Amazon Web Services 클라우드 애플리케이션

사용자 프로비저닝을 설정하기 전에 Amazon Web Services용 맞춤 사용자 속성을 만들어야 합니다. 다음 단계를 따르세요.

1. Google 관리 콘솔에 로그인하세요.

   @gmail.com으로 끝나지 않는 최고 관리자 권한이 있는 계정을 사용하여 로그인하세요.

2. 관리 콘솔에서 메뉴  디렉터리사용자로 이동합니다.
3. 사용자 목록 상단에서 더보기맞춤 속성 관리를 클릭합니다.
   
4. 오른쪽 상단에서 맞춤 속성 추가를 클릭합니다.
5. 다음과 같이 맞춤 속성을 설정합니다.
   • 카테고리: Amazon
   • 설명: Amazon 맞춤 속성

   맞춤 입력란에 다음을 입력합니다.

   • 이름: 역할
   • 정보 유형: 텍스트
   • 공개 상태: 사용자 및 관리자에게 공개
   • 값의 개수: 다중 값
6. 추가를 클릭합니다.

   새로운 카테고리가 사용자 속성 관리 페이지에 표시됩니다.

1. Google 관리 콘솔에 로그인하세요.

   @gmail.com으로 끝나지 않는 최고 관리자 권한이 있는 계정을 사용하여 로그인하세요.

2. 관리 콘솔에서 메뉴  보안인증SAML 애플리케이션을 통한 SSO로 이동합니다.

   이 작업을 수행하려면 최고 관리자로 로그인해야 합니다.

3. IDP 메타데이터를 다운로드합니다.

관리 콘솔을 열어 두고 Amazon Management Console에서 다음 단계를 수행한 다음 SSO 구성을 진행합니다.

1. 새 브라우저 탭에서 AWS Management Console에 로그인하고 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.
2. 탐색창에서 Identity Providers(ID 공급업체) > Create Provider(공급업체 만들기)를 선택합니다.
3. Provider Type(공급업체 유형)에서 SAML을 선택합니다.
4. Provider Name(공급업체 이름)을 입력합니다(예: GoogleWorkspace).
5. Choose File(파일 선택)을 클릭하고 위의 1단계에서 다운로드한 IDP 메타데이터 파일을 선택합니다.
6. Continue Step(단계 계속)를 클릭하고 Create(만들기)를 클릭합니다.

   Identity Providers(ID 공급업체) 페이지의 GoogleWorkspace가 IdP 표에 표시됩니다.

7. 왼쪽 사이드바에서 Roles(역할) > Create a New Role(새 역할 만들기)을 클릭합니다.
8. Set role name(역할 이름 설정)에서 Role Name(역할 이름)을 입력합니다.
9. Continue Step(단계 계속)을 클릭합니다.
10. Select Role Type(역할 유형 선택) 페이지의 Role for Identity Provider Access(ID 공급업체 액세스의 역할)에서 Grant Web Single Sign-On(WebSSO) access to SAML providers(SAML 공급업체에 웹 싱글 사인온(WebSSO) 액세스 권한 부여)를 선택합니다. 
11. Continue Step(단계 계속)을 클릭합니다.
12. Establish trust(신뢰 설정) 페이지에서 기본 설정을 그대로 두고 Next Step(다음 단계)을 클릭합니다.
13. Google SSO를 통해 AWS에 로그인하는 사용자에게 액세스 권한을 부여하는 정책을 선택합니다. 예: AdministrativeAccess 
14. Continue Step(단계 계속)을 클릭합니다.
15. 다음 페이지에서 AWS 계정 ID와 역할 이름이 포함된 Role ARN을 복사하여 저장합니다. 이 값은 아래 4단계에서 각 사용자의 Amazon 맞춤 사용자 속성을 구성하는 데 필요합니다.

    예: arn:aws:iam::ACCOUNT_NUMBER:role/SSO

16. Create the Role(역할 만들기)을 클릭합니다.
17. ID 공급업체 목록에서 Google 서비스를 선택하고 제공업체 ARN을 복사하여 저장합니다. 여기에는 AWS Account ID(계정 ID)와 공급업체의 이름이 포함되어 있습니다. 이 값은 아래 4단계에서 각 사용자의 Amazon 맞춤 사용자 속성을 구성하는 데 필요합니다.

    예: arn:aws:iam::ACCOUNT_NUMBER:saml-provider/GoogleWorkspace.

18. Save(저장)를 클릭하여 통합된 웹 싱글 사인온(WebSSO) 구성 세부정보를 저장합니다.

1. 관리 콘솔이 열려 있는 브라우저 탭으로 돌아갑니다.
2. 관리 콘솔에서 메뉴  앱웹 및 모바일 앱으로 이동합니다.
3. 검색 입력란에 Amazon Web Services를 입력합니다.
4. 검색결과에서 Amazon Web Services SAML 앱 위로 마우스를 가져가 선택을 클릭합니다.
5. Google ID 공급업체 세부정보 페이지에서 계속을 클릭합니다.

   서비스 제공업체 세부정보 페이지에 Amazon Web Services의 ACS URL 및 엔티티 ID 값이 기본적으로 구성됩니다.

6. 계속을 클릭합니다.
7. 속성 매핑 페이지에서 필드 선택 메뉴를 클릭하고 다음 Google 디렉터리 속성을 해당 Amazon Web Services 속성에 매핑합니다.
    

   Google 디렉터리 속성	Amazon Web Services 속성
   Basic Information > Primary Email	https://aws.amazon.com/SAML/Attributes/RoleSessionName
   Amazon > Role*	https://aws.amazon.com/SAML/Attributes/Role

   (*) 위의 시작하기 전에 섹션에서 생성한 맞춤 속성

8. (선택사항) 이 앱과 관련된 그룹 이름을 입력하려면 다음 안내를 따르세요.

   1. 그룹 멤버십(선택사항)에서 그룹 검색을 클릭하고 그룹 이름의 글자를 하나 이상 입력한 다음 그룹 이름을 선택합니다.
   2. 필요한 경우 그룹을 더 추가합니다(최대 75개 그룹).
   3. 앱 속성에서 서비스 제공업체의 해당 그룹 속성 이름을 입력합니다.

   입력한 그룹 이름 수와 상관없이 SAML 응답에는 사용자가 직속 또는 비직속 회원인 그룹만 포함됩니다. 자세한 내용은 그룹 멤버십 매핑에 관한 정보를 참고하세요.

9. 마침을 클릭합니다.

1. Google 관리 콘솔에 로그인하세요.

   @gmail.com으로 끝나지 않는 최고 관리자 권한이 있는 계정을 사용하여 로그인하세요.

2. 관리 콘솔에서 메뉴  앱웹 및 모바일 앱으로 이동합니다.
3. Amazon Web Services를 선택합니다.
4. 사용자 액세스를 클릭합니다.

5. 조직의 모든 사용자에 대해 서비스를 사용 설정 또는 사용 중지하려면 모든 사용자에 대해 사용 또는 모든 사용자에 대해 사용 중지를 클릭한 다음 저장을 클릭합니다.

6. (선택사항) 조직 단위별로 서비스를 사용 또는 사용 중지하는 방법은 다음과 같습니다.

   1. 왼쪽에서 조직 단위를 선택합니다.
   2. 서비스 상태를 변경하려면 사용 또는 사용 중지를 선택합니다.
   3. 다음 중 하나를 선택합니다.
      • 서비스 상태가 상속으로 설정되어 있고 상위 조직 설정이 변경되더라도 업데이트된 설정을 유지하려는 경우 재정의를 클릭합니다.
      • 서비스 상태가 재정의로 설정되어 있는 경우 상속을 클릭하여 상위 조직과 동일한 설정으로 되돌리거나, 저장을 클릭하여 상위 조직의 설정이 변경되더라도 새 설정을 유지합니다.
        참고: 조직 구조에 대해 자세히 알아보세요.
7. 여러 조직 단위 간 또는 조직 단위 내에서 사용자에 대해 서비스를 사용 설정하려면 액세스 그룹을 선택합니다. 자세한 내용은 그룹에 대해 서비스 사용 설정하기를 참고하세요.
8. Amazon Web Services의 사용자 계정 이메일 ID가 Google 도메인에 있는 이메일 ID와 일치해야 합니다.
9. SSO를 통해 AWS에 로그인하는 각 사용자에 대해 시작하기 전에에서 만든 맞춤 사용자 속성을 구성합니다.
   1. 사용자의 계정 페이지에서 User information(사용자 정보)을 클릭합니다.
   2. Amazon 맞춤 속성을 클릭합니다.
   3. Role 필드에서 다음과 같이 AWS 역할 ARN 및 제공업체 ARN(위 2단계에서 복사)을 쉼표로 구분하여 추가합니다. 

      arn:aws:iam::ACCOUNT_NUMBER:role/SSO,arn:aws:iam::ACCOUNT_NUMBER:provider/GoogleWorkspace

   4. 저장을 클릭합니다.

참고: Amazon Web Services를 구성했던 계정에 로그인된 상태인지 확인하세요.

1. Google 관리 콘솔에 로그인하세요.

   @gmail.com으로 끝나지 않는 최고 관리자 권한이 있는 계정을 사용하여 로그인하세요.

2. 관리 콘솔에서 메뉴  앱웹 및 모바일 앱으로 이동합니다.
3. Amazon Web Services를 선택합니다.
4. 왼쪽 상단에서 Test SAML login(SAML 로그인 테스트)을 클릭합니다. 

   별도의 탭에서 Amazon Web Services가 열립니다. 앱이 열리지 않는 경우 SAML 오류 메시지 결과의 정보를 사용하여 필요에 따라 IdP 및 SP 설정을 변경한 다음 SAML 로그인을 다시 테스트합니다.

Amazon Web Services에 사용자 프로비저닝을 설정할 필요가 없습니다.

AWS에서는 SAML 2.0 ID 공급업체(IdP)가 인증한 모든 제휴 사용자에 대한 역할 기반 로그인을 지원합니다. Amazon Web Services 계정에 해당하는 맞춤 속성에 속성 값 https://aws.amazon.com/SAML/Attributes/Role을 매핑하여 역할을 지정합니다. 위의 3단계를 참고하세요.

이 역할 매핑을 만든 후에는 Management Console에서 해당 IAM 사용자를 생성하지 않아도, SAML SSO 기능을 사용 설정한 사용자라면 지정된 AWS ID 및 액세스 관리자(IAM) 역할로 AWS Management Console에 로그인할 수 있습니다.

AWS 역할 매핑에 대한 자세한 내용은 AWS 설명서를 참고하세요.