기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 외부 ID 제공업체
IAM Identity Center를 사용하여 보안 어설션 마크업 언어(SAML) 2.0 및 도메인 간 ID 관리 시스템(SCIM) 프로토콜을 통해 외부 ID 제공업체(IdP)의 기존 인력 ID에 연결할 수 있습니다. 이렇게 하면 사용자가 회사 보안 인증으로 AWS 액세스 포털에 로그인할 수 있습니다. 그런 다음 외부 IdP에 호스팅된 할당 계정, 역할 및 애플리케이션으로 이동할 수 있습니다.
예를 들어 Okta 또는 Microsoft Entra ID와 같은 외부 IdP를 IAM Identity Center에 연결할 수 있습니다. 그런 다음 사용자는 기존 Okta 또는 Microsoft Entra ID 자격 증명을 사용하여 AWS 액세스 포털에 로그인할 수 있습니다. 사용자가 로그인한 후 수행할 수 있는 작업을 제어하려면 AWS 조직의 모든 계정 및 애플리케이션에 중앙에서 액세스 권한을 할당하면 됩니다. 또한 개발자는 기존 자격 증명을 사용하여 AWS Command Line Interface (AWS CLI)에 간단히 로그인하고 자동 단기 자격 증명 생성 및 교체의 이점을 누릴 수 있습니다.
Active Directory 또는에서 자체 관리형 디렉터리를 사용하는 경우 섹션을 AWS Managed Microsoft AD참조하세요[Microsoft AD 디렉터리](manage-your-identity-source-ad.md).
**참고**
SAML 프로토콜은 사용자 및 그룹에 대해 알아보기 위해 IdP에 문의하는 방법을 제공하지 않습니다. 따라서 IAM Identity Center에 해당 사용자와 그룹을 프로비저닝하여 IAM Identity Center에서 해당 사용자와 그룹을 인식하도록 해야 합니다.
## 사용자가 외부 IdP일 경우 프로비저닝
외부 IdP를 사용하는 경우 AWS 계정 또는 애플리케이션에 할당하기 전에 해당하는 모든 사용자 및 그룹을 IAM Identity Center에 프로비저닝해야 합니다. 이를 위해 사용자 및 그룹에 대해 [SCIM을 사용하여 외부 ID 제공업체의 사용자 및 그룹 프로비저닝](provision-automatically.md) 구성을 수행하거나 [수동 프로비저닝](provision-automatically.md#provision-manually)을 사용할 수 있습니다. 사용자를 프로비저닝하는 방법에 관계없이 IAM Identity Center는 AWS Management Console, 명령줄 인터페이스 및 애플리케이션 인증을 외부 IdP로 리디렉션합니다. 그러면 IAM Identity Center에서 생성한 정책을 기반으로 IAM Identity Center에서 해당 리소스에 대한 액세스 권한을 부여합니다. 프로비저닝에 대한 자세한 내용은 [사용자 및 그룹 프로비저닝](users-groups-provisioning.md#user-group-provision) 단원을 참조하세요.
**Topics**
+ [사용자가 외부 IdP일 경우 프로비저닝](#provisioning-when-external-idp)
+ [외부 ID 제공업체에 연결하는 방법](how-to-connect-idp.md)
+ [IAM Identity Center에서 외부 ID 제공업체 메타데이터를 변경하는 방법](how-to-change-idp-metadata.md)
+ [외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용](other-idps.md)
+ [SCIM 프로필 및 SAML 2.0 구현](scim-profile-saml.md)
# 외부 ID 제공업체에 연결하는 방법
지원되는 외부 IdP에는 다양한 사전 조건, 고려 사항, 프로비저닝 절차가 적용됩니다. 몇몇 IdP에 대해서는 단계별 자습서를 이용할 수 있습니다.
+ [CyberArk](cyberark-idp.md)
+ [Google Workspace](gs-gwp.md)
+ [JumpCloud](jumpcloud-idp.md)
+ [Microsoft Entra ID](idp-microsoft-entra.md)
+ [Okta](gs-okta.md)
+ [OneLogin](onelogin-idp.md)
+ [Ping Identity](pingidentity.md)
IAM Identity Center가 지원하는 외부 IdP 고려 사항에 대한 자세한 내용은 [외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용](other-idps.md)을 참조하세요.
다음 절차는 모든 외부 ID 제공업체에서 사용되는 절차에 대한 일반적인 개요를 제공합니다.
**외부 ID 제공업체에 연결하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. **설정**을 선택합니다.
1. **설정** 페이지에서 **ID 소스** 탭을 선택한 다음 **작업 > ID 소스 변경**을 선택합니다.
1. **ID 소스 선택**에서 **외부 ID 제공업체**를 선택하고 **다음**을 선택합니다.
1. **외부 ID 제공업체 구성** 에서 다음을 수행합니다.
1. **서비스 제공업체 메타데이터**에서 **메타데이터 파일 다운로드**를 선택하여 메타데이터 파일을 다운로드하고 시스템에 저장합니다. IAM Identity Center SAML 메타데이터 파일은 외부 ID 제공업체에 필요합니다.
**참고**
다운로드하는 SAML 메타데이터 파일에는 IPv4-only 및 듀얼 스택 어설션 소비자 서비스(ACS) URLs. 또한 IAM Identity Center가 추가 리전에 복제되는 경우 메타데이터 파일에는 각 추가 리전에 대한 ACS URLs 포함됩니다. 외부 IdP에 ACS URLs 수 제한이 있는 경우 불필요한 ACS URLs. 예를 들어 조직에서 듀얼 스택 엔드포인트를 완전히 채택하고 더 이상 IP4v-only 엔드포인트를 사용하지 않는 경우 후자를 제거할 수 있습니다. 다른 방법은 메타데이터 파일을 사용하지 않고 ACS URLs IdP에 붙여넣는 것입니다.
1. **ID 제공업체 메타데이터**에서 **파일 선택**에서 외부 ID 제공업체로부터 다운로드한 메타데이터 파일을 찾습니다. 그런 다음 파일을 업로드합니다. 이 메타데이터 파일에는 IdP에서 보낸 메시지를 신뢰하는 데 사용되는 필수 공개 x509 인증서가 들어 있습니다.
1. **다음**을 선택합니다.
**중요**
소스를 Active Directory로 또는 Active Directory에서 변경하면 기존의 모든 사용자 및 그룹 할당이 제거됩니다. 소스를 성공적으로 변경한 후에는 할당을 수동으로 다시 적용해야 합니다.
1. 고지 사항을 읽고 진행할 준비가 되면 **ACCEPT**를 입력합니다.
1. **ID 소스 변경**을 선택합니다. ID 소스를 성공적으로 변경했음을 알리는 상태 메시지가 표시됩니다.
# IAM Identity Center에서 외부 ID 제공업체 메타데이터를 변경하는 방법
이전에 IAM Identity Center에 제공한 외부 ID 제공업체의 메타데이터를 변경할 수 있습니다. 이러한 변경 사항은 IAM Identity Center를 통해 AWS 리소스에 로그인하고 액세스하는 사용자의 기능에 영향을 미칩니다. 다음 절차는 IAM Identity Center에 저장된 외부 IdP의 메타데이터를 업데이트하는 방법을 설명합니다. 이 절차를 완료하려면 IAM Identity Center의 조직 인스턴스가 필요합니다. 자세한 내용은 [IAM Identity Center의 조직 및 계정 인스턴스](identity-center-instances.md) 단원을 참조하십시오.
**외부 ID 제공업체의 메타데이터를 변경하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. **설정**을 선택합니다.
1. **설정** 페이지에서 **ID 소스** 탭을 선택합니다. **작업**을 선택한 다음 **인증 관리**를 선택합니다.
1. **ID 제공업체 메타데이터** 섹션에서 **IdP 메타데이터 편집**을 선택합니다. 이 페이지에서 외부 IdP의 IdP 로그인 URL 및 IdP 발급자 URL을 변경할 수 있습니다. 필요한 모든 변경을 수행했으면 **변경 사항 저장**을 선택합니다.
# 외부 ID 제공업체와의 SAML 및 SCIM ID 페더레이션 사용
IAM Identity Center는 ID 페더레이션을 위해 다음과 같은 표준 기반 프로토콜을 구현합니다.
+ 사용자 인증을 위한 SAML 2.0
+ 프로비저닝을 위한 SCIM
이러한 표준 프로토콜을 구현하는 모든 ID 제공업체(idP)는 다음과 같은 특수 고려 사항을 고려하여 IAM Identity Center와 성공적으로 상호 운용되어야 합니다.
+ **SAML**
+ IAM Identity Center에는 `urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress`와 같은 SAML NameID 형식의 이메일 주소가 필요합니다.
+ 어설션의 NameID 필드 값은 RFC 2822([https://tools.ietf.org/html/rfc2822](https://tools.ietf.org/html/rfc2822))의 addr-spec을 준수하는(“`name@domain.com`”) 문자열([https://tools.ietf.org/html/rfc2822\$1section-3.4.1](https://tools.ietf.org/html/rfc2822#section-3.4.1))이어야 합니다.
+ 메타데이터 파일은 75,000자를 초과할 수 없습니다.
+ 메타데이터에는 로그인 URL의 일부로 EntityID, X509 인증서 및 SingleSignOnService가 포함되어야 합니다.
+ 암호화 키는 지원되지 않습니다.
+ IAM Identity Center는 외부 IdP로 보내는 SAML 인증 요청에 대한 서명을 지원하지 않습니다.
+ IAM Identity Center를 추가 리전에 복제하고 다중 리전 IAM Identity Center의 이점을 최대한 활용하려는 경우 IdP는 여러 어설션 소비자 서비스(ACS) URLs을 지원해야 합니다. 자세한 내용은 [여러에서 IAM Identity Center 사용 AWS 리전](multi-region-iam-identity-center.md) 단원을 참조하십시오. 단일 ACS URL을 사용하면 추가 리전의 사용자 경험에 영향을 미칠 수 있습니다. 기본 리전은 계속 정상적으로 작동합니다. 단일 ACS URL을 사용하는 추가 리전의 사용자 경험에 대한 자세한 내용은 [여러 ACS URLs 없이 AWS 관리형 애플리케이션 사용](multi-region-workforce-access.md#aws-app-use-without-multiple-acs-urls) 및 섹션을 참조하세요[AWS 계정 여러 ACS URLs 없이 복원력에 액세스](multi-region-failover.md#account-access-resiliency-without-multiple-acs-url).
+ **SCIM**
+ IAM Identity Center SCIM 구현은 SCIM RFC 7642([https://tools.ietf.org/html/rfc7642](https://tools.ietf.org/html/rfc7642)), 7643([https://tools.ietf.org/html/rfc7643](https://tools.ietf.org/html/rfc7643)) 및 7644([https://tools.ietf.org/html/rfc7644](https://tools.ietf.org/html/rfc7644))와 2020년 3월의 FastFed Basic SCIM 프로필 1.0([https://openid.net/specs/fastfed-scim-1\$10-02.html\$1rfc.section.4](https://openid.net/specs/fastfed-scim-1_0-02.html#rfc.section.4)) 초안에 명시된 상호 운용성 요구 사항을 기반으로 합니다. 현재 구현에 있어 이러한 문서와 IAM Identity Center 간의 차이점은 *IAM Identity Center SCIM 구현 개발자 가이드*의 [지원되는 API 운영](https://docs.aws.amazon.com/singlesignon/latest/developerguide/supported-apis.html) 섹션에 설명되어 있습니다.
위에서 언급한 표준 및 고려 사항을 준수하지 않는 IdP는 지원되지 않습니다. 해당 제품의 이러한 표준 및 고려 사항 준수와 관련된 질문이나 설명이 필요하면 IdP에 문의하세요.
IdP를 IAM Identity Center에 연결하는 데 문제가 있는 경우 다음을 확인하는 것이 좋습니다.
+ AWS CloudTrail 이벤트 이름 **ExternalIdPDirectoryLogin**을 필터링하여 로그
+ IdP 관련 로그 및/또는 디버그 로그
+ [IAM Identity Center 문제 해결](troubleshooting.md)
**참고**
[IAM Identity Center의 ID 소스 자습서](tutorials.md)에 포함된 IdP를 비롯해 일부 IdP는 IAM Identity Center 전용으로 구축된 “애플리케이션” 또는 “커넥터”의 형태로 IAM Identity Center에 대한 간소화된 구성 환경을 제공합니다. IdP가 이 옵션을 제공하는 경우 IAM Identity Center용으로 특별히 구축된 항목을 신중하게 선택하면서 이 옵션을 사용하는 것이 좋습니다. “AWS”, “AWS 페더레이션” 또는 유사한 일반 “AWS” 이름이라는 다른 항목은 다른 페더레이션 접근 방식 및/또는 엔드포인트를 사용할 수 있으며 IAM Identity Center에서 예상대로 작동하지 않을 수 있습니다.
# SCIM 프로필 및 SAML 2.0 구현
SCIM과 SAML은 모두 IAM Identity Center를 구성할 때 중요한 고려 사항입니다.
## SAML 2.0 구현
IAM Identity Center는 [Security Assertion Markup Language(SAML)](https://wiki.oasis-open.org/security) 2.0을 사용하여 ID 페더레이션을 지원합니다. 이를 통해 IAM Identity Center는 외부 ID 제공업체(IdP)의 ID를 인증할 수 있습니다. SAML 2.0은 SAML 어설션을 안전하게 교환하는 데 사용되는 개방형 표준입니다. SAML 2.0은 SAML 기관(ID 제공업체 또는 IdP라고 함)과 SAML 소비자(서비스 제공업체 또는 SP라고 함) 간에 사용자에 대한 정보를 전달합니다. IAM Identity Center 서비스는 이 정보를 사용하여 페더레이션된 Single Sign-on을 제공합니다. Single Sign-On을 사용하면 사용자가 기존 자격 증명 공급자 자격 증명을 기반으로 애플리케이션에 액세스 AWS 계정 하고 구성할 수 있습니다.
IAM Identity Center는 IAM Identity Center 스토어 AWS Managed Microsoft AD또는 외부 ID 제공업체에 SAML IdP 기능을 추가합니다. 그런 다음 사용자는 , AWS Management Console 및와 같은 및 타사 애플리케이션을 포함하여 SAML을 지원하는 서비스에 Single Sign-OnMicrosoft 365할 수 Concur있습니다Salesforce.
그러나 SAML 프로토콜은 사용자 및 그룹에 대해 알아보기 위해 IdP에 문의하는 방법을 제공하지 않습니다. 따라서 IAM Identity Center에 해당 사용자와 그룹을 프로비저닝하여 IAM Identity Center에서 해당 사용자와 그룹을 인식하도록 해야 합니다.
## SCIM 프로필
IAM Identity Center는 도메인 간 ID 관리 시스템(SCIM) v2.0 표준을 지원합니다. SCIM은 IAM Identity Center ID를 IdP의 자격 증명과 동기화합니다. 여기에는 IdP와 IAM Identity Center 간의 모든 사용자 프로비저닝, 업데이트 및 디프로비저닝이 포함됩니다.
SCIM 구현하는 방법에 대한 자세한 내용은 [SCIM을 사용하여 외부 ID 제공업체의 사용자 및 그룹 프로비저닝](provision-automatically.md) 단원을 참조하세요. IAM Identity Center의 SCIM 구현에 대한 자세한 내용은 [IAM Identity Center SCIM 구현 개발자 가이드](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)를 참조하세요.
**Topics**
+ [SAML 2.0 구현](#samlfederationconcept)
+ [SCIM 프로필](#scim-profile)
+ [SCIM을 사용하여 외부 ID 제공업체의 사용자 및 그룹 프로비저닝](provision-automatically.md)
+ [SAML 2.0 인증서 교체](managesamlcerts.md)
# SCIM을 사용하여 외부 ID 제공업체의 사용자 및 그룹 프로비저닝
IAM Identity Center는 도메인 간 ID 관리 시스템(SCIM) v2.0 프로토콜을 사용하여 ID 제공업체(idP)의 사용자 및 그룹 정보를 IAM Identity Center로 자동 프로비저닝(동기화)할 수 있도록 지원합니다. SCIM 동기화를 구성할 때 ID 제공업체(idP) 사용자 속성을 IAM Identity Center의 명명된 속성에 매핑합니다. 이로 인해 IAM Identity Center와 IdP 간에 예상 속성이 일치하게 됩니다. IAM Identity Center의 SCIM 엔드포인트와 IAM Identity Center에서 생성한 베어러 토큰을 사용하여 IdP에서 이 연결을 구성합니다.
**Topics**
+ [자동 프로비저닝을 사용할 때 고려 사항](#auto-provisioning-considerations)
+ [액세스 토큰 만료를 모니터링하는 방법](#access-token-expiry)
+ [액세스 토큰 생성](generate-token.md)
+ [자동 프로비저닝 활성화](how-to-with-scim.md)
+ [액세스 토큰 삭제](delete-token.md)
+ [자동 프로비저닝 비활성화](disable-provisioning.md)
+ [액세스 토큰 교체](rotate-token.md)
+ [자동 프로비저닝된 리소스 감사 및 조정](reconcile-auto-provisioning.md)
+ [수동 프로비저닝](#provision-manually)
## 자동 프로비저닝을 사용할 때 고려 사항
SCIM 배포를 시작하기 전에 먼저 IAM Identity Center와의 작동 방식에 대한 다음과 같은 중요한 고려 사항을 검토하는 것이 좋습니다. 추가 프로비저닝 고려 사항에 대해서는 해당 IdP에 사용할 수 있는 [IAM Identity Center의 ID 소스 자습서](tutorials.md)를 참조하세요.
+ 기본 이메일 주소를 프로비저닝하는 경우 이 속성 값은 각 사용자마다 고유해야 합니다. 일부 IdP에서는 기본 이메일 주소가 실제 이메일 주소가 아닐 수 있습니다. 예를 들어 이메일처럼 보이는 범용 사용자 이름(UPN)일 수 있습니다. 이러한 IdP에는 사용자의 실제 이메일 주소가 포함된 보조 또는 “기타” 이메일 주소가 있을 수 있습니다. IdP에서 NULL이 아닌 고유 이메일 주소를 IAM Identity Center 기본 이메일 주소 속성에 매핑하도록 SCIM을 구성해야 합니다. 그리고 NULL이 아닌 사용자의 고유 로그인 속성을 IAM Identity Center 사용자 이름 속성에 매핑해야 합니다. IdP에 로그인 속성과 사용자 이메일 이름을 모두 포함하는 단일 값이 있는지 확인합니다. 그렇다면 해당 IdP 필드를 IAM Identity Center 기본 이메일과 IAM Identity Center 사용자 이름 모두에 매핑할 수 있습니다.
+ SCIM 동기화가 작동하려면 모든 사용자에게 **이름**, **성**, **사용자 이름** 및 **디스플레이 이름** 값을 지정해야 합니다. 사용자에게 이러한 값이 하나라도 없으면 해당 사용자는 프로비저닝되지 않습니다.
+ 타사 애플리케이션을 사용해야 하는 경우 먼저 아웃바운드 SAML 주체 속성을 사용자 이름 속성에 매핑해야 합니다. 타사 애플리케이션에 라우팅 가능한 이메일 주소가 필요한 경우 IdP에 이메일 속성을 제공해야 합니다.
+ SCIM 프로비저닝 및 업데이트 주기는 ID 제공업체가 제어합니다. ID 제공업체의 사용자 및 그룹에 대한 변경 사항은 ID 제공업체가 해당 변경 사항을 IAM Identity Center로 전송한 후에만 IAM Identity Center에 반영됩니다. 사용자 및 그룹 업데이트 빈도에 대한 자세한 내용은 ID 제공업체에 문의하세요.
+ 현재 SCIM에는 다중 값 속성(예: 특정 사용자에 대한 여러 이메일 또는 전화번호)이 프로비저닝되지 않습니다. SCIM을 사용하여 다중 값 속성을 IAM Identity Center에 동기화할 수 없습니다. 동기화에 실패하지 않으려면 각 속성에 대해 단일 값만 전달해야 합니다. 다중 값 속성을 가진 사용자가 있는 경우 IAM Identity Center에 연결하기 위해 IdP에서 SCIM의 중복 속성 매핑을 제거하거나 수정합니다.
+ IdP의 `externalId` SCIM 매핑이 고유하고 항상 존재하며 사용자에 대해 변경될 가능성이 가장 적은 값에 해당하는지 확인합니다. 예를 들어, IdP는 이름 및 이메일과 같은 사용자 속성의 변경에 영향을 받지 않는 보장된 `objectId` 또는 기타 식별자를 제공할 수 있습니다. 그렇다면 해당 값을 SCIM `externalId` 필드에 매핑할 수 있습니다. 이렇게 하면 이름이나 이메일을 변경해야 하는 경우 사용자가 AWS 권한, 할당 또는 권한을 잃지 않습니다.
+ 아직 애플리케이션에 할당되지 않았거나 IAM Identity Center에 프로비저닝할 수 AWS 계정 없는 사용자. 사용자와 그룹을 동기화하려면 IAM Identity Center에 대한 IdP의 연결을 나타내는 애플리케이션 또는 기타 설정에 해당 사용자와 그룹을 할당해야 합니다.
+ 사용자 프로비저닝 해제 동작은 ID 제공업체가 관리하며 구현에 따라 다를 수 있습니다. 사용자 프로비저닝 해제에 대한 자세한 내용은 ID 제공업체에 문의하세요.
+ IdP에 대해 SCIM으로 자동 프로비저닝을 설정한 후에는 더 이상 IAM Identity Center 콘솔에서 사용자를 추가하거나 편집할 수 없습니다. 사용자를 추가하거나 수정해야 할 경우 외부 IdP 또는 ID 소스에서 이를 수행해야 합니다.
IAM Identity Center의 SCIM 구현에 대한 자세한 내용은 [IAM Identity Center SCIM 구현 개발자 가이드](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)를 참조하세요.
## 액세스 토큰 만료를 모니터링하는 방법
SCIM 액세스 토큰의 유효 기간은 1년으로 생성됩니다. SCIM 액세스 토큰이 90일 이내에 만료되도록 설정된 경우는 토큰 교체에 도움이 되도록 IAM Identity Center 콘솔과 AWS Health 대시보드를 통해 알림을 AWS 보냅니다. SCIM 액세스 토큰이 만료되기 전에 이를 교체하면 사용자 및 그룹 정보의 자동 프로비저닝을 지속적으로 보호할 수 있습니다. SCIM 액세스 토큰이 만료되면 ID 제공업체의 사용자 및 그룹 정보를 IAM Identity Center로 동기화하는 작업이 중지되므로 더 이상 자동 프로비저닝을 통해 정보를 업데이트하거나 생성 및 삭제할 수 없습니다. 자동 프로비저닝이 중단되면 보안 위험이 증가하고 서비스 액세스에 영향을 미칠 수 있습니다.
Identity Center 콘솔은 SCIM 액세스 토큰을 교체하고 사용하지 않거나 만료된 액세스 토큰을 삭제할 때까지 지속적으로 알림을 보냅니다. AWS Health 대시보드 이벤트는 SCIM 액세스 토큰이 만료될 때까지 매주 90\$160일, 매주 2회 60\$130일, 매주 3회 30\$115일, 매일 15일 갱신됩니다.
# 액세스 토큰 생성
다음 절차를 사용하여 IAM Identity Center 콘솔에서 새 액세스 토큰을 생성합니다.
**참고**
이 절차를 수행하려면 이전에 자동 프로비저닝을 활성화한 적이 있어야 합니다. 자세한 내용은 [자동 프로비저닝 활성화](how-to-with-scim.md) 단원을 참조하세요.
**새 액세스 토큰을 생성하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)의 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **ID 소스** 탭을 선택한 다음 **작업 > 프로비저닝 관리**를 선택합니다.
1. **자동 프로비저닝** 페이지의 **액세스 토큰**에서 **토큰 생성**을 선택합니다.
1. **새 액세스 토큰 생성** 대화 상자에서 새 액세스 토큰을 복사하여 안전한 장소에 저장합니다.
1. **닫기**를 선택하세요.
# 자동 프로비저닝 활성화
다음 절차를 따라 SCIM 프로토콜을 사용하여 IdP에서 IAM Identity Center로 사용자 및 그룹을 자동으로 프로비저닝할 수 있습니다.
**참고**
이 절차를 시작하기 전에 먼저 IdP에 적용되는 프로비저닝 고려 사항을 검토하는 것이 좋습니다. 자세한 내용은 해당 IdP용 [IAM Identity Center의 ID 소스 자습서](tutorials.md)를 참조하세요.
**IAM Identity Center에서 자동 프로비저닝을 활성화하려면**
1. 사전 필수 조건을 완료한 후 [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)을 엽니다.
1. 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **자동 프로비저닝** 정보 상자를 찾은 다음 **활성화**를 선택합니다. 그러면 IAM Identity Center에서 자동 프로비저닝이 즉시 활성화되고 필요한 SCIM 엔드포인트 및 액세스 토큰 정보가 표시됩니다.
1. **인바운드 자동 프로비저닝** 대화 상자에서 SCIM 엔드포인트와 액세스 토큰을 복사합니다. 나중에 IdP에서 프로비저닝을 구성할 때 이를 붙여넣어야 합니다.
1. **SCIM 엔드포인트**-예: https://scim.*us-east-2*.amazonaws.com/*11111111111-2222-3333-4444-555555555555*/scim/v2
1. **액세스 토큰** - **토큰 표시**를 선택하여 값을 복사합니다.
**주의**
SCIM 엔드포인트와 액세스 토큰을 가져올 수 있는 유일한 시간입니다. 계속 진행하기 전에 이 값을 복사해야 합니다. 이 자습서의 후반부에 이 값을 입력하여 IdP에서 자동 프로비저닝을 구성할 수 있습니다.
1. **닫기**를 선택하세요.
이 절차를 완료한 후에는 IdP에서 자동 프로비저닝을 구성해야 합니다. 자세한 내용은 해당 IdP용 [IAM Identity Center의 ID 소스 자습서](tutorials.md)를 참조하세요.
# 액세스 토큰 삭제
다음 절차를 사용하여 IAM Identity Center 콘솔에서 기존 액세스 토큰을 삭제합니다.
**기존 액세스 토큰을 삭제하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)의 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **ID 소스** 탭을 선택한 다음 **작업 > 프로비저닝 관리**를 선택합니다.
1. **자동 프로비저닝** 페이지의 **액세스 토큰**에서 삭제하려는 액세스 토큰을 선택한 다음 **삭제**를 선택합니다.
1. **액세스 토큰 삭제** 대화 상자에서 정보를 검토하고 **삭제**를 입력한 다음 **액세스 토큰 삭제**를 선택합니다.
# 자동 프로비저닝 비활성화
다음 절차에 따라 IAM Identity Center 콘솔에서 자동 프로비저닝을 비활성화합니다.
**중요**
이 절차를 시작하기 전에 액세스 토큰을 삭제해야 합니다. 자세한 내용은 [액세스 토큰 삭제](delete-token.md) 단원을 참조하세요.
**IAM Identity Center 콘솔에서 자동 프로비저닝을 비활성화하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)의 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **ID 소스** 탭을 선택한 다음 **작업 > 프로비저닝 관리**를 선택합니다.
1. **자동 프로비저닝** 페이지에서 **비활성화**를 선택합니다.
1. **자동 프로비저닝 비활성화** 대화 상자에서 정보를 검토하고 **비활성화**을 입력한 다음 **자동 프로비저닝 비활성화**를 선택합니다.
# 액세스 토큰 교체
IAM Identity Center 디렉터리는 한 번에 최대 2개의 액세스 토큰을 지원합니다. 교체 전에 추가 액세스 토큰을 생성하려면 만료되었거나 사용하지 않은 액세스 토큰을 모두 삭제합니다.
SCIM 액세스 토큰이 곧 만료되는 경우 다음 절차를 사용하여 IAM Identity Center 콘솔에서 기존 액세스 토큰을 교체할 수 있습니다.
**액세스 토큰을 교체하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)의 왼쪽 탐색 창에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **ID 소스** 탭을 선택한 다음 **작업 > 프로비저닝 관리**를 선택합니다.
1. **자동 프로비저닝** 페이지의 **액세스 토큰**에서 교체하려는 토큰의 토큰 ID를 기록해 둡니다.
1. [액세스 토큰 생성](generate-token.md)의 단계에 따라 새 토큰을 생성합니다. 이미 최대 개수의 SCIM 액세스 토큰을 생성한 경우 기존 토큰 중 하나를 먼저 삭제해야 합니다.
1. ID 제공업체의 웹 사이트로 이동하여 SCIM 프로비저닝을 위한 새 액세스 토큰을 구성한 다음 새 SCIM 액세스 토큰을 사용하여 IAM Identity Center 연결을 테스트합니다. 새 토큰을 사용하여 프로비저닝이 정상적으로 작동하는 것을 확인했으면 이 절차의 다음 단계를 진행합니다.
1. [액세스 토큰 삭제](delete-token.md) 단계에 따라 앞서 기록해 둔 이전 액세스 토큰을 삭제합니다. 토큰 생성 날짜를 제거할 토큰에 대한 힌트로 사용할 수도 있습니다.
# 자동 프로비저닝된 리소스 감사 및 조정
SCIM은 ID 소스에서 IAM Identity Center로 사용자, 그룹, 그룹 멤버십을 자동으로 프로비저닝할 수 있도록 지원합니다. 이 안내서는 이러한 리소스를 확인하고 조정하여 정확한 동기화를 유지하는 데 도움을 줍니다.
## 리소스를 감사하는 이유는 무엇인가요?
정기적인 감사는 액세스 제어를 정확하게 유지하고 ID 제공업체(IdP)가 IAM Identity Center와 올바르게 동기화를 유지하는 데 도움을 줍니다. 이는 보안 규정 준수 및 액세스 관리에 있어 특히 중요합니다.
감사 가능한 리소스:
+ Users
+ 그룹
+ 그룹 멤버십
AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html) 또는 [CLI 명령을](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) 사용하여 감사 및 조정을 수행할 수 있습니다. 다음 예제에서는 AWS CLI 명령을 사용합니다. API를 사용한 대안은 *아이덴티티 스토어 API 참조*의 [해당 작업](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html)을 참조하세요.
## 리소스 감사 방법
다음은 AWS CLI 명령을 사용하여 이러한 리소스를 감사하는 방법에 대한 예제입니다.
시작하기 전에 다음을 갖추었는지 확인하세요.
+ IAM Identity Center에 대한 관리자 액세스 권한.
+ AWS CLI 가 설치 및 구성되었습니다. 자세한 내용은 [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)를 참조하세요.
+ 아이덴티티 스토어 명령에 필요한 IAM 권한.
### 1단계: 현재 리소스 나열
를 사용하여 현재 리소스를 볼 수 있습니다 AWS CLI.
**참고**
를 사용할 때를 지정하지 않으면 AWS CLI페이지 매김이 자동으로 처리됩니다`--no-paginate`. API를 직접 호출하는 경우(예: SDK 또는 사용자 지정 스크립트 사용) 응답의 `NextToken`을 처리해야 합니다. 이렇게 하면 여러 페이지에 걸친 모든 결과를 검색할 수 있습니다.
**Example 사용자**
```
aws identitystore list-users \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example 그룹**
```
aws identitystore list-groups \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
```
**Example 그룹 멤버십**
```
aws identitystore list-group-memberships \
--region REGION \
--identity-store-id IDENTITY_STORE_ID
--group-id GROUP_ID
```
### 2단계: ID 소스와 비교
나열된 리소스를 ID 소스와 비교하여 다음과 같은 불일치를 식별합니다.
+ IAM Identity Center에서 프로비저닝해야 하는 리소스 누락.
+ IAM Identity Center에서 제거해야 하는 추가 리소스.
**Example 사용자**
```
# Create missing users
aws identitystore create-user \
--identity-store-id IDENTITY_STORE_ID \
--user-name USERNAME \
--display-name DISPLAY_NAME \
--name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
--emails Value=EMAIL,Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id IDENTITY_STORE_ID \
--user-id USER_ID
```
**Example 그룹**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id IDENTITY_STORE_ID \
[group attributes]
# Delete extra groups
aws identitystore delete-group \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID
```
**Example 그룹 멤버십**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--group-id GROUP_ID \
--member-id '{"UserId": "USER_ID"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id IDENTITY_STORE_ID \
--membership-id MEMBERSHIP_ID
```
## 고려 사항
+ 명령에는 [서비스 할당량과 API 스로틀링](limits.md#ssothrottlelimits)이 적용됩니다.
+ 조정 중에 많은 차이가 발견되면 AWS Identity Store를 작고 점진적으로 변경합니다. 이렇게 하면 여러 사용자에게 영향을 미치는 실수를 방지하는 데 도움이 됩니다.
+ SCIM 동기화는 수동 변경 사항을 재정의할 수 있습니다. 이 동작을 이해하려면 IdP 설정을 확인하세요.
## 수동 프로비저닝
일부 IdP는 도메인 간 ID 관리 시스템(SCIM)을 지원하지 않거나 호환되지 않는 SCIM 구현을 갖추고 있습니다. 이러한 경우 IAM Identity Center 콘솔을 통해 사용자를 수동으로 프로비저닝할 수 있습니다. IAM Identity Center에 사용자를 추가할 때는 사용자 이름을 IdP에 있는 사용자 이름과 동일하게 설정해야 합니다. 최소한 고유한 이메일 주소와 사용자 이름이 있어야 합니다. 자세한 내용은 [사용자 이름 및 이메일 주소 고유성](users-groups-provisioning.md#username-email-unique) 단원을 참조하세요.
또한 IAM Identity Center에서 모든 그룹을 수동으로 관리해야 합니다. 이렇게 하려면 그룹을 생성하고 IAM Identity Center 콘솔을 사용하여 추가합니다. 이러한 그룹은 IdP에 있는 그룹과 일치하지 않아도 됩니다. 자세한 내용은 [그룹](users-groups-provisioning.md#groups-concept) 단원을 참조하십시오.
# SAML 2.0 인증서 교체
IAM Identity Center와 외부 ID 제공업체(idP) 간에 SAML 신뢰 관계를 설정하기 위해 IAM Identity Center는 인증서를 사용합니다. IAM Identity Center에서 외부 IdP를 추가할 때는 외부 IdP로부터 하나 이상의 퍼블릭 SAML 2.0 X.509 인증서를 받아야 합니다. 일반적으로 이 인증서는 트러스트 생성 과정에서 IdP SAML 메타데이터 교환 중에 자동으로 설치됩니다.
IAM Identity Center 관리자는 이전 IdP 인증서를 새 인증서로 교체해야 하는 경우가 있습니다. 예를 들어, 인증서 만료 날짜가 다가올 경우 IdP 인증서를 교체해야 할 수도 있습니다. 이전 인증서를 새 인증서로 교체하는 프로세스를 인증서 교체라고 합니다.
**Topics**
+ [SAML 2.0 인증서 교체](rotatesamlcert.md)
+ [인증서 만료 상태 표시](samlcertexpirationindicators.md)
# SAML 2.0 인증서 교체
ID 제공업체가 발급한 유효하지 않거나 만료된 인증서를 교체하려면 정기적으로 인증서를 가져와야 할 수 있습니다. 이는 인증 중단이나 다운타임을 방지하는 데 도움이 됩니다. 가져온 모든 인증서는 자동으로 활성화됩니다. 인증서는 관련 ID 제공업체에서 더 이상 사용하지 않도록 확인한 후에 삭제해야만 합니다.
또한 일부 IdP는 여러 인증서를 지원하지 않을 수 있다는 점도 고려해야 합니다. 이 경우 해당 IdP로 인증서를 교체하면 사용자에게 일시적인 서비스 중단이 발생할 수 있습니다. 해당 IdP와의 신뢰가 성공적으로 재설정되면 서비스가 복원됩니다. 가능하면 사용량이 적은 시간에 신중하게 이 작업을 계획하세요.
**참고**
보안 모범 사례를 위해, 기존 SAML 인증서가 손상되거나 잘못 취급된 흔적이 있는 경우 인증서를 즉시 제거하고 교체해야 합니다.
IAM Identity Center 인증서 교체는 다음을 포함하는 다단계 절차입니다.
+ IdP에서 새 인증서 받기
+ 새 인증서를 IAM Identity Center로 가져오기
+ IdP에서 새 인증서 활성화
+ 이전 인증서 삭제
인증 다운타임을 피하면서 인증서 교체 프로세스를 완료하려면 다음 절차를 모두 따릅니다.
**1단계: IdP에서 새 인증서 받기**
IdP 웹사이트로 이동하여 SAML 2.0 인증서를 다운로드합니다. 인증서 파일이 PEM 인코딩 형식으로 다운로드되었는지 확인합니다. 대부분의 제공업체는 IdP에서 여러 SAML 2.0 인증서를 생성할 수 있도록 허용합니다. 이러한 인증은 비활성화 또는 비활성으로 표시될 수 있습니다.
**2단계: 새 인증서를 IAM Identity Center로 가져오기**
IAM Identity Center 콘솔을 사용하여 새 인증서를 가져오려면 다음 절차를 따릅니다.
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **ID 소스** 탭을 선택한 다음 **작업 > 인증 관리**를 선택합니다.
1. **SAML 2.0 인증서 관리** 페이지에서 **인증서 가져오기**를 선택합니다.
1. **SAML 2.0 인증서 가져오기** 대화 상자에서 **파일 선택**을 선택하고 인증서 파일을 찾은 다음 **인증서 가져오기**를 선택합니다.
이때 IAM Identity Center는 가져온 두 인증서에서 서명된 수신 SAML 메시지를 모두 신뢰합니다.
**3단계: IdP에서 새 인증서 활성화**
IdP 웹사이트로 돌아가서 이전에 만든 새 인증서를 기본 또는 활성 인증서로 표시합니다. 이때 IdP가 서명한 모든 SAML 메시지는 새 인증서를 사용해야 합니다.
**4단계: 이전 인증서 삭제**
다음 절차를 사용하여 IdP 인증서 교체 프로세스를 완료합니다. 항상 하나 이상의 유효한 인증서가 나열되어 있어야 하며 이는 제거할 수 없습니다.
**참고**
삭제하기 전에 ID 제공업체가 이 인증서를 사용하여 더 이상 SAML 응답에 서명하지 않는지 확인합니다.
1. **SAML 2.0 인증서 관리** 페이지에서 삭제할 인증서를 선택합니다. **삭제**를 선택합니다.
1. **SAML 2.0 인증서 삭제** 대화 상자에 **DELETE**를 입력한 다음 **삭제**를 선택합니다.
1. IdP 웹사이트로 돌아가서 필요한 단계를 수행하여 비활성된 이전 인증서를 제거합니다.
# 인증서 만료 상태 표시
**SAML 2.0 인증서 관리** 페이지에는 목록의 각 인증서 옆 **만료 날짜** 열에 색상이 들어간 상태 표시기 아이콘이 표시됩니다. 다음은 IAM Identity Center에서 각 인증서에 표시할 아이콘을 결정하는 데 사용하는 기준에 대한 설명입니다.
+ **빨간색**-인증서가 만료되었음을 나타냅니다.
+ **노란색**-인증서가 90일 이내에 만료됨을 나타냅니다.
+ **녹색**-인증서가 현재 유효하며 최소 90일 이상 유효함을 나타냅니다.
**인증서 현재 상태를 확인하려면**
1. [IAM Identity Center 콘솔](https://console.aws.amazon.com/singlesignon)에서 **설정**을 선택합니다.
1. **설정** 페이지에서 **ID 소스** 탭을 선택한 다음 **작업 > 인증 관리**를 선택합니다.
1. **SAML 2.0 인증 관리** 페이지의 **SAML 2.0 인증서 관리**에서 **만료 날짜** 열에 표시된 대로 목록의 인증서 상태를 검토합니다.