사용자 풀의 자격 증명 공급자 구성
사용자 풀을 사용하면 다양한 외부 ID 제공업체(idP)를 통해 로그인을 구현할 수 있습니다. 가이드의 이 섹션에는 Amazon Cognito 콘솔에서 사용자 풀을 사용하여 이러한 ID 제공업체를 설정하는 지침이 나와 있습니다. 또는 사용자 풀 API 및 AWS SDK를 사용하여 프로그래밍 방식으로 사용자 풀 ID 제공업체를 추가할 수 있습니다. 자세한 내용은 CreateIdentityProvider를 참조하세요.
지원되는 ID 제공업체 옵션에는 Facebook, Google, Amazon과 같은 소셜 제공업체와 OpenID Connect(OIDC) 및 SAML 2.0 제공업체가 포함됩니다. 시작하기 전에 IdP에 대한 관리 자격 증명을 설정합니다. 각 제공업체 유형에 대해 애플리케이션을 등록하고 필요한 자격 증명을 받은 다음 사용자 풀에서 제공업체 세부 정보를 구성해야 합니다. 그런 다음 사용자는 연결된 ID 제공업체의 기존 계정으로 애플리케이션에 가입하고 로그인할 수 있습니다.
페더레이션 ID 제공업체 로그인 아래의 로그인 환경 탭은 사용자 풀 IdP를 추가하고 업데이트합니다. 자세한 내용은 서드 파티를 통한 사용자 풀 로그인 추가 단원을 참조하십시오.
소셜 IdP를 사용하여 사용자 로그인 설정
페더레이션을 사용하여 Amazon Cognito 사용자 풀을 Facebook, Google, Login with Amazon 등의 소셜 자격 증명 공급자와 통합할 수 있습니다.
소셜 자격 증명 공급자를 추가하려면 먼저 자격 증명 공급자에서 개발자 계정을 생성합니다. 개발자 계정이 생성되면 자격 증명 공급자에 앱을 등록합니다. 자격 증명 공급자가 앱에 대한 ID와 암호를 생성하면 Amazon Cognito 사용자 풀에 이들 값을 구성합니다.
사용자 로그인을 소셜 IdP와 통합하려면
-
Amazon Cognito 콘솔
에 로그인합니다. 메시지가 표시되면 AWS 자격 증명을 입력합니다. -
탐색 창에서 [사용자 풀(User Pools)]을 선택한 다음 편집할 사용자 풀을 선택합니다.
-
로그인 환경(Sign-in experience) 탭을 선택하고 페더레이션 로그인(Federated sign-in)을 찾습니다.
-
자격 증명 공급자 추가(Add an identity provider)를 선택하거나, 구성한 Facebook, Google, Amazon 또는 Apple 자격 증명 공급자를 선택하고 자격 증명 공급자 정보(Identity provider information)를 찾은 다음 편집(Edit)을 선택합니다. 소셜 자격 증명 공급자를 추가하는 방법에 대한 자세한 내용은 사용자 풀에서 소셜 ID 제공업체 사용 섹션을 참조하세요.
-
선택한 IdP에 따라 다음 단계 중 하나를 완료하여 소셜 자격 증명 공급자의 정보를 입력합니다.
- Facebook, Google 및 Login with Amazon
-
클라이언트 앱을 생성할 때 수신한 앱 ID 및 앱 암호를 입력합니다.
- Apple로 로그인
-
Apple에 제공한 서비스 ID와 앱 클라이언트를 생성할 때 수신한 팀 ID, 키 ID, 프라이빗 키를 입력합니다.
-
권한 있는 범위(Authorized scopes)에서 사용자 풀 속성에 매핑할 소셜 자격 증명 공급자 범위의 이름을 입력합니다. 범위는 앱에서 액세스하려는 사용자 속성(예: 이름, 이메일)을 정의합니다. 범위를 입력하는 경우 선택한 IdP에 따라 다음 지침을 따르세요.
-
Facebook - 범위를 쉼표로 구분합니다. 예:
public_profile, email
-
Google, Login with Amazon, Sign In with Apple - 범위를 공백으로 구분합니다. 예:
-
Google:
profile email openid
-
Login with Amazon:
profile postal_code
-
Sign In with Apple:
name email
참고
Sign In with Apple(콘솔)의 경우 확인란을 사용하여 범위를 선택합니다.
-
-
-
변경 사항 저장(Save changes)을 선택합니다.
-
[앱 클라이언트 통합(App client integration)] 탭의 목록에서 [앱 클라이언트(App clients)] 중 하나를 선택한 다음, [호스트된 UI 설정 편집(Edit hosted UI settings)]을 선택합니다. [자격 증명 공급자(Identity providers)]에서 앱 클라이언트에 새 소셜 자격 증명 공급자를 추가합니다.
-
변경 사항 저장(Save changes)을 선택합니다.
소셜 IdP에 대한 자세한 내용은 사용자 풀에서 소셜 ID 제공업체 사용를 참조하세요.
OIDC IdP를 사용하여 사용자 로그인 설정
사용자 로그인을 Salesforce 또는 Ping Identity와 같은 OpenID Connect(OIDC) 자격 증명 공급자(IdP)와 통합할 수 있습니다.
사용자 풀에 OIDC 자격 증명 공급자 추가
-
Amazon Cognito 콘솔
로 이동합니다. 메시지가 표시되면 AWS 자격 증명을 입력합니다. -
탐색 메뉴에서 [사용자 풀(User Pools)]을 선택합니다.
-
목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.
-
[로그인 환경(Sign-in experience)] 탭을 선택합니다. [페더레이션 로그인(Federated sign-in)]을 찾아서 [자격 증명 공급자 추가(Add an identity provider)]를 선택합니다.
-
OpenID Connect 자격 증명 공급자를 선택합니다.
-
공급자 이름(Provider name)에 고유한 이름을 입력합니다.
-
공급자로부터 수신한 클라이언트 ID를 클라이언트 ID(Client ID)에 입력합니다.
-
공급자로부터 수신한 클라이언트 암호를 클라이언트 암호(Client secret)에 입력합니다.
-
이 공급자의 권한 있는 범위(Authorized scopes)를 입력합니다. 범위는 애플리케이션이 공급자로부터 요청할 사용자 속성(예:
name
,email
) 그룹을 정의합니다. OAuth 2.0사양에 따라 범위를 공백으로 구분해야 합니다. 사용자는 애플리케이션에 이러한 속성을 제공하는 것에 동의해야 합니다.
-
속성 요청 메서드(Attribute request method)를 선택하여 Amazon Cognito가 공급자가 운영하는 userInfo 엔드포인트에서 사용자 세부 정보를 가져오는 데 사용하는 HTTP 메서드(GET 또는 POST)를 Amazon Cognito에 제공합니다.
-
설정 메서드(Setup method)를 선택하여 발급자 URL을 통해 자동 채우기(Auto fill through issuer URL) 또는 수동 입력(Manual input)으로 OpenID Connect 엔드포인트를 검색합니다. 공급자에게 Amazon Cognito가
authorization
,token
,userInfo
및jwks_uri
엔드포인트의 URL을 검색할 수 있는 퍼블릭.well-known/openid-configuration
엔드포인트가 있는 경우 발급자 URL을 통해 자동 채우기(Auto fill through issuer URL)를 사용합니다. -
발급자 URL이나 IdP의
authorization
,token
,userInfo
,jwks_uri
엔드포인트 URL을 입력합니다.참고
검색 URL, 자동으로 채워진 URL 및 수동으로 입력한 URL에는 포트 번호 443과 80만 사용할 수 있습니다. OIDC 공급자가 비표준 TCP 포트를 사용하는 경우 사용자 로그인이 실패합니다.
발급자 URL은
https://
로 시작해야 하며/
문자로 시작하지 않아야 합니다. 예를 들어, Salesforce는 다음 URL을 사용합니다.https://login.salesforce.com
발급자 URL과 연결된
openid-configuration
문서는authorization_endpoint
,token_endpoint
,userinfo_endpoint
및jwks_uri
값에 대해 HTTPS URL을 제공해야 합니다. 마찬가지로 수동 입력(Manual input)을 선택하면 HTTPS URL만 입력할 수 있습니다. -
OIDC 클레임 sub는 기본값으로 사용자 풀 속성 사용자 이름(Username)에 매핑됩니다. 이 외의 OIDC 클레임
도 사용자 풀 속성으로 매핑할 수 있습니다. OIDC 클레임을 입력하고, 드롭다운 목록에서 해당하는 사용자 풀 속성을 선택합니다. 예를 들어, 클레임 email은 주로 사용자 풀 속성 Email로 매핑됩니다. -
자격 증명 공급자의 추가 속성을 사용자 풀에 매핑합니다. 자세한 내용은 사용자 풀에 대한 자격 증명 공급자 속성 매핑 지정을 참조하세요.
-
생성(Create)을 선택합니다.
-
[앱 클라이언트 통합(App client integration)] 탭의 목록에서 [앱 클라이언트(App clients)] 중 하나를 선택하고 [호스트된 UI 설정 편집(Edit hosted UI settings)]을 수행합니다. [자격 증명 공급자(Identity providers)]에서 앱 클라이언트에 새 OIDC 자격 증명 공급자를 추가합니다.
-
변경 사항 저장(Save changes)을 선택합니다.
OIDC IdP에 대한 자세한 내용은 사용자 풀에서 OIDC ID 제공업체 사용를 참조하세요.
SAML IdP를 사용하여 사용자 로그인 설정
Amazon Cognito 사용자 풀에 페더레이션을 사용하여 SAML IdP(자격 증명 공급자)와 통합할 수 있습니다. 파일을 업로드하거나 메타데이터 문서 엔드포인트 URL을 입력하여 메타데이터 문서를 제공해야 합니다. 타사 SAML IdP의 메타데이터 문서를 얻는 방법에 대한 자세한 내용은 타사 SAML ID 제공업체 구성을 참조하세요.
사용자 풀에 SAML 2.0 자격 증명 공급자를 구성하려면
-
Amazon Cognito 콘솔
로 이동합니다. 메시지가 표시되면 AWS 자격 증명을 입력합니다. -
[사용자 풀(User Pools)]을 선택합니다.
-
목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.
-
[로그인 환경(Sign-in experience)] 탭을 선택합니다. [페더레이션 로그인(Federated sign-in)]을 찾아서 [자격 증명 공급자 추가(Add an identity provider)]를 선택합니다.
-
[SAML] 자격 증명 공급자를 선택합니다.
-
식별자(Identifiers)를 쉼표로 구분하여 입력합니다. 식별자는 Amazon Cognito가 사용자 로그인 이메일 주소를 확인한 다음 해당 도메인에 해당하는 공급자로 사용자를 안내하도록 합니다.
-
사용자가 로그아웃할 때 Amazon Cognito에서 서명된 로그아웃 요청을 공급자에게 보내도록 하려는 경우 로그아웃 흐름 추가(Add sign-out flow)를 선택합니다. 호스팅 UI를 구성할 때 Amazon Cognito에서 생성되는
https://
엔드포인트에 로그아웃 응답을 보내도록 SAML 2.0 자격 증명 공급자를 구성합니다.mydomain.us-east-1.amazoncognito.com
/saml2/logoutsaml2/logout
엔드포인트는 POST 바인딩을 사용합니다.참고
이 옵션을 선택했고 SAML 자격 증명 공급자가 서명된 로그아웃 요청을 필요로 하는 경우 SAML IdP를 사용하여 Amazon Cognito에서 제공한 서명 인증서도 구성해야 합니다.
SAML IdP가 서명된 로그아웃 요청을 처리하고 사용자를 Amazon Cognito 세션에서 로그아웃합니다.
-
메타데이터 문서 소스(Metadata document source)를 선택합니다. 자격 증명 공급자가 퍼블릭 URL에서 SAML 메타데이터를 제공하는 경우 메타데이터 문서 URL(Metadata document URL)을 선택하고 해당 퍼블릭 URL을 입력할 수 있습니다. 그렇지 않은 경우 메타데이터 문서 업로드(Upload metadata document)를 선택한 다음, 이전에 공급자로부터 다운로드한 메타데이터 파일을 선택합니다.
참고
공급자에게 퍼블릭 엔드포인트가 있는 경우 파일을 업로드하지 않고 메타데이터 문서 URL을 입력하는 것이 좋습니다. URL을 사용하는 경우 Amazon Cognito는 메타데이터를 자동으로 새로 고칩니다. 일반적으로 메타데이터 새로 고침은 6시간마다 또는 메타데이터가 만료되기 전 중 더 빠른 시간에 발생합니다.
-
[SAML 공급자와 앱 간에 속성 매핑(Map attributes between your SAML provider and your app)]을 선택하여 SAML 공급자 속성을 사용자 풀의 사용자 프로파일에 매핑합니다. 속성 맵에 사용자 풀 필수 속성을 포함합니다.
예를 들어 [사용자 풀 속성(User pool attribute)]
email
을 선택한 경우 자격 증명 공급자의 SAML 어설션에 표시된 대로 SAML 속성 이름을 입력합니다. 자격 증명 공급자가 참조용으로 샘플 SAML 어설션을 제공할 수도 있습니다.email
과 같은 간단한 이름을 사용하는 자격 증명 공급자도 있고, 다음과 같이 URL 포맷의 속성 이름을 사용하는 자격 증명 공급자도 있습니다.http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
-
생성(Create)을 선택합니다.
참고
HTTPS 메타데이터 엔드포인트 URL을 사용하여 SAML IdP를 생성하는 동안 InvalidParameterException
이 나타나는 경우 메타데이터 엔드포인트에 SSL이 올바르게 설정되어 있고 유효한 SSL 인증서가 연결되어 있는지 확인합니다. 이러한 예외의 한 예로는 "<메타데이터 엔드포인트>에서 메타데이터를 수신하는 동안 오류가 발생했습니다.(Error retrieving metadata from <metadata endpoint>
)"가 있습니다.
서명 인증서를 추가하도록 SAML IdP를 설정하려면
-
IdP가 서명된 로그아웃 요청을 확인하는 데 사용할 퍼블릭 키가 포함된 인증서를 가져오려면 페더레이션 콘솔 페이지의 자격 증명 공급자에서 SAML 대화 상자의 활성 SAML 공급자 아래에 있는 서명 인증서 표시를 선택합니다.
SAML IdP에 관한 자세한 내용은 사용자 풀에서 SAML ID 제공업체 사용 섹션을 참조하세요.