AWS re:Post을(를) 사용하면 다음에 동의하게 됩니다. AWS re:Post 이용 약관

Amazon Cognito 사용자 풀을 사용하여 OneLogin을 SAML 자격 증명 공급자로 설정하려면 어떻게 해야 하나요?

4분 분량
0

OneLogin을 Amazon Cognito 사용자 풀의 Security Assertion Markup Language 2.0(SAML 2.0) 자격 증명 공급자(IdP)로 사용하고자 합니다.

간략한 설명

Amazon Cognito 사용자 풀은 서드 파티(페더레이션)를 통한 로그인을 허용합니다. 여기에는 OneLogin과 같은 SAML IdP를 통한 로그인도 포함됩니다. 자세한 내용은 타사를 통한 사용자 풀 로그인 추가사용자 풀에 SAML 자격 증명 공급자 추가를 참조하세요. OneLogin을 SAML IdP로 설정하려면 Amazon Cognito 사용자 풀과 애플리케이션이 있는 OneLogin 계정이 필요합니다.

해결 방법

앱 클라이언트와 도메인 이름을 사용하여 Amazon Cognito 사용자 풀 생성

자세한 내용은 다음 문서를 참조하세요.

**참고:**사용자 풀을 생성할 때는 기본적으로 스탠더드 속성 이메일이 선택됩니다. 자세한 내용은 사용자 풀 속성을 참조하세요.

OneLogin 계정 생성

  1. OneLogin 웹 사이트를 연 다음 무료 평가판을 선택합니다.
  2. 계정 생성 페이지의 OneLogin 도메인에서 OneLogin이 제공하는 도메인을 기록해 둡니다.

OneLogin 애플리케이션 생성

  1. OneLogin 포털 페이지(https://your-new-domain.onelogin.com/portal/)에서 관리를 선택합니다.
  2. 관리 페이지에서 을 마우스로 가리킨 다음 앱 추가를 선택합니다.
  3. 애플리케이션 찾기 아래의 검색 창에 saml을 입력한 다음 **SAML Test Connector(IdP)**를 선택합니다. SAML Test Connector(IdP) 추가 페이지.
  4. (선택 사항) SAML Test Connector(IdP) 추가 페이지에서 다음 단계 중 하나를 완료합니다.
    표시 이름에 이름과 설명을 입력합니다. 예를 들어, **Cognito 설정(IdP)**이라고 입력합니다.
    직사각형 아이콘정사각형 아이콘에 페이지의 사양에 따라 썸네일 아이콘을 업로드합니다.
    설명에는 간단한 요약 설명을 입력합니다. 예를 들어, Amazon Cognito 사용자 풀용이라고 입력합니다.
  5. 저장을 선택합니다.

OneLogin 애플리케이션 구성 편집

  1. OneLogin 포털 페이지(https://your-new-domain.onelogin.com/portal/)에서 구성을 선택합니다.
  2. 구성 페이지에서 다음 단계를 완료합니다.
    RelayStatehttps://www.example.com과 같이 유효한 URL을 입력합니다.
    대상urn:amazon:cognito:sp:yourUserPoolId를 입력합니다.
    수신자https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse를 입력합니다.
    ACS(소비자) URL 검사기https://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse를 입력합니다.
    ACS(소비자) URLhttps://yourDomainPrefix.auth.region.amazoncognito.com/saml2/idpresponse를 입력합니다.
    단일 로그아웃 URL의 경우 필드를 비워 둡니다.
    참고:****대상의 경우 yourUserPoolId를 Amazon Cognito 사용자 풀 ID로 바꿉니다. 사용자 풀 관리 페이지의 일반 설정 탭에 있는Amazon Cognito 콘솔에서 ID를 찾습니다.
    ACS(소비자) URL 검사기ACS(소비자) URL의 경우 yourDomainPrefixregion을 사용자 풀의 값으로 바꿉니다. 사용자 풀 관리 페이지의 도메인 이름 탭에 있는 Amazon Cognito 콘솔에서 값을 찾습니다.

OneLogin 애플리케이션의 파라미터 편집

  1. OneLogin 포털 페이지(https://your-new-domain.onelogin.com/portal/)에서 파라미터를 선택합니다.
    **참고:**파라미터 페이지에는 기본적으로 파라미터 **NameID(이전의 Email)**가 나열됩니다.
  2. 사용자 지정 파라미터를 새로 생성하려면 파라미터 추가를 선택합니다.
  3. 새 필드 대화 상자에서 필드 이름http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier를 입력합니다.
  4. 플래그의 경우 SAML 어설션에 포함 확인란을 선택합니다.
  5. 저장을 선택합니다.
  6. 의 경우 목록에서 이메일을 선택합니다.
  7. 저장을 선택합니다.

OneLogin 애플리케이션의 IdP 메타데이터를 복사합니다.

  1. OneLogin 포털 페이지(https://your-new-domain.onelogin.com/portal/)에서 SSO를 선택합니다.
  2. 발급자 URL에서 URL을 복사합니다.
  3. 저장을 선택합니다.

Amazon Cognito에서 OneLogin을 SAML IdP로 구성

Amazon Cognito에서 OneLogin을 SAML 자격 IdP로 구성하려면 사용자 풀에 대한 SAML 자격 증명 공급자 생성 및 관리(AWS Management Console)를 참조하세요. 사용자 풀에서 SAML 2.0 자격 증명 공급자 구성의 지침을 따르세요. SAML IdP를 생성할 때 메타데이터 문서에 대해서는 복사한 발급자 URL을 입력합니다.

IdP 속성에서 사용자 풀 속성으로 이메일 주소 매핑

이메일 주소를 IdP 속성에서 사용자 풀 속성으로 매핑하려면 사용자 풀에 대한 자격 증명 공급자 속성 매핑 지정을 참조하세요. SAML 공급자 속성 매핑 지정의 지침을 따르세요. 속성 매핑에서 SAML 속성을 추가할 때 SAML 속성에 대해서는 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier를 입력합니다. 사용자 풀 속성의 경우 목록에서이메일을 선택합니다.

Amazon Cognito에서 앱 클라이언트 설정 변경

**참고:**다음은 테스트 목적의 예제 설정입니다. 프로덕션 설정의 경우 앱 클라이언트 설정에 권한 부여 코드 부여 OAuth 흐름을 사용하는 것이 모범 사례입니다. 이 흐름을 사용하면 리디렉션 URL에서 인증된 후 권한 부여 코드를 받게 됩니다. 권한 부여 코드를 JSON 웹 토큰(JWT)으로 교환하려면 토큰 엔드포인트에 요청해야 합니다.

  1. Amazon Cognito 콘솔앱 통합에서 앱 클라이언트 설정을 선택합니다. 그런 다음, 다음 단계를 완료합니다.
    활성화된 자격 증명 공급자에서 모두 선택 확인란을 선택합니다.
    콜백 URL에 사용자가 로그인한 후 리디렉션할 URL을 입력합니다. 테스트하려면 https://www.example.com와 같은 유효한 URL을 입력합니다.
    URL 로그아웃에 사용자가 로그아웃한 후 리디렉션할 URL을 입력합니다. 테스트하려면 https://www.example.com와 같은 유효한 URL을 입력합니다.
    허용된 OAuth 흐름에서 최소한 암시적 부여확인란을 선택합니다.
    허용된 OAuth 범위에서 이메일openid 확인란은 반드시 선택해야 합니다.
  2. 변경 사항 저장을 선택합니다. 자세한 내용은 사용자 풀 앱 클라이언트 업데이트(AWS CLI 및 AWS API)를 참조하세요.

로그인 엔드포인트 테스트

  1. 브라우저에 https://yourDomainPrefix.auth.region.amazoncognito.com/login?response_type=token&client_id=yourClientId&redirect_uri=redirectUrl을 입력합니다.
    참고:****yourDomainPrefixregion을 사용자 풀의 값으로 바꿉니다. 사용자 풀 관리 페이지의 도메인 이름 탭에 있는 Amazon Cognito 콘솔에서 해당 값을 찾습니다. yourClientId를 사용자의 앱 클라이언트의 ID로 바꾸고, redirectUrl을 사용자 앱 클라이언트의 콜백 URL로 바꿉니다. 사용자 풀 관리 페이지의 앱 클라이언트 설정 탭에 있는 Amazon Cognito 콘솔에서 해당 값을 찾습니다. 자세한 내용은 Amazon Cognito에 호스트된 웹 UI를 구성하려면 어떻게 해야 하나요?로그인 엔드포인트를 참조하세요.
  2. OneLogin을 선택합니다.
    **참고:**사용자의 앱 클라이언트 콜백 URL로 리디렉션된다면, 사용자의 브라우저에서 이미 OneLogin 계정에 로그인한 것입니다. 모든 설정이 정확합니다.
  3. OneLogin 페이지의 사용자 이름에 OneLogin 계정 사용자 이름을 입력합니다.
  4. 계속을 선택합니다.
  5. 암호에 OneLogin 계정 암호를 입력합니다.
  6. 계속을 선택합니다.

관련 정보

서드 파티 SAML 자격 증명 공급자와 Amazon Cognito 사용자 풀 통합

SAML 사용자 풀 IdP 인증 흐름

AWS 공식
AWS 공식업데이트됨 일 년 전