기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Microsoft AD 디렉터리
<a name="manage-your-identity-source-ad"></a>

를 사용하면를 AWS Managed Microsoft AD 사용하여 Active Directory(AD)의 자체 관리형 디렉터리 또는의 디렉터리를 연결할 AWS IAM Identity Center수 있습니다 AWS Directory Service. 이 Microsoft AD 디렉터리는 관리자가 IAM Identity Center 콘솔을 사용하여 싱글 사인 온 액세스를 할당할 때 가져올 수 있는 자격 증명 풀을 정의합니다. 기업 디렉터리를 IAM Identity Center에 연결한 후 AD 사용자 또는 그룹에 AWS 계정, 애플리케이션 또는 둘 다에 대한 액세스 권한을 부여할 수 있습니다.

AWS Directory Service 를 사용하면에서 호스팅되는 독립 실행형 AWS Managed Microsoft AD 디렉터리를 설정하고 실행할 수 있습니다 AWS 클라우드. Directory Service 를 사용하여 AWS 리소스를 기존 자체 관리형 AD와 연결할 수도 있습니다. 자체 관리형 AD와 함께 작동 AWS Directory Service 하도록를 구성하려면 먼저 신뢰 관계를 설정하여 클라우드로 인증을 확장해야 합니다.

IAM Identity Center는에서 제공하는 연결을 Directory Service 사용하여 소스 AD 인스턴스에 대한 패스스루 인증을 수행합니다. 를 ID 소스 AWS Managed Microsoft AD 로 사용하면 IAM Identity Center는 AD 트러스트를 통해 연결된 도메인의 사용자 AWS Managed Microsoft AD 와 함께 작업할 수 있습니다. 4개 이상의 도메인에서 사용자를 찾으려는 경우 사용자는 IAM Identity Center에 로그인할 때 `DOMAIN\user` 구문을 사용자 이름으로 사용해야 합니다.

**참고**  
사전 조건 단계로 AD Connector 또는 AWS Managed Microsoft AD 의 디렉터리가 AWS Organizations 관리 계정 내에 Directory Service 있는지 확인합니다.
IAM Identity Center는 SAMBA 4 기반 Simple AD를 연결된 디렉터리로 지원하지 않습니다.
 IAM Identity Center는 FSPs 없습니다. 의 AWS Managed Microsoft AD 그룹에 신뢰할 수 있는 도메인의 멤버가 FSPs로 포함된 경우 해당 멤버는 동기화되지 않습니다.

Active Directory를 IAM Identity Center의 자격 증명 소스로 사용하는 프로세스에 대한 데모는 다음 YouTube 비디오를 참조하세요.

[![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/OMbob_ef7J4?si=J23xw0EGkZOo8y9n)


## Active Directory 사용 시 고려 사항
<a name="considerations-ad-identitysource"></a>

Active Directory를 ID 소스로 사용하려면 구성이 다음과 같은 사전 요구 사항을 충족해야 합니다.
+ 를 사용하는 경우 AWS Managed Microsoft AD 디렉터리가 설정된 AWS 리전 동일한에서 IAM Identity Center를 활성화 AWS Managed Microsoft AD해야 합니다. IAM Identity Center는 디렉터리와 동일한 리전에 할당 데이터를 저장합니다. IAM Identity Center를 관리하려면 IAM Identity Center가 구성된 리전으로 전환해야 합니다. 또한 AWS 액세스 포털은 디렉터리와 동일한 액세스 URL을 사용합니다.
+ 관리 계정에 있는 Active Directory를 사용합니다.

  에 설정된 기존 AD 커넥터 또는 AWS Managed Microsoft AD 디렉터리가 있어야 하며 AWS Organizations 관리 계정 내에 있어야 AWS Directory Service합니다. 한 AWS Managed Microsoft AD 번에 AD Connector 디렉터리 하나 또는의 디렉터리 하나만 연결할 수 있습니다. 여러 도메인이나 포리스트를 지원해야 하는 경우 AWS Managed Microsoft AD를 사용합니다. 자세한 내용은 다음을 참조하세요.
  + [의 디렉터리를 IAM Identity Center AWS Managed Microsoft AD 에 연결](connectawsad.md)
  + [Active Directory의 자체 관리형 디렉터리를 IAM Identity Center에 연결](connectonpremad.md)
+ 위임된 관리자 계정에 있는 Active Directory를 사용합니다.

  IAM Identity Center 위임된 관리자를 활성화하고 Active Directory를 IAM Identity Center ID 소스로 사용하려는 경우 위임된 관리자 계정에 있는 AWS Managed Microsoft AD 디렉터리에 설정된 기존 AD 커넥터 또는 AWS 디렉터리를 사용할 수 있습니다.

  IAM Identity Center ID 소스를 다른 소스에서 Active Directory로 변경하거나 Active Directory에서 다른 소스로 변경하려는 경우, 해당 디렉터리는 IAM Identity Center에서 위임한 관리자 계정(있는 경우)에 있어야 하며, 그렇지 않으면 관리 계정에 있어야 합니다.

# Active Directory 연결 및 사용자 지정
<a name="get-started-connect-id-source-ad-idp-specify-user"></a>

이미 Active Directory를 사용 중인 경우 다음 주제가 디렉터리를 IAM Identity Center에 연결하는 데 도움이 될 것입니다.

디렉터리 AWS Managed Microsoft AD 또는 Active Directory의 자체 관리형 디렉터리를 IAM Identity Center와 연결할 수 있습니다.

**참고**  
IAM Identity Center는 SAMBA4 기반 Simple AD를 ID 소스로 지원하지 않습니다.

**AWS Managed Microsoft AD**

1. [Microsoft AD 디렉터리](manage-your-identity-source-ad.md)에서 지침을 검토하세요.

1. [의 디렉터리를 IAM Identity Center AWS Managed Microsoft AD 에 연결](connectawsad.md) 단원의 단계를 따르세요.

1. 관리자 권한을 부여하려는 사용자가 IAM Identity Center와 동기화하도록 Active Directory를 구성합니다. 자세한 내용은 [관리 사용자의 IAM Identity Center 동기화](#sync-admin-user-from-ad) 단원을 참조하십시오.

**Active Directory의 자체 관리형 디렉터리**

1. [Microsoft AD 디렉터리](manage-your-identity-source-ad.md)에서 지침을 검토하세요.

1. [Active Directory의 자체 관리형 디렉터리를 IAM Identity Center에 연결](connectonpremad.md) 단원의 단계를 따르세요.

1. 관리자 권한을 부여하려는 사용자가 IAM Identity Center와 동기화하도록 Active Directory를 구성합니다. 자세한 내용은 [관리 사용자의 IAM Identity Center 동기화](#sync-admin-user-from-ad) 단원을 참조하십시오.

**외부 ID 제공업체(IdP)**

1. [외부 ID 제공업체](manage-your-identity-source-idp.md)에서 지침을 검토하세요.

1. [외부 ID 제공업체에 연결하는 방법](how-to-connect-idp.md) 단원의 단계를 따르세요.

1. 

   사용자를 IAM Identity Center에 프로비저닝하도록 ID 제공업체를 구성합니다.
**참고**  
IdP의 모든 직원 ID를 IAM Identity Center에 자동으로 그룹 기반으로 프로비저닝하도록 설정하기 전에 관리 권한을 부여하려는 한 명의 사용자를 IAM Identity Center와 동기화하는 것이 좋습니다.

## 관리 사용자의 IAM Identity Center 동기화
<a name="sync-admin-user-from-ad"></a>

Active Directory를 IAM Identity Center에 연결한 후, 관리 권한을 부여할 사용자를 지정한 다음 디렉터리의 해당 사용자를 IAM Identity Center로 동기화할 수 있습니다.

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **설정**을 선택합니다.

1. **설정** 페이지에서 **ID 소스** 탭을 선택하고 **작업**을 선택한 다음 **동기화 관리**를 선택합니다.

1. **동기화 관리** 페이지에서 **사용자** 탭을 선택한 다음 **사용자 및 그룹 추가**를 선택합니다.

1. **사용자** 탭의 **사용자**에 정확한 사용자 이름을 입력하고 **추가**를 선택합니다.

1. **추가된 사용자 및 그룹**에서 다음 작업을 수행합니다.

   1. 관리 권한을 부여하려는 사용자가 지정되었는지 확인합니다.

   1. 사용자 이름 왼쪽의 확인란을 선택합니다.

   1. **제출**을 선택합니다.

1. **동기화 관리** 페이지에서 지정한 사용자가 **동기화 범위의 사용자** 목록에 나타납니다.

1. 탐색 창에서 **사용자**를 선택합니다.

1. **사용자** 페이지에서 지정한 사용자가 목록에 나타나는 데 시간이 걸릴 수 있습니다. 새로 고침 아이콘을 선택하여 사용자 목록을 업데이트합니다.

이때 사용자는 관리 계정에 액세스할 수 없습니다. 관리 권한 세트를 만들고, 해당 권한 세트에 사용자를 할당하여 이 계정에 대한 관리 액세스 권한을 설정합니다. 자세한 내용은 [권한 집합을 생성합니다.](howtocreatepermissionset.md) 단원을 참조하십시오.

## Active Directory에서 사용자를 가져올 때 프로비저닝
<a name="provision-users-from-ad"></a>

IAM Identity Center는에서 제공하는 연결을 사용하여 Active Directory의 소스 디렉터리에서 IAM Identity Center ID 스토어로 사용자, 그룹 및 멤버십 정보를 Directory Service 동기화합니다. 사용자 인증은 Active Directory의 소스 디렉터리에서 직접 수행되므로 암호 정보는 IAM Identity Center에 동기화되지 않습니다. 이 ID 데이터는 애플리케이션에서 LDAP 작업을 Active Directory의 소스 디렉터리로 다시 전달하지 않고도 인앱 조회, 권한 부여 및 협업 시나리오를 용이하게 하는 데 사용됩니다.

프로비저닝에 대한 자세한 내용은 [사용자 및 그룹 프로비저닝](users-groups-provisioning.md#user-group-provision) 단원을 참조하세요.

**Topics**
+ [Active Directory 사용 시 고려 사항](#considerations-ad-identitysource)
+ [Active Directory 연결 및 사용자 지정](get-started-connect-id-source-ad-idp-specify-user.md)
+ [Active Directory에서 사용자를 가져올 때 프로비저닝](#provision-users-from-ad)
+ [의 디렉터리를 IAM Identity Center AWS Managed Microsoft AD 에 연결](connectawsad.md)
+ [Active Directory의 자체 관리형 디렉터리를 IAM Identity Center에 연결](connectonpremad.md)
+ [IAM Identity Center와 외부 ID 제공업체 디렉터리 간의 속성 매핑](attributemappingsconcept.md)
+ [IAM Identity Center 구성 가능 AD 동기화](provision-users-from-ad-configurable-ADsync.md)

# 의 디렉터리를 IAM Identity Center AWS Managed Microsoft AD 에 연결
<a name="connectawsad"></a>

다음 절차에 따라에서 AWS Managed Microsoft AD 관리하는의 디렉터리를 IAM Identity Center AWS Directory Service 에 연결합니다.

**IAM Identity Center AWS Managed Microsoft AD 에 연결하려면**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
**참고**  
다음 단계로 넘어가기 전에 IAM Identity Center 콘솔이 AWS Managed Microsoft AD 디렉터리가 위치한 리전 중 하나를 사용하고 있는지 확인합니다.

1. **설정**을 선택합니다.

1. **설정** 페이지에서 **ID 소스** 탭을 선택한 다음 **작업 > ID 소스 변경**을 선택합니다.

1. **ID 소스 선택**에서 **Active Directory**를 선택하고 **다음**을 선택합니다.

1. **활성 디렉터리 연결** 아래의 목록에서 AWS Managed Microsoft AD 의 디렉터리를 선택한 후 **다음**을 선택합니다.

1. **변경 확인**에서 정보를 검토하고 준비가 되면 **ACCEPT**를 입력한 다음 **ID 소스 변경**을 선택합니다.
**중요**  
Active Directory의 사용자를 IAM Identity Center의 관리 사용자로 지정하려면 먼저 Active Directory에서 관리 권한을 부여하려는 사용자를 IAM Identity Center로 동기화해야 합니다. 이렇게 하려면 [관리 사용자의 IAM Identity Center 동기화](get-started-connect-id-source-ad-idp-specify-user.md#sync-admin-user-from-ad) 단원의 절차를 따르세요.

# Active Directory의 자체 관리형 디렉터리를 IAM Identity Center에 연결
<a name="connectonpremad"></a>

Active Directory(AD)의 자체 관리형 디렉터리에 있는 사용자는 액세스 포털의 AWS 계정 및 애플리케이션에 대한 Single Sign-On AWS 액세스 권한도 가질 수 있습니다. 이러한 사용자에 대한 Single Sign-On 액세스를 구성하려면 다음 중 하나를 수행할 수 있습니다.
+ **양방향 신뢰 관계 생성** - AWS Managed Microsoft AD 와 AD의 자체 관리형 디렉터리 간에 양방향 신뢰 관계가 생성되면 AD의 자체 관리형 디렉터리에 있는 사용자는 다양한 AWS 서비스 및 비즈니스 애플리케이션에 회사 자격 증명으로 로그인할 수 있습니다. 단방향 신뢰는 IAM Identity Center에서 작동하지 않습니다.

  AWS IAM Identity Center 는 도메인에서 사용자 및 그룹 정보를 읽고 사용자 및 그룹 메타데이터를 동기화할 수 있는 권한을 갖도록 양방향 신뢰가 필요합니다. IAM Identity Center는 권한 집합 또는 애플리케이션에 액세스 권한을 할당할 때 이 메타데이터를 사용합니다. 사용자 및 그룹 메타데이터는 애플리케이션에서 다른 사용자 또는 그룹과 대시보드를 공유하는 경우와 같이 협업용으로도 사용됩니다. Directory Service for Microsoft Active Directory에서 도메인으로의 신뢰는 IAM Identity Center가 인증을 위해 도메인을 신뢰하도록 허용합니다. 반대 방향의 신뢰는 사용자 및 그룹 메타데이터를 읽을 수 있는 AWS 권한을 부여합니다.

  양방향 신뢰를 설정하는 방법에 대한 자세한 내용은 *AWS Directory Service 관리 가이드*의 [신뢰 관계를 생성해야 하는 경우](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html)를 참조하세요.
**참고**  
IAM Identity Center와 같은 AWS 애플리케이션을 사용하여 신뢰할 수 있는 도메인에서 Directory Service 디렉터리 사용자를 읽으려면 Directory Service 계정에 신뢰할 수 있는 사용자의 userAccountControl 속성에 대한 권한이 필요합니다. 이 속성에 대한 읽기 권한이 없으면 AWS 애플리케이션이 계정의 활성화 또는 비활성화 여부를 확인할 수 없습니다.  
이 속성에 대한 읽기 액세스는 신뢰가 생성될 때 기본값으로 제공됩니다. 이 속성에 대한 액세스를 거부하면(권장하지 않음) Identity Center와 같은 애플리케이션이 신뢰할 수 있는 사용자를 읽을 수 없게 됩니다. 해결 방법은 AWS 예약 OU(\$1 접두사)에 있는 AWS 서비스 계정의 `userAccountControl` 속성에 대한 읽기 액세스를 허용하는 것입니다 AWS.
+ **AD 커넥터 생성** - AD Connector는 클라우드에 정보를 캐싱하지 않고도 디렉터리 요청을 자체 관리형 AD로 리디렉션할 수 있는 디렉터리 게이트웨이입니다. 자세한 정보는 *AWS Directory Service 관리 가이드*의 [디렉터리에 연결](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_ad_connector.html)을 참조하세요. AD 커넥터 사용 시 고려 사항은 다음과 같습니다.
  + IAM Identity Center를 AD Connector 디렉터리에 연결하는 경우 향후 사용자 암호 재설정은 AD 내에서 수행해야 합니다. 즉, 사용자는 AWS 액세스 포털에서 암호를 재설정할 수 없습니다.
  + AD 커넥터를 사용하여 Active Directory 도메인 서비스를 IAM Identity Center에 연결하는 경우 IAM Identity Center는 AD 커넥터가 연결된 단일 도메인의 사용자 및 그룹에만 액세스할 수 있습니다. 여러 도메인이나 포리스트를 지원해야 하는 경우 Microsoft Active Directory에는 Directory Service 를 사용합니다.
**참고**  
IAM Identity Center는 SAMBA4 기반 Simple AD 디렉터리에서는 작동하지 않습니다.

# IAM Identity Center와 외부 ID 제공업체 디렉터리 간의 속성 매핑
<a name="attributemappingsconcept"></a>

속성 매핑은 IAM Identity Center에 있는 속성 유형을 Google Workspace, Microsoft Active Directory (AD), Okta와 같은 외부 ID 소스의 유사 속성과 매핑하는 데에 사용됩니다. IAM Identity Center는 ID 소스에서 사용자 속성을 검색하여 이를 IAM Identity Center 사용자 속성에 매핑합니다.

IAM Identity Center가 Google Workspace, Okta, Ping과 같은 **외부 ID 제공업체**(IdP)를 자격 증명 소스로 사용하도록 동기화된 경우 IdP에 속성을 매핑해야 합니다.

IAM Identity Center는 해당 구성 페이지에 있는 **속성 매핑** 탭에서 속성 세트를 자동으로 채웁니다. IAM Identity Center는 이러한 사용자 속성을 사용하여 애플리케이션으로 전송되는 SAML 어설션(SAML 속성으로)을 채웁니다. 그러면 이러한 사용자 속성이 ID 소스에서 검색됩니다. 각 애플리케이션은 성공적인 Single Sign-On에 필요한 SAML 2.0 속성 목록을 결정합니다. 자세한 내용은 [애플리케이션의 속성을 IAM Identity Center 속성에 매핑](mapawsssoattributestoapp.md) 단원을 참조하십시오.

또한 Active Directory를 자격 증명 소스로 사용하는 경우 IAM Identity Center는 **Active Directory 구성 페이지**의 **속성 매핑** 섹션에서 속성 세트를 관리합니다. 자세한 내용은 [IAM Identity Center와 Microsoft AD 디렉터리 간 사용자 속성 매핑](mapssoattributestocdattributes.md) 단원을 참조하십시오.

## 지원되는 외부 ID 제공업체 속성
<a name="supportedidpattributes"></a>

다음 표에는 지원되며 IAM Identity Center에서 [액세스 제어를 위한 속성](attributesforaccesscontrol.md) 섹션을 구성할 때 사용할 수 있는 속성에 매핑할 수 있는 모든 외부 ID 제공업체(idP) 속성이 나열되어 있습니다. SAML 어설션을 사용할 때는 IdP가 지원하는 모든 속성을 사용할 수 있습니다.


****  

| IdP에서 지원되는 속성 | 
| --- | 
| \$1\$1path:userName\$1 | 
| \$1\$1path:name.familyName\$1 | 
| \$1\$1path:name.givenName\$1 | 
| \$1\$1path:displayName\$1 | 
| \$1\$1path:nickName\$1 | 
| \$1\$1path:emails[primary eq true].value\$1 | 
| \$1\$1path:addresses[type eq "work"].streetAddress\$1 | 
| \$1\$1path:addresses[type eq "work"].locality\$1 | 
| \$1\$1path:addresses[type eq "work"].region\$1 | 
| \$1\$1path:addresses[type eq "work"].postalCode\$1 | 
| \$1\$1path:addresses[type eq "work"].country\$1 | 
| \$1\$1path:addresses[type eq "work"].formatted\$1 | 
| \$1\$1path:phoneNumbers[type eq "work"].value\$1 | 
| \$1\$1path:userType\$1 | 
| \$1\$1path:title\$1 | 
| \$1\$1path:locale\$1 | 
| \$1\$1path:timezone\$1 | 
| \$1\$1path:enterprise.employeeNumber\$1 | 
| \$1\$1path:enterprise.costCenter\$1 | 
| \$1\$1path:enterprise.organization\$1 | 
| \$1\$1path:enterprise.division\$1 | 
| \$1\$1path:enterprise.department\$1 | 
| \$1\$1path:enterprise.manager.value\$1 | 

## IAM Identity Center와 Microsoft AD 간의 기본 매핑
<a name="defaultattributemappings"></a>

다음 표에는 IAM Identity Center의 사용자 속성과 Microsoft AD 디렉터리의 사용자 속성에 대한 기본 매핑이 나와 있습니다. IAM Identity Center는 **IAM Identity Center 열의 사용자 속성**에 있는 속성 목록만 지원합니다.


****  

| IAM Identity Center의 사용자 속성  | Active Directory의 이 속성에 매핑 | 
| --- | --- | 
| displayname | \$1\$1displayname\$1 | 
| emails[?primary].value \$1 | \$1\$1mail\$1 | 
| externalid | \$1\$1objectguid\$1 | 
| name.givenname | \$1\$1givenname\$1 | 
| name.familyname | \$1\$1sn\$1 | 
| name.middlename | \$1\$1initials\$1 | 
| sid | \$1\$1objectsid\$1 | 
| username | \$1\$1userprincipalname\$1 | 

\$1 IAM Identity Center의 이메일 속성은 디렉터리 내에서 고유해야 합니다.


****  

| IAM Identity Center의 그룹 속성  | Active Directory의 이 속성에 매핑 | 
| --- | --- | 
| externalid | \$1\$1objectguid\$1 | 
| description | \$1\$1description\$1 | 
| displayname | \$1\$1samaccountname\$1@\$1associateddomain\$1 | 

**고려 사항**
+ 구성 가능한 AD 동기화를 활성화할 때 IAM Identity Center의 사용자 및 그룹에 대한 할당이 없는 경우 다음 표의 기본 매핑이 사용됩니다. 이러한 매핑을 사용자 지정하는 방법은 [동기화를 위한 속성 매핑을 구성합니다.](manage-sync-configure-attribute-mapping-configurable-ADsync.md) 단원을 참조하세요.
+ 특정 IAM Identity Center 속성은 변경할 수 없고 기본적으로 특정 Microsoft AD 디렉터리 속성에 매핑되므로 수정할 수 없습니다.

  예를 들어 "사용자 이름"은 IAM Identity Center의 필수 속성입니다. "사용자 이름"을 값이 비어 있는 AD 디렉터리 속성에 매핑하는 경우 IAM Identity Center는 `windowsUpn` 값을 "사용자 이름"의 기본값으로 간주합니다. 현재 매핑에서 "사용자 이름"의 속성 매핑을 변경하고자 한다면 변경 전 "사용자 이름"에 종속된 IAM Identity Center 플로가 예상대로 계속 작동하는지 확인합니다.

## IAM Identity Center에서 지원되는 Microsoft AD 속성
<a name="supporteddirectoryattributes"></a>

다음 표에는 지원되고 IAM Identity Center의 사용자 속성에 매핑할 수 있는 모든 Microsoft AD 디렉터리 속성이 나열되어 있습니다.


****  

| Microsoft AD 디렉터리에서 지원되는 속성 | 
| --- | 
| \$1\$1samaccountname\$1 | 
| \$1\$1description\$1 | 
| \$1\$1objectguid\$1 | 
| \$1\$1objectsid\$1 | 
| \$1\$1givenname\$1 | 
| \$1\$1sn\$1 | 
| \$1\$1initials\$1 | 
| \$1\$1mail\$1 | 
| \$1\$1userprincipalname\$1 | 
| \$1\$1displayname\$1 | 
| \$1\$1distinguishedname\$1 | 
| \$1\$1proxyaddresses[?type == "SMTP"].value\$1 | 
| \$1\$1proxyaddresses[?type == "smtp"].value\$1 | 
| \$1\$1useraccountcontrol\$1 | 
| \$1\$1associateddomain\$1 | 

**고려 사항**
+ 지원되는 Microsoft AD 디렉터리 속성의 조합을 IAM Identity Center의 단일 가변 속성에 매핑하도록 지정할 수 있습니다.

## Microsoft AD에 지원되는 IAM Identity Center 속성
<a name="supportedssoattributes"></a>

다음 표에는 지원되고 Microsoft AD 디렉터리의 사용자 속성에 매핑할 수 있는 모든 IAM Identity Center 속성이 나열되어 있습니다. 애플리케이션 속성 매핑을 설정한 후 동일한 IAM Identity Center 속성을 사용하여 해당 애플리케이션에서 사용하는 실제 속성에 매핑할 수 있습니다.


****  

| Active Directory용 IAM Identity Center에서 지원되는 속성 | 
| --- | 
| \$1\$1user:AD\$1GUID\$1 | 
| \$1\$1user:AD\$1SID\$1 | 
| \$1\$1user:email\$1 | 
| \$1\$1user:familyName\$1 | 
| \$1\$1user:givenName\$1 | 
| \$1\$1user:middleName\$1 | 
| \$1\$1user:name\$1 | 
| \$1\$1user:preferredUsername\$1 | 
| \$1\$1user:subject\$1 | 

# IAM Identity Center와 Microsoft AD 디렉터리 간 사용자 속성 매핑
<a name="mapssoattributestocdattributes"></a>

다음 절차를 사용하여 IAM Identity Center의 사용자 속성을 Microsoft AD 디렉터리의 해당 속성에 매핑하는 방법을 지정할 수 있습니다.

**IAM Identity Center의 속성을 디렉터리의 속성에 매핑하려면**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **설정**을 선택합니다.

1. **설정** 페이지에서 **액세스 제어용 속성** 탭을 선택한 다음 **속성 관리**를 선택합니다.

1. **액세스 제어용 속성 관리** 페이지에서 매핑하려는 IAM Identity Center의 속성을 찾은 다음 텍스트 상자에 값을 입력합니다. 예를 들어 IAM Identity Center 사용자 속성 **`email`**을 Microsoft AD 디렉터리 **`${mail}`** 속성에 매핑하는 게 좋을 수 있습니다.

1. **변경 사항 저장**을 선택합니다.

# IAM Identity Center 구성 가능 AD 동기화
<a name="provision-users-from-ad-configurable-ADsync"></a>

IAM Identity Center 구성 가능한 Active Directory(AD) 동기화를 사용하면 Microsoft Active Directory에서 IAM Identity Center에 자동으로 동기화되는 자격 증명을 명시적으로 구성하고 동기화 프로세스를 제어할 수 있습니다.
+ 이 방법을 통해 다음을 수행할 수 있습니다.
  + Microsoft Active Directory에서 IAM Identity Center에 자동으로 동기화되는 사용자 및 그룹을 명시적으로 정의하여 데이터 경계를 제어합니다. 언제든지 [사용자 및 그룹을 추가](manage-sync-add-users-groups-configurable-ADsync.md)하거나 [사용자 및 그룹을 제거](manage-sync-remove-users-groups-configurable-ADsync.md)하여 동기화 범위를 변경할 수 있습니다.
  + 동기화된 사용자 및 그룹에 [AWS 계정에 대한 Single Sign-On 액세스 권한](useraccess.md) 또는 [애플리케이션에 대한 액세스 권한](assignuserstoapp.md)을 할당합니다. 애플리케이션은 AWS 관리형 애플리케이션 또는 고객 관리형 애플리케이션일 수 있습니다.
  + 필요에 따라 [동기화를 일시 중지했다가 다시 시작하여](manage-sync-pause-resume-sync-configurable-ADsync.md) 동기화 프로세스를 제어합니다. 이를 통해 프로덕션 시스템의 부하를 조절할 수 있습니다.

## 필수 조건 및 고려 사항
<a name="prerequisites-configurable-ADsync"></a>

구성 가능한 AD 동기화를 사용하기 전에 다음의 사전 조건 및 고려 사항에 주의하세요.
+ **Active Directory에서 동기화할 사용자 및 그룹 지정**

  IAM Identity Center를 사용하여 관리형 애플리케이션 또는 고객 AWS 관리형 애플리케이션에 새 사용자 AWS 계정 및 그룹 액세스 권한을 할당하려면 먼저 Active Directory에서 동기화할 사용자 및 그룹을 지정한 다음 IAM Identity Center에 동기화해야 합니다.
  + **구성 가능한 AD 동기화** – IAM Identity Center는 도메인 컨트롤러에서 사용자와 그룹을 직접 검색하지 않습니다. 대신 먼저 동기화할 사용자 및 그룹 목록을 지정해야 합니다. IAM Identity Center에 이미 동기화된 사용자 및 그룹이 있는지 또는 구성 가능한 AD 동기화를 사용하여 처음으로 동기화하는 새 사용자 및 그룹이 있는지에 따라 다음 방법 중 하나로 이 목록(*동기화 범위*라고도 함)을 구성할 수 있습니다.
    + 기존 사용자 및 그룹: IAM Identity Center에 이미 동기화된 사용자 및 그룹이 있는 경우 구성 가능한 AD Sync의 동기화 범위는 해당 사용자 및 그룹 목록으로 미리 채워집니다. 새 사용자 또는 그룹을 할당하려면 동기화 범위에 구체적으로 추가해야 합니다. 자세한 내용은 [동기화 범위에 사용자 및 그룹 추가](manage-sync-add-users-groups-configurable-ADsync.md) 단원을 참조하세요.
    + 새 사용자 및 그룹: AWS 계정 및 애플리케이션에 대한 액세스 권한을 새 사용자 및 그룹에 할당하려면 먼저 구성 가능한 AD 동기화에서 동기화 범위에 추가할 사용자와 그룹을 지정해야 IAM Identity Center를 사용하여 할당할 수 있습니다. 자세한 내용은 [동기화 범위에 사용자 및 그룹 추가](manage-sync-add-users-groups-configurable-ADsync.md) 단원을 참조하세요.
+ <a name="makingassignmentsnestedgroups"></a>**Active Directory의 중첩된 그룹에 할당하기**

  다른 그룹의 구성원인 그룹을 *중첩 그룹*(또는 자식 그룹)이라고 합니다.
  + **구성 가능한 AD 동기화** – 구성 가능한 AD 동기화를 사용하여 중첩 그룹을 포함하는 Active Directory 그룹에 할당하는 경우 AWS 계정 또는 애플리케이션에 대한 액세스 권한이 있는 사용자의 범위가 늘어날 수 있습니다. 이 경우 할당은 중첩 그룹의 사용자를 포함하는 모든 사용자에게 적용됩니다. 예를 들어 그룹 A에 액세스 권한을 할당하고 그룹 B가 그룹 A의 멤버인 경우 그룹 B의 멤버도 이 액세스 권한을 상속합니다.
+ **자동화된 워크플로 업데이트**

  IAM Identity Center ID 스토어 API 작업과 IAM Identity Center 할당 API 작업을 사용하여 새 사용자 및 그룹에 계정 및 애플리케이션에 대한 액세스 권한을 할당하고 IAM Identity Center와 동기화하는 자동화된 워크플로가 있는 경우, 구성 가능한 AD 동기화로 예상대로 작동하도록 2022년 4월 15일까지 해당 워크플로를 조정해야 합니다. 구성 가능한 AD Sync는 사용자 및 그룹 할당 및 프로비저닝이 발생하는 순서와 쿼리 수행 방식을 변경합니다.
  + **구성 가능한 AD 동기화** – 프로비저닝이 먼저 수행되며 자동으로 수행되지는 않습니다. 대신 먼저 사용자 및 그룹을 동기화 범위에 추가하여 ID 스토어에 명시적으로 추가해야 합니다. 구성 가능한 AD 동기화의 동기화 구성을 자동화하기 위한 권장 단계에 대한 자세한 내용은 [구성 가능한 AD 동기화를 위한 동기화 구성을 자동화합니다.](automate-sync-configuration-configurable-ADsync.md) 단원을 참조하세요.

**Topics**
+ [필수 조건 및 고려 사항](#prerequisites-configurable-ADsync)
+ [구성 가능한 AD 동기화의 작동 방식](how-it-works-configurable-ADsync.md)
+ [동기화를 위한 속성 매핑을 구성합니다.](manage-sync-configure-attribute-mapping-configurable-ADsync.md)
+ [Active Directory에서 IAM Identity Center로의 최초 동기화 설정](manage-sync-configurable-ADsync.md)
+ [동기화 범위에 사용자 및 그룹 추가](manage-sync-add-users-groups-configurable-ADsync.md)
+ [동기화 범위에서 사용자 및 그룹을 제거합니다.](manage-sync-remove-users-groups-configurable-ADsync.md)
+ [동기화 일시 중지 및 다시 시작](manage-sync-pause-resume-sync-configurable-ADsync.md)
+ [구성 가능한 AD 동기화를 위한 동기화 구성을 자동화합니다.](automate-sync-configuration-configurable-ADsync.md)

# 구성 가능한 AD 동기화의 작동 방식
<a name="how-it-works-configurable-ADsync"></a>

IAM Identity Center는 다음 프로세스를 사용하여 ID 스토어의 AD 기반 ID 데이터를 새로 고칩니다. 필수 조건에 대해 자세히 알아보려면 [필수 조건 및 고려 사항](provision-users-from-ad-configurable-ADsync.md#prerequisites-configurable-ADsync) 섹션을 참조하세요.

## 만들기
<a name="how-it-works-creation-configurable-ADsync"></a>

Active Directory의 자체 관리형 디렉터리 또는에서 관리하는 디렉터리를 AWS Managed Microsoft AD IAM Identity Center Directory Service 에 연결한 후 IAM Identity Center ID 스토어에 동기화하려는 Active Directory 사용자 및 그룹을 명시적으로 구성할 수 있습니다. 선택한 ID는 약 3시간 정도마다 IAM Identity Center ID 스토어에 동기화됩니다. 디렉터리 크기에 따라 동기화 프로세스가 더 오래 걸릴 수 있습니다.

다른 그룹의 구성원인 그룹(*중첩 그룹* 또는 *자식 그룹*이라고 함)도 ID 스토어에 기록됩니다.

새 사용자 또는 그룹이 IAM Identity Center ID 스토어와 동기화된 후에만 액세스 권한을 할당할 수 있습니다.

## 업데이트
<a name="how-it-works-update-configurable-ADsync"></a>

IAM Identity Center ID 스토어의 ID 데이터는 Active Directory의 소스 디렉터리에서 데이터를 정기적으로 읽어 최신 상태로 유지됩니다. IAM Identity Center는 기본 동기화 주기로 매시간 Active Directory의 데이터를 동기화합니다. 데이터가 IAM Identity Center에 동기화되는 데는 Active Directory의 크기에 따라 30분에서 2시간이 걸릴 수 있습니다.

동기화 범위에 있는 사용자 및 그룹 객체와 해당 구성원 자격은 IAM Identity Center에서 생성되거나 업데이트되어 Active Directory의 소스 디렉터리에 있는 해당 객체에 매핑됩니다. 사용자 속성의 경우 IAM Identity Center 콘솔의 **액세스 제어 속성** 섹션에 나열된 속성의 하위 집합만 IAM Identity Center에서 업데이트됩니다. Active Directory에서 수행한 속성 업데이트가 IAM Identity Center에 반영되려면 1회의 동기화 주기가 걸릴 수 있습니다.

또한 IAM Identity Center ID 스토어와 동기화하는 사용자 및 그룹의 하위 집합을 업데이트할 수 있습니다. 새 사용자 또는 그룹을 이 하위 집합에 추가하거나 제거하도록 선택할 수 있습니다. 추가하는 모든 ID는 다음 예약 동기화 시 동기화됩니다. 하위 집합에서 제거한 ID는 IAM Identity Center ID 스토어에서 더 이상 업데이트되지 않습니다. 28일 이상 동기화되지 않은 사용자는 IAM Identity Center ID 스토어에서 비활성화됩니다. 해당 사용자 객체는 아직 동기화 범위에 속해 있는 다른 그룹에 속하지 않는 한 다음 동기화 주기 동안 IAM Identity Center ID 스토어에서 자동으로 비활성화됩니다.

## 삭제
<a name="how-it-works-deletion-configurable-ADsync"></a>

Active Directory의 소스 디렉터리에서 해당 사용자 또는 그룹 객체가 삭제되면 IAM Identity Center ID 스토어에서 사용자와 그룹이 삭제됩니다. 또는 IAM Identity Center 콘솔을 사용하여 IAM Identity Center ID 스토어에서 사용자 객체를 명시적으로 삭제할 수 있습니다. IAM Identity Center 콘솔을 사용하는 경우 동기화 범위에서도 사용자를 제거하여 다음 동기화 주기 동안 IAM Identity Center로 다시 동기화되지 않도록 해야 합니다.

언제든지 동기화를 일시 중지하고 다시 시작할 수도 있습니다. 28일 이상 동기화를 일시 중지하면 모든 사용자가 비활성화됩니다.

# 동기화를 위한 속성 매핑을 구성합니다.
<a name="manage-sync-configure-attribute-mapping-configurable-ADsync"></a>

사용 가능한 속성에 대한 자세한 내용은 [IAM Identity Center와 외부 ID 제공업체 디렉터리 간의 속성 매핑](attributemappingsconcept.md) 단원을 참조하세요.

**IAM Identity Center의 속성을 디렉터리에 매핑하도록 구성하려면**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **설정**을 선택합니다.

1. **설정** 페이지에서 **ID 소스** 탭을 선택하고 **작업**을 선택한 다음 **동기화 관리**를 선택합니다.

1. **동기화 관리**에서 **속성 매핑 보기**를 선택합니다.

1. **Active Directory 사용자 속성**에서 **IAM Identity Center ID 스토어 속성**과 **Active Directory 사용자 속성**을 구성합니다. 예를 들어 IAM Identity Center ID 스토어 속성 `email`을 Active Directory 사용자 디렉터리 속성 `${objectguid}`에 매핑하는 게 좋을 수 있습니다.
**참고**  
**그룹 속성**에서 **IAM Identity Center Identity Store 속성**과 **Active Directory 그룹 속성**을 변경할 수 없습니다.

1. **변경 사항 저장**을 선택합니다. 그러면 **동기화 관리** 페이지로 돌아갑니다.

# Active Directory에서 IAM Identity Center로의 최초 동기화 설정
<a name="manage-sync-configurable-ADsync"></a>

사용자와 그룹을 Active Directory에서 IAM Identity Center로 처음 동기화하는 경우 다음 단계를 따릅니다. 또는 [ID 소스 변경](manage-your-identity-source-change.md)에 설명된 단계에 따라 자격 증명 소스를 IAM Identity Center에서 Active Directory로 변경할 수 있습니다.

## 설정 안내
<a name="manage-sync-guided-setup-configurable-ADsync"></a>

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
**참고**  
다음 단계로 이동하기 전에 IAM Identity Center 콘솔에서 AWS Managed Microsoft AD 디렉터리가 AWS 리전 위치한 중 하나를 사용하고 있는지 확인합니다.

1. **설정**을 선택합니다.

1. 페이지 상단의 알림 메시지에서 **설정 안내 시작**을 선택합니다.

1. **1단계 – *선택 사항*: 속성 매핑 구성**에서 기본 사용자 및 그룹 속성 매핑을 검토합니다. 변경이 필요하지 않은 경우 **다음**을 선택합니다. 변경이 필요한 경우 변경한 후 변경 내용 **저장**을 선택합니다.

1. **2단계 – *선택 사항*: 동기화 범위 구성**에서 **사용자** 탭을 선택합니다. 그런 다음 동기화 범위에 추가할 사용자의 사용자 이름을 정확히 입력하고 **추가**를 선택합니다. 다음으로 **그룹** 탭을 선택합니다. 동기화 범위에 추가하려는 그룹의 정확한 그룹 이름을 입력하고 **추가**를 선택합니다. 그리고 **다음**을 선택합니다. 나중에 동기화 범위에 사용자와 그룹을 추가하려면 변경하지 않고 **다음**을 선택합니다.

1. **3단계: 구성 검토 및 저장**에서 **1단계: 속성 매핑**의 **속성 매핑**을 확인하고 **2단계: 동기화 범위**에서 **사용자 및 그룹**을 확인합니다. **구성 저장**을 선택합니다. 그러면 **동기화 관리** 페이지로 이동합니다.

# 동기화 범위에 사용자 및 그룹 추가
<a name="manage-sync-add-users-groups-configurable-ADsync"></a>

**참고**  
동기화 범위에 그룹을 추가할 때 도메인의 그룹이 아닌 신뢰할 수 있는 온프레미스 AWS Managed Microsoft AD 도메인에서 직접 그룹을 동기화합니다. 신뢰할 수 있는 도메인에서 직접 동기화된 그룹에는 IAM Identity Center가 액세스하고 성공적으로 동기화할 수 있는 실제 사용자 객체가 포함됩니다.

 다음 단계에 따라 Active Directory 사용자와 그룹을 IAM Identity Center에 추가합니다.

**사용자를 추가하려면**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **설정**을 선택합니다.

1. **설정** 페이지에서 **ID 소스** 탭을 선택하고 **작업**을 선택한 다음 **동기화 관리**를 선택합니다.

1. **동기화 관리** 페이지에서 **사용자** 탭을 선택한 다음 **사용자 및 그룹 추가**를 선택합니다.

1. **사용자** 탭의 **사용자**에서 정확한 사용자 이름을 입력하고 **추가**를 선택합니다.

1. **추가된 사용자 및 그룹**에서 추가하려는 사용자를 검토합니다.

1. **제출**을 선택합니다.

1. 탐색 창에서 **사용자**를 선택합니다. 지정한 사용자가 목록에 표시되지 않는 경우 새로 고침 아이콘을 선택하여 사용자 목록을 업데이트합니다.

**그룹을 추가하려면**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **설정**을 선택합니다.

1. **설정** 페이지에서 **ID 소스** 탭을 선택하고 **작업**을 선택한 다음 **동기화 관리**를 선택합니다.

1. **동기화 관리** 페이지에서 **그룹** 탭을 선택한 다음 **사용자 및 그룹 추가**를 선택합니다.

1. **그룹** 탭을 선택합니다. **그룹**에서 정확한 그룹 이름을 입력하고 **추가**를 선택합니다.

1. **추가된 사용자 및 그룹**에서 추가하려는 그룹을 검토합니다.

1. **제출**을 선택합니다.

1. 탐색 창에서 **그룹**을 선택합니다. 지정한 그룹이 목록에 표시되지 않는 경우 새로 고침 아이콘을 선택하여 그룹 목록을 업데이트합니다.

# 동기화 범위에서 사용자 및 그룹을 제거합니다.
<a name="manage-sync-remove-users-groups-configurable-ADsync"></a>

동기화 범위에서 사용자 및 그룹을 제거하면 어떤 일이 발생하는지에 대한 자세한 내용은 [구성 가능한 AD 동기화의 작동 방식](how-it-works-configurable-ADsync.md) 단원을 참조하세요.

**사용자를 제거하려면**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **설정**을 선택합니다.

1. **설정** 페이지에서 **ID 소스** 탭을 선택하고 **작업**을 선택한 다음 **동기화 관리**를 선택합니다.

1. **사용자** 탭을 선택합니다.

1. **동기화 범위의 사용자** 아래에서 삭제할 사용자 옆의 확인란을 선택합니다. 모든 사용자를 삭제하려면 **사용자 이름** 옆의 확인란을 선택합니다.

1. **제거**를 선택합니다.

**그룹을 제거하려면**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **설정**을 선택합니다.

1. **설정** 페이지에서 **ID 소스** 탭을 선택하고 **작업**을 선택한 다음 **동기화 관리**를 선택합니다.

1. **그룹** 탭을 선택합니다.

1. **동기화 범위 내 그룹**에서 삭제할 사용자 옆의 확인란을 선택합니다. 그룹을 모두 삭제하려면 **그룹 이름** 옆의 확인란을 선택합니다.

1. **** 제거를 선택합니다.

# 동기화 일시 중지 및 다시 시작
<a name="manage-sync-pause-resume-sync-configurable-ADsync"></a>

동기화를 일시 중지하면 향후의 모든 동기화 주기가 일시 중지되며 Active Directory의 사용자 및 그룹에 대한 변경 사항이 IAM Identity Center에 반영되지 않습니다. 동기화를 재개하면 동기화 주기에 따라 다음 예약된 동기화에서 이러한 변경 사항이 적용됩니다.

**동기화를 일시 중지하려면**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **설정**을 선택합니다.

1. **설정** 페이지에서 **ID 소스** 탭을 선택하고 **작업**을 선택한 다음 **동기화 관리**를 선택합니다.

1. **동기화 관리**에서 **동기화 일시 중지**를 선택합니다.

**동기화를 재개하려면**

1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.

1. **설정**을 선택합니다.

1. **설정** 페이지에서 **ID 소스** 탭을 선택하고 **작업**을 선택한 다음 **동기화 관리**를 선택합니다.

1. **동기화 관리**에서 **동기화 재개**를 선택합니다.
**참고**  
**동기화 재개** 대신 **동기화 일시 중지**가 표시되면 Active Directory에서 IAM Identity Center로의 동기화가 이미 재개된 것입니다.

# 구성 가능한 AD 동기화를 위한 동기화 구성을 자동화합니다.
<a name="automate-sync-configuration-configurable-ADsync"></a>

구성 가능한 AD 동기화를 사용하여 자동화된 워크플로가 예상대로 작동하도록 하려면 다음 단계를 수행하여 동기화 구성을 자동화하는 것이 좋습니다.

**구성 가능한 AD 동기화의 동기화 구성을 자동화하려면**

1. Active Directory에서 IAM Identity Center에 동기화하려는 모든 사용자 및 그룹을 포함하는 *상위 동기화 그룹*을 생성합니다. 예를 들어, 그룹 이름을 *IAMIdentityCenterAllUsersAndGroups*로 지정할 수 있습니다.

1. IAM Identity Center에서 상위 동기화 그룹을 구성 가능한 동기화 목록에 추가합니다. IAM Identity Center는 상위 동기화 그룹 내에 포함된 모든 사용자, 그룹, 하위 그룹 및 모든 그룹의 구성원을 동기화합니다.

1. Microsoft에서 제공하는 Active Directory 사용자 및 그룹 관리 API 작업을 사용하여 상위 동기화 그룹에서 사용자 및 그룹을 추가하거나 제거할 수 있습니다.