Amazon Cognito 사용자 풀을 사용하여 AD FS를 SAML 자격 증명 공급자로 설정하려면 어떻게 해야 하나요?
3분 분량
0
Amazon Cognito 사용자 풀을 사용하여 SAML 2.0(Security Assertion Markup Language 2.0) 자격 증명 공급자(IdP)로 AD FS(Active Directory Federation Services)를 사용하려고 합니다. 그러려면 어떻게 설정해야 합니까?
SAML 속성을 추가할 때 SAML Attribute에는 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress를 입력합니다. User pool attribute에는 목록에서 Email을 선택합니다.
Amazon Cognito에서 앱 클라이언트 설정 변경
사용자 풀에 대한 Amazon Cognito 콘솔 관리 페이지의 **앱 통합(App integration)**에서 **앱 클라이언트 설정(App client settings)**을 선택합니다. 그러고 나서 다음 작업을 수행합니다. 활성화된 자격 증명 공급자에서 구성한 SAML IdP의 확인란을 선택합니다. 예를 들면 ADFS입니다.
**Callback URL(s)**의 경우, 로그인 후 사용자를 리디렉션할 URL을 입력합니다.
**Sign out URL(s)**의 경우, 로그아웃 후 사용자를 리디렉션할 URL을 입력합니다. Allowed OAuth Flows에서 인증 코드 부여 및 묵시적 부여 확인란을 선택합니다. Allowed OAuth Scopes에서 모든 확인란을 선택하십시오.
**변경 사항 저장(Save changes)**을 선택합니다. 자세한 내용은 앱 클라이언트 설정 용어를 참조하세요.
Amazon Cognito 호스팅 웹 UI를 사용하여 설정 테스트
웹 브라우저에 다음 URL을 입력합니다. https://domainNamePrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=appClientId&redirect_uri=https://www.example.com참고: URL의 경우 사용자 풀 및 앱 클라이언트의 값을 사용하세요. 앱 통합 페이지의 Amazon Cognito 콘솔에서 사용자 풀에 대한 도메인(도메인 이름 접두사 및 AWS 리전 포함)을 찾습니다. 앱 클라이언트 설정에서 앱 클라이언트 ID를 찾습니다. https://www.example.com를 SAML IdP에 대한 콜백 URL로 바꿉니다.
구성한 SAML IdP의 이름을 선택합니다. AD FS 인증 페이지로 리디렉션됩니다.
조직 계정으로 로그인에서 Active Directory 사용자의 사용자 이름과 암호를 입력하십시오.
[로그인]을 선택합니다. 성공적으로 로그인되면 Amazon Cognito에서 사용자 풀 토큰과 성공 SAML 응답이 반환됩니다. SAML 응답을 확인하는 방법에 대한 자세한 내용은 문제 해결을 위해 브라우저에서 SAML 응답을 보는 방법을 참조하세요. 참고: 디코딩된 SAML 응답에는 필수 속성인 NameID가 포함되어 있습니다.