타사 IdP를 사용하여 Amazon Cognito 사용자 풀의 IAM Identity Center를 구성하려면 어떻게 해야 합니까?

해결 방법

앱 클라이언트 및 도메인 이름을 사용하여 Amazon Cognito 사용자 풀 생성

참고: 앱 클라이언트가 있는 사용자 풀이 있는 경우 IAM Identity Center 활성화 및 사용자 추가 섹션을 진행하십시오.

다음 단계를 완료하십시오.

1. 새 애플리케이션을 생성합니다.
2. https://cognitoexample.auth.region.amazoncognito.com 형식으로 Amazon Cognito 접두사 도메인을 생성합니다. 또는 사용자 지정 도메인을 생성합니다. 자세한 내용은 사용자 풀 도메인 구성을 참조하십시오.
3. (선택 사항) 관리형 로그인 페이지에 브랜딩을 적용합니다.

IAM Identity Center 활성화 및 사용자 추가

참고: IAM Identity Center 환경이 작동하는 경우 SAML 애플리케이션 구성 섹션으로 이동합니다.

다음 단계를 완료하십시오.

1. IAM Identity Center 사전 요구 사항 및 고려 사항을 검토합니다.
2. IAM Identity Center를 활성화합니다. 
   참고: 인스턴스 유형의 경우 AWS 조직 관리 계정에서 생성한 IAM Identity Center의 조직 인스턴스를 선택해야 합니다.
3. ID 소스를 확인한 다음 사용자를 생성합니다.

SAML 애플리케이션 구성

다음 단계를 완료하십시오.

1. IAM Identity Center 콘솔을 엽니다.
2. 탐색 창에서 애플리케이션을 선택합니다.
3. 애플리케이션 추가를 선택한 다음 기본 설정 구성에서 설정할 애플리케이션이 있습니다를 선택합니다.
4. 애플리케이션 유형에서 SAML 2.0을 선택한 후 다음을 선택합니다.
5. 애플리케이션 구성 페이지에서 디스플레이 이름과 설명을 입력합니다.
6. IAM Identity Center SAML 메타데이터 파일의 URL을 기록하거나 다운로드 하이퍼링크를 선택하여 파일을 다운로드합니다.
7. 애플리케이션 메타데이터에서 메타데이터 값 수동 입력을 선택합니다. 그리고 다음 값을 입력합니다.
   애플리케이션 어설션 소비자 서비스(ACS) URL에 https://domain-prefix.auth.region.amazoncognito.com/saml2/idpresponse를 입력합니다.
   애플리케이션 SAML 대상에 urn:amazon:cognito:sp:userpool-id를 입력합니다.
   참고: domain-prefix를 도메인 접두사로, region을 AWS 리전으로, userpool-id를 사용자 풀 ID로 대체하십시오.
8. 제출을 선택합니다.
9. 애플리케이션의 세부 정보 페이지에서 작업 드롭다운 목록을 선택합니다.
10. 속성 매핑 편집을 선택한 후 다음 속성을 입력합니다.
    애플리케이션의 사용자 속성에서 기본 제목을 유지합니다.
    IAM Identity Center에서 이 문자열 값 또는 사용자 속성에 매핑합니다에서 **${user:subject}**를 입력합니다.
    형식에 영구를 입력합니다.
    애플리케이션의 사용자 속성에 이메일을 입력합니다.
    IAM Identity Center에서 이 문자열 값 또는 사용자 속성에 매핑합니다에서 **${user:email}**을 입력합니다.
    형식에 기본을 입력합니다.
    참고: 사용자가 로그인하면 IAM Identity Center에서 Amazon Cognito에 속성 매핑을 전송합니다. 사용자 풀의 필수 속성을 모두 매핑해야 합니다. 사용 가능한 매핑 속성에 대한 자세한 내용은 지원되는 외부 ID 제공업체 속성을 참조하십시오.
11. 제출을 선택합니다.
12. 할당된 사용자 및 그룹 섹션에서 사용자 및 그룹 할당을 선택합니다.
13. 사용자를 찾은 다음 할당을 선택합니다.

사용자 풀에서 IAM Identity Center를 SAML IdP로 구성

사용자 풀에서 SAML IdP를 구성하려면 사용자 풀에서 SAML ID 제공업체 추가 및 관리를 참조하십시오. SAML 제공업체 속성 매핑을 지정할 때 SAML 속성 필드에 유효한 이메일을 입력합니다. 사용자 풀 속성에서 이메일을 선택합니다.

제공업체 이름 및 식별자에 대한 자세한 내용은 SAML ID 제공업체 이름 및 식별자를 참조하십시오.

사용자 풀 앱 클라이언트를 사용하여 ID 제공업체 통합

다음 단계를 완료하십시오.

1. Amazon Cognito 콘솔을 엽니다.
2. 탐색 창에서 사용자 풀을 선택합니다.
3. 애플리케이션에서 앱 클라이언트를 선택합니다.
4. 앱 클라이언트를 선택합니다.
5. 로그인 페이지 섹션에서 편집을 선택합니다.
6. ID 제공업체 섹션에서 IdP를 선택합니다.
7. 변경 사항 저장을 선택합니다.

설정 테스트

서비스 제공업체(SP)에서 시작한 로그인을 테스트하려면 다음 단계를 완료하십시오.

1. Amazon Cognito 콘솔을 연 다음 앱 클라이언트의 로그인 페이지 탭에서 로그인 페이지 보기를 선택합니다. 또는 로그인 엔드포인트 URL을 생성합니다. 다음 예제 이름 지정 패턴을 사용하고 예제 값을 해당 값으로 대체합니다.
   https://my-user-pool.auth.us-east-1.amazoncognito.com/login?response_type=code&client_id=a1b2c3d4e5f6g7h8i9j0k1l2m3&redirect_uri=https://example.com
   OAuth 2.0 권한 부여 유형에서 암시적 권한 부여를 선택합니다. 그런 다음 요청 URL에서 response_type을 token으로 설정합니다.
2. 로그인 페이지 탭에서 IAM Identity Center IdP를 선택합니다.
   브라우저에서 앱 클라이언트의 콜백 URL로 리디렉션하면 사용자로 성공적으로 로그인한 것입니다. 사용자 풀 토큰은 웹 브라우저의 주소 표시줄 URL에 나타납니다.
   참고: 이 단계를 건너뛰려면 다음 명명 패턴이 있는 엔드포인트 권한 부여 URL을 생성합니다.
   https://yourDomainPrefix.auth.region.amazoncognito.com/oauth2/authorize?response_type=token&identity_provider=samlProviderName&client_id=yourClientId&redirect_uri=redirectUrl&scope=allowedOauthScopes
3. 사용자 자격 증명을 입력한 후 로그인을 선택합니다.

Amazon Cognito가 코드 또는 토큰을 사용하여 콜백 URL로 리디렉션하면 설정이 완료됩니다.

ID 제공업체(IdP)에서 시작한 로그인을 테스트하려면 다음 단계를 완료하십시오.

1. Amazon Cognito 콘솔을 엽니다.
2. 탐색 창에서 사용자 풀을 선택한 다음 원하는 사용자 풀을 선택합니다.
3. 탐색 창에서 소셜 및 외부 제공업체를 선택합니다.
4. IdP를 선택한 다음 ID 제공업체 정보 섹션에서 편집을 선택합니다.
5. IdP에서 시작한 SAML 로그인 섹션에서 SP 및 IdP에서 시작한 SAML 어설션 수락을 선택합니다.
   참고: IdP에서 시작한 로그인을 사용하는 SAML 제공업체를 수락하는 앱 클라이언트에 다른 SAML 제공업체를 추가할 수 있습니다. 앱 클라이언트에서 다른 소셜 또는 OpenID Connect(OIDC) 제공업체 또는 Cognito 사용자 풀 디렉터리를 제거합니다.
6. 변경 사항 저장을 선택합니다.
7. IAM Identity Center 콘솔을 연 다음 SAML 2.0 애플리케이션을 선택합니다.
8. 작업 드롭다운을 선택한 다음 구성 편집을 선택합니다.
9. 애플리케이션 속성에서 다음 릴레이 상태 값을 추가합니다.
   identity_provider=identity-provider-name&client_id=app-client-id&redirect_uri=callback-url&response_type=token&scope=openid+email
   참고: 예제 값을 원하는 값으로 대체하십시오.
10. 제출을 선택합니다.
11. 탐색 창에서 설정을 선택합니다.
12. ID 소스 섹션에서 AWS 액세스 포털 URL을 복사하고 브라우저에서 엽니다.
13. 사용자 자격 증명을 입력한 후 로그인을 선택합니다.
14. Cognito 애플리케이션을 선택합니다.

Amazon Cognito가 코드 또는 토큰을 사용하여 콜백 URL로 리디렉션하면 설정이 완료된 것입니다.

관련 정보

Amazon Cognito 사용자 풀에서 페더레이션 로그인이 작동하는 방식

사용자 풀 JSON 웹 토큰(JWT) 이해하기