기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon WorkSpaces Secure Browser의 표준 인증 유형 구성
표준** 인증 유형은 기본 인증 유형입니다. 이 유형은 SAML 2.0 준수 IdP와 함께 서비스 제공업체 시작(SP 시작) 및 ID 제공업체 시작(IdP 시작) 로그인 플로를 지원할 수 있습니다. 표준 인증 유형을 구성하려면 아래 단계에 따라 타사 SAML 2.0 IdP(예: Okta 또는 Ping)를 포털과 직접 페더레이션합니다.
**Topics**
+ [Amazon WorkSpaces Secure Browser의 ID 제공업체 구성](configure-idp-step1.md)
+ [자체 IdP에서 IdP 구성](configure-idp-step2.md)
+ [Amazon WorkSpaces Secure Browser에서 IdP 구성 완료](upload-metadata.md)
+ [Amazon WorkSpaces Secure Browser에서 특정 IdP를 사용하기 위한 지침](idp-guidance.md)
# Amazon WorkSpaces Secure Browser의 ID 제공업체 구성
다음 단계에 따라 ID 제공업체를 구성합니다.
1. 생성 마법사의 **ID 제공업체(IdP) 구성** 페이지에서 **표준**을 선택합니다.
1. **표준 IdP로 계속 진행**을 선택합니다.
1. SP 메타데이터 파일을 다운로드하고 개별 메타데이터 값에 대한 탭을 열어둡니다.
+ SP 메타데이터 파일을 사용할 수 있는 경우 **메타데이터 파일 다운로드**를 선택하여 서비스 제공업체(SP) 메타데이터 문서를 다운로드하고, 다음 단계에서 서비스 제공업체 메타데이터 파일을 IdP에 업로드합니다. 이렇게 하지 않으면 사용자가 로그인할 수 없습니다.
+ 제공업체에서 SP 메타데이터 파일을 업로드하지 않은 경우 메타데이터 값을 수동으로 입력합니다.
1. **SAML 로그인 유형 선택**에서 **SP 시작 및 IdP 시작 SAML 어설션** 또는 **SP에서 시작한 SAML 어설션만 해당**을 선택합니다.
+ **SP 시작 및 IdP 시작 SAML 어설션**을 사용하면 포털에서 두 가지 유형의 로그인 플로를 모두 지원할 수 있습니다. IdP 시작 플로를 지원하는 포털에서는 사용자가 포털 URL을 방문하여 세션을 시작하지 않아도 서비스 ID 페더레이션 엔드포인트에 SAML 어설션을 제공할 수 있습니다.
+ 요청하지 않은 IdP 시작 SAML 어설션을 포털에서 수락하도록 허용하려면 이 옵션을 선택합니다.
+ 이 옵션을 사용하려면 SAML 2.0 ID 제공업체에서 **기본 릴레이 상태**를 구성해야 합니다. 포털의 릴레이 상태 파라미터는 콘솔의 **IdP 시작 SAML 로그인** 아래에 있거나, ``의 SP 메타데이터 파일에서 복사할 수 있습니다.
+ Note
+ 릴레이 상태의 형식: `redirect_uri=https%3A%2F%2Fportal-id.workspaces-web.com%2Fsso&response_type=code&client_id=1example23456789&identity_provider=Example-Identity-Provider`
+ SP 메타데이터 파일에서 값을 복사하여 붙여넣는 경우 `& `를 `&`로 변경해야 합니다. `&`는 XML 이스케이프 문자입니다.
+ 포털에서 SP 시작 로그인 플로만 지원하도록 하려면 **SP에서 시작한 SAML 어설션만 해당**을 선택합니다. 이 옵션은 IdP 시작 로그인 플로에서 요청하지 않은 SAML 어설션을 거부합니다.
**참고**
일부 타사 IdP를 사용하면 SP 시작 플로를 활용하여 IdP 시작 인증 환경을 제공할 수 있는 사용자 지정 SAML 애플리케이션을 생성할 수 있습니다. 예를 들어 [Okta 북마크 애플리케이션 추가](https://help.okta.com/oag/en-us/content/topics/access-gateway/add-app-saml-pass-thru-add-bookmark.htm)를 참조하십시오.
1. **이 공급자에 대한 SAML 요청에 서명**을 활성화할지 여부를 선택합니다. SP 시작 인증을 사용하면 IdP를 통해 인증 요청이 포털에서 발생한 것인지 확인할 수 있으므로 다른 타사 요청이 수락되지 않습니다.
1. 서명 인증서를 다운로드하여 IdP에 업로드합니다. 동일한 서명 인증서를 단일 로그아웃에 사용할 수 있습니다.
1. IdP에서 서명된 요청을 활성화합니다. IdP에 따라 이름이 다를 수 있습니다.
**참고**
RSA-SHA256은 유일하게 지원되는 요청 및 기본 요청 서명 알고리즘입니다.
1. **암호화된 SAML 어설션 필요**를 활성화할지 여부를 선택합니다. 활성화하면 IdP에서 제공하는 SAML 어설션을 암호화할 수 있습니다. 이를 통해 IdP와 WorkSpaces Secure Browser 간의 SAML 어설션에서 데이터 가로채기를 방지할 수 있습니다.
**참고**
이 단계에서는 암호화 인증서를 사용할 수 없습니다. 포털을 시작한 후에 생성됩니다. 포털을 시작한 후 암호화 인증서를 다운로드하여 IdP에 업로드합니다. 그런 다음 IdP에서 어설션 암호화를 활성화합니다. 이름은 IdP에 따라 다를 수 있습니다.
1. **단일 로그아웃**을 활성화할지 여부를 선택합니다. 단일 로그아웃을 사용하면 최종 사용자가 한 번의 작업으로 IdP와 WorkSpaces Secure Browser 세션에서 모두 로그아웃할 수 있습니다.
1. WorkSpaces Secure Browser에서 서명 인증서를 다운로드하여 IdP에 업로드합니다. 이 인증서는 이전 단계의 **요청 서명**에 사용된 것과 동일한 서명 인증서입니다.
1. **단일 로그아웃**을 사용하려면 SAML 2.0 ID 제공업체에서 **단일 로그아웃 URL**을 구성해야 합니다. 포털의 **단일 로그아웃 URL**은 콘솔의 **서비스 제공업체(SP) 세부 정보 - 개별 메타데이터 값 표시**에서 찾거나 `` 아래의 SP 메타데이터 파일에서 찾을 수 있습니다.
1. IdP에서 **단일 로그아웃**을 활성화합니다. IdP에 따라 이름이 다를 수 있습니다.
# 자체 IdP에서 IdP 구성
자체 IdP에서 IdP를 구성하려면 다음 단계를 따릅니다.
1. 브라우저에서 새 탭이 열립니다.
1. SAML IdP에 포털 메타데이터를 추가합니다.
이전 단계에서 다운로드한 SP 메타데이터 문서를 IdP에 업로드하거나 메타데이터 값을 복사하여 IdP의 올바른 필드에 붙여넣습니다. 일부 제공업체의 경우 파일 업로드를 허용하지 않습니다.
이 프로세스의 세부 사항은 제공업체마다 다를 수 있습니다. IdP 구성에 포털 세부 정보를 추가하는 방법에 대한 도움말은 [Amazon WorkSpaces Secure Browser에서 특정 IdP를 사용하기 위한 지침](idp-guidance.md)에서 제공업체의 설명서를 참조하세요.
1. SAML 어설션의 **NameID**를 확인합니다.
SAML IdP가 SAML 어설션의 **NameID**를 사용자 이메일 필드로 채우는지 확인합니다. **NameID** 및 사용자 이메일은 포털에서 SAML 페더레이션 사용자를 고유하게 식별하는 데 사용됩니다. 영구 SAML 이름 ID 형식을 사용합니다.
1. 선택 사항: IdP 시작 인증을 위한 **릴레이 상태**를 구성합니다.
이전 단계에서 **SP 시작 및 IdP 시작 SAML 어설션 수락**을 선택한 경우 [Amazon WorkSpaces Secure Browser의 ID 제공업체 구성](configure-idp-step1.md)의 2단계에 따라 IdP 애플리케이션의 기본 **릴레이 상태**를 설정합니다.
1. 선택 사항: **요청 서명**을 구성합니다. 이전 단계에서 **이 공급자에 대한 SAML 요청에 서명**을 선택한 경우 [Amazon WorkSpaces Secure Browser의 ID 제공업체 구성](configure-idp-step1.md)의 3단계에 따라 서명 인증서를 IdP에 업로드하고 요청 서명을 활성화합니다. Okta와 같은 일부 IdP의 경우 **요청 서명**을 사용하려면 **NameID**가 ‘영구’ 유형에 속해야 할 수 있습니다. 위의 단계에 따라 SAML 어설션의 **NameID**를 확인해야 합니다.
1. 선택 사항: **어설션 암호화**를 구성합니다. **이 제공업체에서 암호화된 SAML 어설션 필요**를 선택한 경우 포털 생성이 완료될 때까지 기다린 다음 아래 ‘메타데이터 업로드’의 4단계에 따라 암호화 인증서를 IdP에 업로드하고 어설션 암호화를 사용 활성화합니다.
1. 선택 사항: **단일 로그아웃**을 구성합니다. **단일 로그아웃**을 선택한 경우 [Amazon WorkSpaces Secure Browser의 ID 제공업체 구성](configure-idp-step1.md)의 5단계에 따라 서명 인증서를 IdP에 업로드하고 **단일 로그아웃 URL**을 입력한 다음 **단일 로그아웃**을 활성화합니다.
1. WorkSpaces Secure Browser를 사용할 수 있도록 IdP 사용자에게 액세스 권한을 부여합니다.
1. IdP에서 메타데이터 교환 파일을 다운로드합니다. 다음 단계에서 이 메타데이터를 WorkSpaces Secure Browser에 업로드합니다.
# Amazon WorkSpaces Secure Browser에서 IdP 구성 완료
WorkSpaces Secure Browser에서 IdP 구성을 완료하려면 다음 단계를 따릅니다.
1. WorkSpaces Secure Browser 콘솔로 돌아갑니다. 생성 마법사의 **ID 제공업체 구성 페이지**의 **IdP 메타데이터**에서 메타데이터 파일을 업로드하거나 IdP의 메타데이터 URL을 입력합니다. 포털에서는 IdP의 이 메타데이터를 사용하여 트러스트를 설정합니다.
1. 메타데이터 파일을 업로드하려면 **IdP 메타데이터 문서**에서 **파일 선택**을 선택합니다. 이전 단계에서 다운로드한 IdP로부터 XML 형식의 메타데이터 파일을 업로드합니다.
1. 메타데이터 URL을 사용하려면 이전 단계에서 설정한 IdP로 이동하여 **메타데이터 URL**을 가져옵니다. WorkSpaces Secure Browser 콘솔로 돌아가서 **IdP 메타데이터 URL** 아래에 IdP에서 가져온 메타데이터 URL을 입력합니다.
1. 완료되면 **다음**을 선택합니다.
1. **이 제공업체에서 암호화된 SAML 어설션 필요** 옵션을 활성화한 포털의 경우 포털 IdP 세부 정보 섹션에서 암호화 인증서를 다운로드하여 IdP에 업로드해야 합니다. 그런 다음 거기서 옵션을 활성화할 수 있습니다.
**참고**
WorkSpaces Secure Browser를 사용하려면 IdP 설정의 SAML 어설션에 subject 또는 NameID를 매핑하고 설정해야 합니다. IdP는 이러한 매핑을 자동으로 생성할 수 있습니다. 이러한 매핑이 올바르게 구성되지 않으면 사용자가 웹 포털에 로그인하여 세션을 시작할 수 없습니다.
WorkSpaces Secure Browser를 사용하려면 SAML 응답에 다음 클레임이 있어야 합니다. * 및 **은 콘솔 또는 CLI를 통해 포털의 서비스 제공업체 세부 정보 또는 메타데이터 문서에서 찾을 수 있습니다.
응답 대상으로 `Audience` 값이 SP Entity ID로 설정된 `AudienceRestriction` 클레임. 예제:
```
```
원래 SAML 요청 ID의 `InResponseTo` 값이 포함된 `Response` 클레임. 예제:
```
```
`Recipient` 값이 SP ACS URL이고 `InResponseTo` 값이 원래 SAML 요청 ID와 일치하는 `SubjectConfirmationData` 클레임. 예제:
```
```
WorkSpaces Secure Browser는 요청 파라미터와 SAML 어설션을 검증합니다. IdP 시작 SAML 어설션의 경우 요청 세부 정보가 HTTP POST 요청 본문에서 `RelayState` 파라미터로 형식화되어 있어야 합니다. 요청 본문에 SAML 어설션도 `SAMLResponse` 파라미터로 포함되어야 합니다. 이전 단계를 수행했다면 이 두 가지가 모두 있어야 합니다.
다음은 IdP 시작 SAML 제공업체에 대한 `POST` 본문 예시입니다.
```
SAMLResponse=&RelayState=
```
# Amazon WorkSpaces Secure Browser에서 특정 IdP를 사용하기 위한 지침
포털에 대해 SAML 페더레이션을 올바르게 구성하려면 아래 링크에서 일반적으로 사용되는 IdP의 설명서를 참조하세요.
| IdP | SAML 애플리케이션 설정 | 사용자 관리 | IdP 시작 인증 | 요청 서명 | 어설션 암호화 | 단일 로그아웃 |
| --- | --- | --- | --- | --- | --- | --- |
| Okta | [SAML 앱 통합 생성](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [사용자 관리](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [애플리케이션 통합 마법사 SAML 필드 참조](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [애플리케이션 통합 마법사 SAML 필드 참조](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [애플리케이션 통합 마법사 SAML 필드 참조](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [애플리케이션 통합 마법사 SAML 필드 참조](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) |
| Entra | [자체 애플리케이션 생성](https://help.okta.com/oie/en-us/content/topics/apps/apps_app_integration_wizard_saml.htm) | [빠른 시작: 사용자 계정 생성 및 할당](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-assign-users) | [엔터프라이즈 애플리케이션에 대한 Single Sign-On 활성화](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/add-application-portal-setup-sso) | [SAML 요청 서명 확인](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-enforce-signed-saml-authentication) | [Microsoft Entra SAML 토큰 암호화 구성](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/howto-saml-token-encryption?tabs=azure-portal) | [Single Sign-Out SAML 프로토콜](https://learn.microsoft.com/en-us/entra/identity-platform/single-sign-out-saml-protocol) |
| Ping | [SAML 애플리케이션 추가](https://docs.pingidentity.com/r/en-us/pingone/pingone_p1tutorial_add_a_saml_app) | [Users](https://docs.pingidentity.com/r/en-us/pingone/p1_c_aboutusers) | [IdP 시작 SSO 활성화](https://docs.pingidentity.com/r/en-us/pingone/pingone_configuring_the_oidc_application) | [PingOne for Enterprise에서 인증 요청 서명 구성](https://docs.pingidentity.com/r/en-us/solution-guides/htg_config_authn_req_sign_p14e) | [PingOne for Enterprise에서 암호화를 지원하나요?](https://support.pingidentity.com/s/article/Does-PingOne-support-encryption) | [SAML 2.0 단일 로그아웃](https://docs.pingidentity.com/r/en-us/pingone/pingone_c_saml_2-0_slo?tocId=aKUl0dlpyVDVw3PJmLIGGg) |
| One Login | [SAML 사용자 지정 커넥터(고급)(4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [OneLogin에 수동으로 사용자 추가](https://www.onelogin.com/getting-started/free-trial-plan/add-users-manually) | [SAML 사용자 지정 커넥터(고급)(4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML 사용자 지정 커넥터(고급)(4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML 사용자 지정 커넥터(고급)(4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) | [SAML 사용자 지정 커넥터(고급)(4266907)](https://support.onelogin.com/kb/4266907/saml-custom-connector-advanced) |
| IAM Identity Center | [자체 SAML 2.0 애플리케이션 설정](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [자체 SAML 2.0 애플리케이션 설정](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | [자체 SAML 2.0 애플리케이션 설정](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-setup.html#customermanagedapps-set-up-your-own-app-saml2) | 해당 사항 없음 | 해당 사항 없음 | 해당 사항 없음 |