룹 매핑을 설계하는 방법](emergency-access-mapping-design.md) 아래의 다이어그램에서 긴급 계정을 참조하세요. 사용자가이 그룹에 할당되면 계정의 `EmergencyAccess_Role1_RO` 역할에 대한 액세스 권한이 부여됩니다`123456789012`. 사용자가 여러 그룹과 연결된 경우 별로 사용 가능한 역할 목록이 표시되고 수임할 역할을 선택할 AWS 계정 수 있습니다.

## AWS 구성
<a name="emergency-access-adfs-aws-configuration"></a>

전체 설정에는 긴급 액세스 계정 및 워크로드 계정의 구성이 포함됩니다. 전체 설정에 대한 그림은 단원을 참조하십시오[비상 역할, 계정 및 그룹 매핑을 설계하는 방법](emergency-access-mapping-design.md).

1. [SAML 자격 증명 공급자 생성](#emergency-access-adfs-create-saml-provider)

1. [긴급 액세스 역할 생성](#emergency-access-adfs-create-roles)

1. [워크로드 계정 역할 구성](#emergency-access-adfs-configure-workload-accounts)

### SAML 자격 증명 공급자 생성
<a name="emergency-access-adfs-create-saml-provider"></a>

긴급 액세스 계정에서 IAM에서 SAML 자격 증명 공급자 생성의 단계에 따라 [IAM에서 SAML 자격 증명 공급자를 생성합니다](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html). ADFS 서버에서 필요한 메타데이터를 다운로드합니다.

`https://<yourADFSserverFQDN>/FederationMetadata/2007-06/FederationMetadata.xml`

### 긴급 액세스 역할 생성
<a name="emergency-access-adfs-create-roles"></a>

SAML 2.0 연동을 신뢰할 수 있는 엔터티 유형으로 사용하여 긴급 계정에서 긴급 [액세스 역할을 생성합니다](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_saml.html). 이전 단계에서 생성한 SAML 2.0 공급자를 선택합니다.

**고려 사항:**
+ **운영 중인 모든 리전 포함 **- 활성 워크로드가 있는 모든 리전을 선택하여 리전 중단 시 페더레이션을 계속 사용할 수 있도록 합니다.
+ **단일 리전에서 운영하는 경우에도 하나 이상의 추가 리전 엔드포인트를 구성합니다**. 예를 들어 에서만 운영하는 경우 `us-east-1`를 보조 엔드포인트`us-west-2`로 추가합니다. IdP를 `us-west-2` SAML 로그인 엔드포인트로 장애 조치하고의 워크로드 없이도 `us-east-1` 리소스에 계속 액세스할 수 있습니다`us-west-2`.
+ **비리전 엔드포인트와 리전 엔드포인트 모두 활성화 -** 비리전 엔드포인트(`https://signin.aws.amazon.com/saml`)는 가용성이 높지만 단일에서 호스팅되는 AWS 리전`us-east-1`반면 리전 엔드포인트(`https://<region>.signin.aws.amazon.com/saml`)는 단일 글로벌 엔드포인트에 대한 종속성을 줄여 복원력을 개선합니다.

**신뢰 정책 구성**

여러 로그인 리전 엔드포인트가 있는 신뢰 정책의 예는 섹션을 참조[Okta에서 직접 IAM 페더레이션 애플리케이션을 한 번만 설정하면 됩니다.](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md)하세요. 샘플 리전 엔드포인트 및 SAML 공급자 ARNs 사용자의 것으로 바꿉니다.

**권한 정책 구성**

긴급 액세스 역할에 연결하는 권한 정책의 [Okta에서 직접 IAM 페더레이션 애플리케이션을 한 번만 설정하면 됩니다.](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md) 예는 섹션을 참조하세요.

### 워크로드 계정 역할 구성
<a name="emergency-access-adfs-configure-workload-accounts"></a>

워크로드 계정 역할의 경우 긴급 액세스 계정의 긴급 액세스 역할이 해당 역할을 수임하도록 허용하는 사용자 지정 신뢰 정책을 구성합니다. 계정이 긴급 액세스 계정인 신뢰 정책의 [Okta에서 직접 IAM 페더레이션 애플리케이션을 한 번만 설정하면 됩니다.](emergency-access-one-time-setup-direct-IAM-federation-application-in-idp.md) 예는 섹션을 참조`123456789012`하세요.

## Active Directory 구성
<a name="emergency-access-adfs-ad-configuration"></a>

다음 단계에서는 긴급 액세스를 위해 Active Directory 및 ADFS를 구성하는 방법을 설명합니다.

1. [그룹 생성](#emergency-access-adfs-create-groups)

1. [신뢰 당사자 생성](#emergency-access-adfs-create-relying-party)

1. [클레임 규칙 생성](#emergency-access-adfs-create-claim-rules)

### 그룹 생성
<a name="emergency-access-adfs-create-groups"></a>

앞에서 설명한 이름 지정 규칙(예: )에 따라 Active Directory에서 비상 그룹을 생성합니다`AWS-123456789012-EmergencyAccess_Role1_RO`. 기존 프로비저닝 메커니즘을 통해 이러한 그룹에 사용자를 할당합니다.

### 신뢰 당사자 생성
<a name="emergency-access-adfs-create-relying-party"></a>

ADFS 페더레이션에는 신뢰 당사자 구성이 필요합니다. 신뢰 당사자는 자격 증명 공급자ADFS로에 인증을 아웃소싱하는 AWS Security Token Service (AWS STS)입니다.

1. ADFS 관리 콘솔에서 작업 메뉴를 사용하고 **신뢰 당사자 신뢰 추가를** 선택합니다. 신뢰 당사자를 추가할 때 **클레임 인식을** 선택합니다.

1. 페더레이션 메타데이터의 경우 IAM 콘솔의 자격 증명 공급자 메타데이터 정보에서 메타데이터 URL을 입력합니다. 예제:

   `https://signin.aws.amazon.com/static/saml/SAMLSPXXXXXX/saml-metadata.xml`

1. 신뢰 당사자(예: **AWS 계정 액세스**)의 표시 이름을 설정한 **후 다음을** 선택합니다.

1. 에 액세스할 사용자를 선택합니다 AWS. 특정 그룹을 선택하고 MFA와 같은 요구 사항을 정의할 수 있습니다.

1. 완료 페이지에서 **닫기**를 선택하여 신뢰 당사자 추가 신뢰 마법사를 완료합니다. AWS 가 이제 신뢰 당사자로 구성됩니다.

### 클레임 규칙 생성
<a name="emergency-access-adfs-create-claim-rules"></a>

ADFS는 클레임 규칙 언어를 사용하여 클레임 공급자와 신뢰 당사자 간에 클레임을 발행하고 변환합니다. NameId, RoleSessionName, AD 그룹 가져오기 및 AWS 액세스를 위한 역할이라는 네 가지 클레임 규칙을 생성해야 합니다.

신뢰 당사자를 마우스 오른쪽 버튼으로 클릭한 다음 **클레임 발급 정책 편집**을 선택합니다. **규칙 추가**를 선택하여 규칙을 추가합니다.

**1. NameId** 

1. **수신 클레임 변환을** 선택한 **후 다음을** 선택합니다.

1. 다음 설정을 사용합니다.
   + 클레임 규칙 이름: `NameId`
   + 수신 클레임 유형: `Windows Account Name`
   + 발신 클레임 유형: `Name ID`
   + 발신 이름 ID 형식: `Persistent Identifier`
   + 모든 클레임 값 전달: 확인됨

1. **확인**을 선택합니다.

**2. RoleSessionName** 

1. **규칙 추가(Add Rule)**를 선택합니다.

1. 클레임 규칙 템플릿 목록에서 **클레임으로 LDAP 속성 전송을** 선택합니다.

1. 다음 설정을 사용합니다.
   + 클레임 규칙 이름: `RoleSessionName`
   + 속성 저장소: `Active Directory`
   + LDAP 속성: `E-Mail-Addresses`
   + 발신 클레임 유형: `https://aws.amazon.com/SAML/Attributes/RoleSessionName`

1. **확인**을 선택합니다.

**3. AD 그룹 가져오기**

1. **규칙 추가(Add Rule)**를 선택합니다.

1. 클레임 규칙 템플릿 목록에서 **사용자 지정 규칙을 사용하여 클레임 전송을** 선택한 **후 다음을** 선택합니다.

1. 클레임 규칙 이름에 `Get AD Groups`를 입력한 다음 사용자 지정 규칙에 다음을 입력합니다.

   ```
   c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname", Issuer == "AD AUTHORITY"]
   => add(store = "Active Directory", types = ("http://temp/variable"), query = ";tokenGroups;{0}", param = c.Value);
   ```

   이 사용자 지정 규칙은 인증된 사용자가 속한 모든 그룹을 검색하여 라는 임시 클레임에 배치하는 클레임 규칙 언어의 스크립트를 사용합니다`http://temp/variable`.
**참고**  
예상치 못한 결과를 방지하기 위해 후행 공백이 없는지 확인합니다.

**4. 역할 속성**

1. **규칙 추가(Add Rule)**를 선택합니다.

1. 클레임 규칙 템플릿 목록에서 **사용자 지정 규칙을 사용하여 클레임 전송을** 선택한 **후 다음을** 선택합니다.

1. 클레임 규칙 이름에 `Roles`를 입력한 다음 사용자 지정 규칙에 다음을 입력합니다.

   ```
   c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([\d]{12})"]
   => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([\d]{12})-", "arn:aws:iam::$1:saml-provider/<ADFS>,arn:aws:iam::$1:role/"));
   ```

   이 사용자 지정 규칙은 정규식을 사용하여 양식의 각 그룹 멤버십을가 AWS 예상하는 IAM 역할 ARN 및 IAM 페더레이션 공급자 ARN 양식`AWS-<Account Number>-<Role Name>`으로 변환합니다.
**참고**  
위의 예제 규칙 언어에서는 자격 증명 공급자 설정에서 SAML AWS 자격 증명 공급자에 지정된 논리적 이름을 `ADFS` 나타냅니다. ID 제공업체의 IAM 콘솔에서 선택한 논리적 이름을 기반으로 이를 변경합니다.

## 구성 테스트
<a name="emergency-access-adfs-test-configuration"></a>

에서 인증하여 솔루션이 작동하는지 테스트합니다`https://<yourADFSserverFQDN>/adfs/ls/IdpInitiatedSignOn.aspx`. 사이트의 드롭다운 목록에서 생성한 신뢰 당사자 이름을 선택합니다.

## 에서 기본 SAML 어설션 엔드포인트 업데이트 ADFS
<a name="emergency-access-adfs-update-saml-endpoint"></a>

**중요**  
에서 신뢰 당사자 신뢰를 구성할 때 SAML 어설션 엔드포인트ADFS는 기본적으로 글로벌 엔드포인트`https://signin.aws.amazon.com/`가 아니며에 있습니다`us-east-1`. 기본 엔드포인트를 IAM Identity Center가 복원력을 위해 구성된 리전 엔드포인트와 다른 리전 엔드포인트로 수정하는 것이 좋습니다. 예를 들어 IAM Identity Center가에 배포되어 `us-east-1` 있고 에서도 작업하는 경우 기본 SAML 어설션 소비자 엔드포인트를 로 `us-west-2`변경합니다`https://us-west-2.signin.aws.amazon.com/saml`.

1. 신뢰 당사자 신뢰에서 **속성을** 선택하고 **모니터링** 탭으로 이동합니다. **신뢰 당사자 자동 업데이트 확인란의 선택을 취소합니다**.

1. **엔드포인트** 탭으로 이동하여 원하는 로그인 엔드포인트를 선택하고 **편집**을 선택합니다.

1. 신뢰할 **수 있는 URL을 기본값으로 설정** 확인란을 선택합니다. 설정을 적용하려면 **확인** 및 **적용을** 선택합니다.

**참고**  
대부분의 IdP에서는 필요할 때까지 애플리케이션 통합을 비활성화할 수 있습니다. 비상 액세스가 필요할 때까지 IdP에서 직접 IAM 페더레이션 애플리케이션을 비활성화 상태로 유지하는 것이 좋습니다.