사전 조건 작동 방식 외부 IdP 인증 구성 IdP 구성 업데이트 사용자가 Agent Space 웹 앱에 액세스하는 방법 세션 관리 보안 고려 사항 외부 IdP 연결 해제 문제 해결

외부 ID 제공업체(IdP) 인증 설정

외부 ID 제공업체(IdP) 인증을 사용하면 조직에서 Okta 또는 Microsoft Entra ID와 같은 기존 OIDC 호환 ID 제공업체를 사용하여 AWS DevOps Agent Space 웹 애플리케이션에 대한 사용자 액세스를 관리할 수 있습니다. 사용자는 AWS IAM Identity Center 없이 IdP를 통해 직접 회사 자격 증명으로 로그인합니다.

사전 조건

외부 IdP 인증을 설정하기 전에 다음을 확인해야 합니다.

OIDC 호환 자격 증명 공급자(Okta 또는 Microsoft Entra ID)
ID 제공업체에 대한 관리자 액세스
Access AWS DevOps Agent 콘솔에 대한 관리자 권한
구성되었거나 생성할 준비가 된 에이전트 공간

작동 방식

외부 IdP 인증을 구성하는 경우:

사용자는 에이전트 스페이스 웹 앱 URL로 이동합니다.
ID 제공업체의 로그인 페이지로 리디렉션됩니다.
회사 자격 증명으로 인증한 후 웹 앱으로 다시 리디렉션됩니다.
웹 앱은 에이전트 스페이스로 범위가 지정된 수명이 짧은 AWS 자격 증명으로 인증 토큰을 교환합니다.

세션은 최대 8시간 동안 유효합니다. 자격 증명은 사용자가 다시 인증할 필요 없이 OIDC 새로 고침 토큰을 사용하여 자동으로 새로 고쳐집니다.

외부 IdP 인증 구성

1단계: 자격 증명 공급자에 애플리케이션 등록

자격 증명 공급자를 선택하고 해당 설정 지침을 따릅니다.

옵션 A: Okta

Okta 관리 콘솔에서 애플리케이션 > 애플리케이션으로 이동하여 앱 통합 생성을 선택합니다.
OIDC - OpenID Connect를 로그인 방법으로 선택하고 웹 애플리케이션을 애플리케이션 유형으로 선택합니다. 다음을 선택합니다.
애플리케이션에 대한 설명 이름을 설정합니다(예: AWS DevOps Agent).
권한 부여 유형에서 다음을 확인합니다.
- 권한 부여 코드(기본값)
- 토큰 새로 고침 - 세션 새로 고침에 필요합니다. 활성화하지 않으면 사용자가 세션을 유지할 수 없습니다.

참고

Okta는 기본적으로 새로 고침 토큰 권한 부여 유형을 활성화하지 않습니다. 명시적으로 활성화해야 합니다.

로그인 리디렉션 URIs 기본값으로 그대로 둡니다. 에이전트 스페이스를 구성한 후 업데이트합니다.
할당에서 액세스 권한이 있어야 하는 사용자 또는 그룹을 할당합니다.
저장을 선택합니다.
애플리케이션의 일반 탭에서 다음 값을 기록해 둡니다.
- 클라이언트 ID
- 클라이언트 보안 암호 - 복사를 선택하여이 값을 안전하게 저장
Okta 도메인 기록 - 발급자 URL입니다(예: https://dev-12345678.okta.com).

참고

로그인 탭에서 발급자가 Okta URL(동적 아님)로 설정되어 있는지 확인합니다. 이렇게 하면 안정적인 발급자 URL이 보장됩니다.

참고

권한 부여 서버의 클레임 탭에서 ID 토큰에 그룹 클레임을 추가하지 마십시오. AWS DevOps Agent는 IdP의 그룹 멤버십을 사용하지 않습니다.

옵션 B: Microsoft Entra ID

Azure 포털에서 Microsoft Entra ID > 앱 등록 > 새 등록으로 이동합니다.
설명 이름 설정(예: AWS DevOps Agent)
지원되는 계정 유형에서 조직에 적합한 옵션을 선택합니다(일반적으로 이 조직 디렉터리의 계정만 해당).
지금은 리디렉션 URI를 비워 둡니다. 등록을 선택합니다.
애플리케이션 개요 페이지에서 다음 값을 기록해 둡니다.
- 애플리케이션(클라이언트) ID - 에이전트 공간을 구성할 때 클라이언트 ID로 사용됩니다.
- 디렉터리(테넌트) ID - 발급자 URL을 구성하는 데 사용됩니다.
인증서 및 보안 암호 > 새 클라이언트 보안 암호로 이동합니다.
- 설명 및 만료 기간 설정
- 보안 암호 값 추가 및 즉시 복사를 선택합니다. 다시 표시되지 않습니다.
Entra ID의 발급자 URL은이 형식을 따릅니다. 를 5단계의 디렉터리(테넌트) ID{tenant-id}로 바꿉니다.
- https://login.microsoftonline.com/{tenant-id}/v2.0

참고

토큰 구성 에서 그룹 선택적 클레임을 활성화하지 마십시오. AWS DevOps Agent는 IdP의 그룹 멤버십을 사용하지 않습니다.

2단계: IdP 인증으로 운영자 앱 활성화

AWS DevOps 에이전트 콘솔에서 에이전트 스페이스를 선택합니다.
액세스 탭으로 이동
사용자 액세스에서 외부 자격 증명 공급자를 선택합니다.
구성 양식에서 다음을 구성합니다.
- 자격 증명 공급자 - 자격 증명 공급자(Okta 또는 Microsoft Entra ID)를 선택합니다.
- 발급자 URL - 자격 증명 공급자의 OIDC 발급자 URL
- 클라이언트 ID - 생성한 OIDC 애플리케이션의 클라이언트 ID입니다.
- 클라이언트 보안 암호 - OIDC 애플리케이션의 클라이언트 보안 암호
자격 증명 공급자 애플리케이션 역할 이름에서 다음 세 가지 옵션 중 하나를 선택합니다.
- 새 DevOps 에이전트 역할 자동 생성(권장) - 적절한 권한을 가진 새 서비스 역할을 생성합니다.
- 기존 역할 할당 - 이미 생성한 기존 IAM 역할 사용
- 정책 템플릿을 사용하여 새 DevOps 에이전트 역할 생성 - 제공된 세부 정보를 사용하여 IAM 콘솔에서 자체 역할을 생성합니다.
양식 하단에 표시된 콜백 URL 경고 알림을 검토합니다. 이 URL 복사 - 사용자가 로그인하려면 먼저 자격 증명 공급자의 허용된 리디렉션 URIs에 추가해야 합니다.
연결을 선택합니다.

연결을 선택하면 콘솔에 다음 세부 정보와 함께 외부 자격 증명 공급자 구성이 표시됩니다.

공급자 - 선택한 자격 증명 공급자입니다.
발급자 URL - 구성된 OIDC 발급자 URL
클라이언트 ID - 구성된 클라이언트 ID
IAM 역할 ARN - 사용자 액세스에 사용되는 IAM 역할
콜백 URL - 자격 증명 공급자에서이 URL을 허용된 리디렉션 URI로 구성합니다.
로그인 URL -이 URL을 사용하여 자격 증명 공급자를 통해 웹 앱에 액세스합니다.

3단계: 자격 증명 공급자에 콜백 URL 추가

Okta

Okta 관리 콘솔에서 애플리케이션의 일반 탭으로 이동합니다.
로그인에서 편집을 선택합니다.
콜백 URL을 로그인 리디렉션 URI로 추가합니다.
- https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback
(선택 사항) Okta 대시보드에서 IdP 시작 로그인을 활성화하려면 로그인 URI 시작을 설정합니다.
- https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login
(권장) 로그아웃 후 사용자를 웹 앱으로 다시 리디렉션하는 로그아웃 리디렉션 URI를 추가합니다. 이렇게 하지 않으면 로그아웃 시 사용자에게 오류 페이지가 표시될 수 있습니다.
- https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome
저장을 선택합니다.

Microsoft Entra ID

Azure 포털에서 애플리케이션의 인증 페이지로 이동합니다.
플랫폼 구성에서 플랫폼 추가 > 웹을 선택합니다.
콜백 URL을 리디렉션 URI로 입력합니다.
- https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/callback
(선택 사항) 로그아웃 후 사용자를 웹 앱으로 다시 리디렉션하는 로그아웃 리디렉션 URI를 추가합니다.
- https://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome
구성을 선택합니다.

4단계: 구성 확인

콘솔에 표시된 로그인 URL로 이동합니다.
- https://{agentSpaceId}.aidevops.global.app.aws/authorizer/idp/login
ID 제공업체의 로그인 페이지로 리디렉션되어야 합니다.
회사 자격 증명으로 로그인
인증에 성공하면 에이전트 스페이스 웹 앱으로 다시 리디렉션됩니다.

IdP 구성 업데이트

연결을 해제하지 않고도 클라이언트 보안 암호를 교체할 수 있습니다.

AWS DevOps 에이전트 콘솔에서 에이전트 스페이스를 선택합니다.
액세스 탭으로 이동
외부 자격 증명 공급자 구성에서 클라이언트 보안 암호 교체를 선택합니다.
새 클라이언트 보안 암호 입력
저장을 선택합니다.

다른 IdP 구성 필드(예: 발급자 URL, 클라이언트 ID 또는 자격 증명 공급자)를 변경하려면 기존 IdP의 연결을 해제하고 새 IdP를 구성해야 합니다.

사용자가 Agent Space 웹 앱에 액세스하는 방법

외부 IdP 인증을 구성한 후:

에이전트 스페이스 웹 앱 URL을 승인된 사용자와 공유
사용자가 URL로 이동하면 ID 제공업체의 로그인 페이지로 리디렉션됩니다.
자격 증명을 입력한 후(IdP에서 구성한 경우 MFA 완료) 에이전트 스페이스 웹 앱으로 다시 리디렉션됩니다.
세션 자동 새로 고침 - 자세한 내용은 세션 관리를 참조하세요.

세션 관리

에이전트 스페이스 웹 앱에 대한 외부 IdP 세션의 특성은 다음과 같습니다.

세션 기간 - 브라우저 세션은 최대 8시간 동안 지속됩니다. 이는 in AWS DevOps 에이전트에서 구성할 수 없습니다. IdP의 세션 수명이 8시간을 초과하는 경우 사용자는 자격 증명을 입력하지 않고 다음 방문 시 자동으로 재인증될 수 있습니다. 조직의 보안 요구 사항에 따라 IdP의 세션 및 토큰 수명을 구성합니다.
자격 증명 새로 고침 - 세션은 사용자가 다시 인증할 필요 없이 OIDC 새로 고침 토큰을 사용하여 자동으로 새로 고쳐집니다.
다중 인증 - 자격 증명 공급자에 구성된 경우 지원됩니다. IdP는 로그인 중에 MFA를 처리하므로 AWS DevOps 에이전트에서 추가 구성이 필요하지 않습니다.

로그아웃 동작

사용자가 웹 앱에서 로그아웃을 클릭하는 경우:

모든 세션 쿠키가 즉시 지워집니다.
사용자가 자격 증명 공급자의 OIDC 로그아웃 엔드포인트로 리디렉션되어 SSO 세션을 종료합니다.
로그아웃 리디렉션 URI가 구성된 경우 사용자는 웹 앱 시작 페이지로 다시 리디렉션됩니다.

사용자 액세스 취소

사용자의 액세스를 즉시 취소하려면 자격 증명 공급자의 관리자 포털에서 직접 세션을 취소할 수 있습니다.

Okta - Okta 관리 콘솔에서 디렉터리 > 사람으로 이동하여 사용자를 선택하고 추가 작업 > 사용자 세션 지우기를 선택합니다.
Microsoft Entra ID - Azure 포털에서 사용자로 이동하여 사용자를 선택한 다음 세션 취소를 선택합니다.

보안 고려 사항

클라이언트 보안 암호 스토리지 - 설정 중에 제공하는 클라이언트 보안 암호는 에이전트 스페이스를 생성할 때 제공한 경우 고객 관리형 KMS 키를 사용하여 암호화되고, 그렇지 않으면 서비스 소유 키를 사용하여 암호화됩니다. 초기 구성 후에는 API 응답으로 반환되거나 콘솔에 표시되지 않습니다.

클라이언트 보안 암호 교체 - Entra 클라이언트 보안 암호에는 구성 가능한 만료가 있습니다. AWS DevOps 에이전트 콘솔의 클라이언트 보안 암호 교체 옵션을 사용하여 보안 암호가 만료되기 전에 교체하라는 알림을 설정합니다. 보안 암호가 만료되면 교체될 때까지 사용자가 로그인할 수 없습니다.

토큰 수명 관리 - ID 제공업체가 발급한 토큰(액세스 토큰, 새로 고침 토큰)의 수명은 IdP의 구성에 의해 제어됩니다. IdP에서 적절한 토큰 수명을 구성하는 것이 좋습니다.

Okta - 보안 > API > 권한 부여 서버 > 액세스 정책에서 토큰 수명 구성
Microsoft Entra ID - 토큰 수명 정책을 사용하여 토큰 수명 구성

그룹 클레임 - ID 제공업체의 토큰 구성에서 그룹 클레임을 활성화하지 마십시오. AWS DevOps Agent는 현재 IdP의 그룹 멤버십을 사용하지 않습니다.

사용자 식별자 - AWS DevOps Agent는 공급자별 클레임을 사용하여 사용자를 고유하게 식별합니다.

Okta - ID 토큰의 sub 클레임을 사용합니다.
Microsoft Entra ID - ID 토큰의 oid (객체 식별자) 클레임을 사용합니다.

이러한 식별자는 변경할 수 없으며 감사 목적으로 CloudTrail 로그에 표시됩니다.

외부 IdP 연결 해제

AWS DevOps 에이전트 콘솔에서 에이전트 스페이스를 선택합니다.
액세스 탭으로 이동
사용자 액세스에서 연결 해제를 선택합니다.
확인 대화 상자에 나열된 영향을 검토하고 확인합니다.

연결 해제는 다음을 수행합니다.

에이전트 공간에서 IdP 구성 제거
사용자가 외부 자격 증명 공급자를 통해 로그인하지 못하도록 방지
IdP 사용자 계정과 연결된 개별 채팅 및 아티팩트 기록 제거

활성 사용자 세션은 만료되거나 다음 자격 증명 새로 고침이 실패할 때까지 계속됩니다.

문제 해결

IdP로 리디렉션 실패 - 발급자 URL이 IdP의 OIDC 검색 엔드포인트와 일치하는지 확인합니다. Okta의 경우 로그인 탭에서 발급자가 Okta URL(동적 아님)로 설정되어 있는지 확인합니다. Entra의 경우 형식을 사용합니다https://login.microsoftonline.com/{tenant-id}/v2.0.
액세스 거부 또는 정책 오류(Okta) - 할당에서 사용자 또는 해당 그룹이 애플리케이션에 할당되었는지 확인합니다. 로그인 > 로그인 정책 규칙을 선택합니다.
로그인 후 IdP 구성 오류 - ID 제공업체가 새로 고침 토큰을 반환하지 않았습니다. offline_access 범위 및 새로 고침 토큰 권한 부여 유형이 활성화되어 있는지 확인합니다.
- Okta - 애플리케이션의 일반 탭으로 이동하여 권한 부여 유형에서 토큰 새로 고침 확인란을 활성화합니다.
- Entra - API 권한으로 이동하여 offline_access가 위임된 권한 아래에 나열되어 있는지 확인합니다.
인증에 성공했지만 웹 앱에 오류가 표시됨 - IdP의 리디렉션 URI가 AWS DevOps 에이전트 콘솔에 표시된 콜백 URL과 정확히 일치하는지 확인합니다.
인증 실패 - IdP에서 그룹 선택적 클레임이 활성화된 경우 비활성화합니다. AWS DevOps Agent는 그룹 클레임을 사용하지 않습니다.
IdP 인증 후 로그인 실패 - Entra의 경우 애플리케이션 매니페스트null에서 requestedAccessTokenVersion가 로 설정되지 않았는지 확인합니다. Okta의 경우 발급자 URL이 올바른지 확인합니다.
로그아웃(Okta) 클릭 후 오류 페이지 - 로그아웃 후 post_logout_redirect_uri 오류가 표시되면 Okta 애플리케이션의 일반 탭에 를 로그아웃 리디렉션 URIhttps://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome로 추가합니다.
사용자는 로그아웃 후 ID 제공업체 페이지에 남아 있음(Entra) - 로그아웃 후 사용자를 웹 앱으로 다시 리디렉션하려면 Entra 애플리케이션의 인증 페이지에 를 리디렉션 URIhttps://{agentSpaceId}.aidevops.global.app.aws/authorizer/welcome로 추가합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

IAM Identity Center 인증 설정

AWS DevOps 에이전트의 저장 데이터 암호화