SAML 2.0 자격 증명 공급자 추가 - Amazon Cognito

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

SAML 2.0 자격 증명 공급자 추가

앱 사용자는 SAML 2.0 자격 증명 공급자(IdP )로 로그인할 수 있습니다. 고객이 조직의 내부 고객이거나 연결된 비즈니스인 IdPs 경우 IdPs 소셜보다 SAML 2.0을 선택할 수 있습니다. 소셜 IdP가 모든 사용자가 계정에 등록할 수 있도록 허용하는 경우 SAML IdP는 조직이 제어하는 사용자 디렉터리와 페어링할 가능성이 더 높습니다. 사용자가 직접 또는 타사를 통해 로그인하는지 여부와 무관하게 모든 사용자는 사용자 풀에 프로필을 보유합니다. SAML 자격 증명 공급자를 통해 로그인을 추가하지 않으려면 이 단계를 건너뜁니다.

자세한 내용은 사용자 풀에서 SAML 자격 증명 공급자 사용 단원을 참조하십시오.

SAML 자격 증명 공급자를 업데이트하고 사용자 풀을 구성해야 합니다. 사용자 풀을 SAML 2.0 자격 증명 공급자의 의지 당사자 또는 애플리케이션으로 추가하는 방법에 대한 자세한 내용은 SAML 자격 증명 공급자 설명서를 참조하세요.

또한 자격 SAML 증명 공급자에 어설션 소비자 서비스(ACS) 엔드포인트를 제공해야 합니다. 자격 SAML 증명 공급자의 SAML 2.0 바인POST딩을 위해 사용자 풀 도메인에서 다음 엔드포인트를 구성합니다. 사용자 풀 도메인에 대한 자세한 내용은 섹션을 참조하세요사용자 풀 도메인 구성.

https://Your user pool domain/saml2/idpresponse With an Amazon Cognito domain: https://<yourDomainPrefix>.auth.<region>.amazoncognito.com/saml2/idpresponse With a custom domain: https://Your custom domain/saml2/idpresponse

Amazon Cognito 콘솔 의 도메인 이름 탭에서 도메인 접두사와 사용자 풀의 리전 값을 찾을 수 있습니다.

일부 SAML 자격 증명 공급자의 경우 대상 URI 또는 SP 엔터티 ID라고urn도 하는 서비스 공급자(SP) 도 다음 형식으로 제공해야 합니다.

urn:amazon:cognito:sp:<yourUserPoolID>

사용자 풀 ID는 Amazon Cognito 콘솔일반 설정(General settings) 탭에서 확인할 수 있습니다.

또한 사용자 풀에 필요한 속성에 대한 속성 값을 제공하도록 SAML 자격 증명 공급자를 구성해야 합니다. 일반적으로 email은 사용자 풀에 대해 필요한 속성입니다. 이 경우 SAML 자격 증명 공급자는 SAML어설션에 email 값(청구)을 제공해야 합니다.

Amazon Cognito 사용자 풀은 바인딩 후 엔드포인트와 함께 SAML 2.0 페더레이션을 지원합니다. 이렇게 하면 사용자 풀이 사용자 에이전트를 통해 자격 증명 공급자로부터 직접 응답을 받기 때문에 앱이 어SAML설션 SAML 응답을 검색하거나 구문 분석할 필요가 없습니다.

사용자 풀에서 SAML 2.0 자격 증명 공급자를 구성하려면
  1. Amazon Cognito 콘솔로 이동합니다. 메시지가 표시되면 AWS 자격 증명을 입력합니다.

  2. [사용자 풀(User Pools)]을 선택합니다.

  3. 목록에서 기존 사용자 풀을 선택하거나 사용자 풀을 생성합니다.

  4. [로그인 환경(Sign-in experience)] 탭을 선택합니다. 페더레이션 로그인(Federated sign-in)을 찾아서 자격 증명 공급자 추가(Add an identity provider)를 선택합니다.

  5. SAML 소셜 자격 증명 공급자를 선택합니다.

  6. 식별자(Identifiers)를 쉼표로 구분하여 입력합니다. 식별자는 사용자가 로그인할 때 입력하는 이메일 주소를 확인해야 한다고 Amazon Cognito에 알립니다. 그런 다음 도메인에 해당하는 공급자로 안내합니다.

  7. 사용자가 로그아웃할 때 Amazon Cognito에서 서명된 로그아웃 요청을 공급자에게 보내도록 하려는 경우 로그아웃 흐름 추가(Add sign-out flow)를 선택합니다. 호스팅 SAML UI를 구성할 때 생성된 https://<your Amazon Cognito domain>/saml2/logout 엔드포인트에 로그아웃 응답을 보내도록 2.0 자격 증명 공급자를 구성해야 합니다. saml2/logout 엔드포인트는 POST 바인딩을 사용합니다.

    참고

    이 옵션을 선택하고 SAML 자격 증명 공급자가 서명된 로그아웃 요청을 예상하는 경우 Amazon Cognito에서 SAMLIdP 와 함께 제공하는 서명 인증서도 구성해야 합니다.

    SAML IdP는 서명된 로그아웃 요청을 처리하고 Amazon Cognito 세션에서 사용자를 로그아웃합니다.

  8. 메타데이터 문서 소스(Metadata document source)를 선택합니다. 자격 증명 공급자가 퍼블릭 에서 SAML 메타데이터를 제공하는 경우 메타데이터 문서를 URL 선택하고 해당 퍼블릭 를 입력할 URL수 있습니다URL. 그렇지 않은 경우 메타데이터 문서 업로드(Upload metadata document)를 선택한 다음, 이전에 공급자로부터 다운로드한 메타데이터 파일을 선택합니다.

    참고

    공급자에 파일을 업로드하는 대신 퍼블릭 엔드포인트가 있는 URL 경우 메타데이터 문서를 입력하는 것이 좋습니다. 이렇게 하면 Amazon Cognito가 메타데이터를 자동으로 새로 고칠 수 있습니다. 일반적으로 메타데이터 새로 고침은 6시간마다 또는 메타데이터가 만료되기 전 중 더 빠른 시간에 발생합니다.

  9. SAML 공급자와 앱 간의 속성 매핑을 선택하여 SAML 공급자 속성을 사용자 풀의 사용자 프로필에 매핑합니다. 속성 맵에 사용자 풀 필수 속성을 포함합니다.

    예를 들어 사용자 풀 속성 을 선택할 때 자격 증명 공급자의 어SAML설션에 나타나는 SAML 속성 이름을 email입력합니다. 자격 증명 공급자는 참조를 위해 샘플 어SAML설션을 제공할 수 있습니다. 일부 자격 증명 공급자는 와 같은 간단한 이름을 사용하는 반면email, 다른 공급자는 다음과 같은 URL형식의 속성 이름을 사용합니다.

    http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress
  10. 생성(Create)을 선택합니다.