내용으로 건너뛰기
AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관
AWS re:Postre:Post
re:Post 소개

AD FS를 Amazon Cognito 사용자 풀의 SAML 자격 증명 공급자로 설정하려면 어떻게 해야 합니까?

3분 분량
0

Active Directory Federation Services(AD FS)를 Amazon Cognito 사용자 풀의 SAML 2.0 자격 증명 공급자(IdP)로 사용하려고 합니다.

해결 방법

전제 조건: Amazon Cognito 사용자 풀로 ADFS를 설정하려면 도메인을 소유해야 합니다. 소유한 도메인이 없는 경우 Amazon Route 53을 통해 새 도메인을 등록하거나 다른 DNS 서비스를 통해 등록할 수 있습니다.

관리형 로그인을 사용하여 Amazon Cognito 사용자 풀 생성

Amazon Cognito 사용자 풀을 생성하고, 관리형 로그인을 설정합니다.

Amazon EC2 Windows 인스턴스 설정

다음 단계를 완료합니다.

  1. Amazon Elastic Compute Cloud(Amazon EC2) Windows 인스턴스를 시작합니다.
  2. Amazon EC2 Windows 인스턴스에서 ADFS 서버 및 도메인 컨트롤러를 설정합니다.

설명은 Amazon Cognito 사용자 풀의 페더레이션을 사용하도록 Amazon EC2 Windows 인스턴스에서 AD FS를 설정하려면 어떻게 해야 합니까?를 참조하십시오.

Amazon Cognito에서 SAML IdP로 AD FS 구성

다음 단계를 완료합니다.

  1. 사용자 풀에서 SAML 2.0 IdP를 구성합니다. 메타데이터 문서 엔드포인트 URL을 붙여넣거나 .xml 메타데이터 파일을 업로드할 수 있습니다.
  2. SAML IdP 속성을 사용자 풀의 사용자 프로필에 매핑합니다. 속성 맵에 모든 필수 속성이 포함되어야 합니다.

앱 클라이언트 설정 업데이트

다음 단계를 완료합니다.

  1. Amazon Cognito 콘솔을 엽니다.
  2. 애플리케이션에서 앱 클라이언트를 선택합니다. 그런 다음 목록에서 사용자 풀 설정 프로세스에서 생성한 앱 클라이언트를 선택합니다.
  3. 로그인 페이지 탭으로 이동하고 편집을 선택하고, 다음 옵션을 선택합니다.
    콜백 URL에 사용자가 로그인한 후 리디렉션할 URL을 입력합니다.
    로그아웃 URL의 경우 사용자가 로그아웃한 후 리디렉션할 URL을 입력합니다.
    자격 증명 공급자의 경우 드롭다운 목록에서 SAML IdP를 선택합니다.
    OAuth 2.0 허용 유형에서 인증 코드 부여암시적 권한 부여 확인란을 선택합니다.
    OpenID 연결 범위의 경우 드롭다운 목록에서 모든 OIDC 범위를 선택합니다.
    사용자 지정 범위의 경우 구성한 사용자 지정 범위를 선택합니다.
  4. 변경 사항 저장을 선택합니다.

앱 클라이언트 용어에 대한 자세한 내용은 앱 클라이언트 설정 용어를 참조하십시오.

설정 테스트

다음 단계를 완료합니다.

  1. 웹 브라우저에 다음 URL을 입력합니다. https://domainNamePrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=appClientId&redirect_uri=https://www.example.com
  2. Amazon Cognito 콘솔을 엽니다.
  3. 탐색 창에서 브랜딩을 선택한 다음 도메인을 선택합니다.
  4. 도메인의 URL을 복사합니다.
    참고: domainNamePrefix.auth.region.amazoncognito.com을 도메인 URL로 바꾸십시오.
  5. 탐색 창의 애플리케이션에서 앱 클라이언트를 선택합니다. 그런 다음 앱 클라이언트 ID를 복사합니다.
    참고: appClientId를 앱 클라이언트 ID로 바꾸십시오.
  6. 앱 클라이언트를 선택하고, 로그인 페이지 탭을 선택합니다.
  7. 로그인 페이지 탭에 표시된 콜백 URL을 복사합니다.
    참고: https://www.example.com을 콜백 URL로 바꾸십시오.
  8. 브라우저에 수정된 URL을 입력합니다. Amazon Cognito는 사용자를 Cognito 인증 페이지로 리디렉션합니다.
  9. 로그인 페이지에서 SAML IdP를 선택합니다.
  10. 조직 계정으로 로그인을 선택하고, Active Directory 사용자의 사용자 이름과 암호를 입력합니다.
  11. 로그인을 선택합니다.

참고: 로그인에 성공하면 AD FS는 Amazon Cognito로 SAML 응답을 보냅니다. Amazon Cognito는 SAML 응답의 유효성을 검사합니다. SAML 응답이 유효한 경우 Amazon Cognito는 토큰이 있는 애플리케이션 페이지로 리디렉션합니다. SAML 응답이 유효하지 않은 경우 Amazon Cognito는 URL에 오류 메시지를 포함한 애플리케이션 페이지로 리디렉션합니다. SAML 응답에는 NameID 속성이 포함되어야 합니다. SAML 응답에 이 속성이 포함되지 않으면 페더레이션이 실패합니다. SAML 응답에 대한 자세한 내용은 브라우저에서 SAML 응답 보기를 참조하십시오.

관련 정보

Amazon Cognito 사용자 풀을 사용하여 웹 앱에 대한 ADFS 페더레이션 구축

타사 SAML 자격 증명 공급자 구성

Amazon Cognito 사용자 풀에서 SAML 세션 시작

Amazon Cognito 사용자 풀을 사용하여 타사 SAML 자격 증명 공급자를 설정하려면 어떻게 해야 합니까?

사용자 풀 JSON 웹 토큰(JWT) 이해하기

주제
Security, Identity, & Compliance
태그
Amazon Cognito
언어
한국어
AWS 공식업데이트됨 8달 전
댓글 없음

관련 콘텐츠