기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Single Sign-On
AWS Directory Service 사용자가 자격 증명을 별도로 입력할 필요 없이 디렉터리에 연결된 WorkDocs 컴퓨터에서 Amazon에 액세스할 수 있도록 하는 기능을 제공합니다.
Single Sign-On 기능을 활성화하려면 추가 단계를 수행하여 사용자의 웹 브라우저가 Single Sing-On을 지원하도록 해야 합니다. 사용자는 웹 브라우저 설정을 변경하여 Single Sign-On을 활성화해야 할 수도 있습니다.
참고
Single Sign-On은 AWS Directory Service 디렉터리에 조인된 컴퓨터에 사용할 때만 작동합니다. 이 디렉터리에 조인되지 않은 컴퓨터에서는 사용할 수 없습니다.
디렉터리가 AD Connector 디렉터리이고 AD Connector 서비스 계정에 서비스 보안 주체 이름 속성을 추가하거나 제거할 권한이 없는 경우 아래의 5단계와 6단계에 대해 두 가지 옵션이 있습니다.
계속 진행하면 AD Connector 서비스 계정에 서비스 보안 주체 이름 속성을 추가하거나 제거할 권한이 있는 디렉터리 사용자의 사용자 이름과 암호를 묻는 메시지가 표시됩니다. 이러한 자격 증명은 Single Sign-On을 활성화하는 목적으로만 사용되며 서비스에 저장되지 않습니다. AD Connector 서비스 계정 사용 권한은 변경되지 않습니다.
AD Connector 서비스 계정이 자체적으로 서비스 주체 이름 특성을 추가 또는 제거할 수 있도록 권한을 위임할 수 있습니다. AD Connector 서비스 계정에 대한 사용 권한을 수정할 권한이 있는 계정을 사용하여 도메인에 가입된 컴퓨터에서 아래 PowerShell 명령을 실행할 수 있습니다. 아래 명령은 AD Connector 서비스 계정에 서비스 보안 주체 이름 속성을 추가 및 제거할 수 있는 기능을 제공합니다.
$AccountName = 'ConnectorAccountName' # DO NOT modify anything below this comment. # Getting Active Directory information. Import-Module 'ActiveDirectory' $RootDse = Get-ADRootDSE [System.GUID]$ServicePrincipalNameGuid = (Get-ADObject -SearchBase $RootDse.SchemaNamingContext -Filter { lDAPDisplayName -eq 'servicePrincipalName' } -Properties 'schemaIDGUID').schemaIDGUID # Getting AD Connector service account Information. $AccountProperties = Get-ADUser -Identity $AccountName $AclPath = $AccountProperties.DistinguishedName $AccountSid = New-Object -TypeName 'System.Security.Principal.SecurityIdentifier' $AccountProperties.SID.Value # Getting ACL settings for AD Connector service account. $ObjectAcl = Get-ACL -Path "AD:\$AclPath" # Setting ACL allowing the AD Connector service account the ability to add and remove a Service Principal Name (SPN) to itself $AddAccessRule = New-Object -TypeName 'System.DirectoryServices.ActiveDirectoryAccessRule' $AccountSid, 'WriteProperty', 'Allow', $ServicePrincipalNameGUID, 'None' $ObjectAcl.AddAccessRule($AddAccessRule) Set-ACL -AclObject $ObjectAcl -Path "AD:\$AclPath"
Amazon에서 싱글 사인온을 활성화 또는 비활성화하려면 WorkDocs
-
AWS Directory Service 콘솔
탐색 창에서 디렉터리를 선택합니다. -
[Directories] 페이지에서 디렉터리 ID를 선택합니다.
-
디렉터리 세부 정보 페이지에서 애플리케이션 관리 탭을 선택합니다.
애플리케이션 액세스 URL 섹션에서 활성화를 선택하여 Amazon용 싱글 사인온을 활성화합니다. WorkDocs
활성화 버튼이 보이지 않으면 먼저 액세스 URL을 생성해야 이 옵션이 표시됩니다. 액세스 URL을 생성하는 자세한 방법은 액세스 URL 생성하기를 참조하세요.
-
이 디렉터리에 대해 SSO(Single-Sign-On)를 활성화하시겠습니까? 대화 상자에서 활성화를 선택합니다. Single Sign-On이 디렉터리에서 활성화됩니다.
-
나중에 WorkDocs Amazon에서의 SSO (Single Sign-On) 를 비활성화하려면 [Disable] 을 선택한 다음 [이 디렉터리에 대한 Single Sign-On 비활성화] 대화 상자에서 [비활성화] 를 다시 선택합니다.
IE 및 Chrome에서의 Single Sign-On
Microsoft Internet Explorer(IE) 및 Google Chrome 브라우저가 Single Sign-On을 지원하도록 하려면 클라이언트 컴퓨터에서 아래 절차를 수행해야 합니다.
-
액세스 URL(예: https://
<alias>.awsapps.com)을 Single Sign-On이 승인된 사이트 목록에 추가합니다. -
액티브 스크립팅을 활성화합니다 (). JavaScript
-
자동 로그인을 허용합니다.
-
통합 인증을 활성화합니다.
도메인 관리자나 사용자가 이러한 작업을 수동으로 수행하거나, 도메인 관리자가 그룹 정책 설정을 이용해 이러한 설정값을 변경할 수 있습니다.
Windows에서의 Single Sign-On을 위한 수동 업데이트
Windows 컴퓨터에서 Single Sign-On을 수동으로 활성화하려면 해당 컴퓨터에서 다음 단계를 수행합니다. 이러한 설정값 중 일부는 이미 올바르게 설정되어 있을 수 있습니다.
Windows에서 IE 또는 Chrome을 위한 Single Sign-On을 수동으로 활성화하는 방법
-
인터넷 속성 대화 상자를 열려면 시작 메뉴를 선택하고 검색 상자에
Internet Options를 입력한 후 인터넷 옵션을 선택합니다. -
다음 단계를 수행하여 Single Sign-On이 승인된 사이트 목록에 액세스 URL을 추가합니다.
-
인터넷 속성 대화 상자에서 보안 탭을 선택합니다.
-
로컬 인트라넷을 선택하고 사이트를 선택합니다.
-
로컬 인트라넷 대화 상자에서 고급을 선택합니다.
-
웹 사이트 목록에 액세스 URL을 추가하고 닫기를 선택합니다.
-
로컬 인트라넷 대화 상자에서 확인을 선택합니다.
-
-
액티브 스크립팅을 활성화하려면 다음 단계를 수행합니다.
-
인터넷 속성 대화 상자의 보안 탭에서 사용자 지정 수준을 선택합니다.
-
보안 설정 - 로컬 인트라넷 영역 대화 상자에서 스크립팅까지 아래로 스크롤한 다음 액티브 스크립팅에서 활성화를 선택합니다.
-
보안 설정 - 로컬 인트라넷 영역 대화 상자에서 확인을 선택합니다.
-
-
자동 로그인을 활성화하려면 다음 단계를 수행합니다.
-
인터넷 속성 대화 상자의 보안 탭에서 사용자 지정 수준을 선택합니다.
-
보안 설정 - 로컬 인트라넷 영역 대화 상자에서 사용자 인증까지 아래로 스크롤한 다음 로그인에서 인트라넷 영역에서만 자동 로그인을 선택합니다.
-
보안 설정 - 로컬 인트라넷 영역 대화 상자에서 확인을 선택합니다.
-
보안 설정 - 로컬 인트라넷 영역 대화 상자에서 확인을 선택합니다.
-
-
통합 인증을 활성화하려면 다음 단계를 수행합니다.
-
인터넷 속성 대화 상자에서 고급 탭을 선택합니다.
-
보안으로 스크롤하여 통합된 Windows 인증 사용을 선택합니다.
-
인터넷 속성 대화 상자에서 확인을 선택합니다.
-
-
이러한 변경 사항이 적용되도록 브라우저를 닫았다가 다시 엽니다.
OS X에서 Single Sign-On의 수동 업데이트
OS X에서 Chrome을 위해 Single Sign-On을 수동으로 활성화하려면 해당 컴퓨터에서 다음 단계를 수행합니다. 이 단계를 완료하려면 컴퓨터에서 관리자 권한이 필요합니다.
OS X 기반 Chrome에서 Single Sign-On을 수동으로 활성화하는 방법
-
다음 명령을 실행하여 AuthServerAllowlist
정책에 액세스 URL을 추가합니다. defaults write com.google.Chrome AuthServerAllowlist "https://<alias>.awsapps.com" -
시스템 기본 설정을 열고 프로필 패널로 이동하여
Chrome Kerberos Configuration프로필을 삭제합니다. -
Chrome을 다시 시작하고 Chrome에서 chrome://policy을 열어서 새로운 설정이 올바르게 되었는지 확인합니다.
Single Sign-On을 위한 그룹 정책 설정
도메인 관리자는 그룹 정책 설정을 실행하여 도메인에 조인된 클라이언트 컴퓨터에서 Single Sign-On을 변경할 수 있습니다.
참고
Chrome 정책을 사용하여 도메인의 컴퓨터에서 Chrome 웹 브라우저를 관리하는 경우 AuthServerAllowlist
그룹 정책 설정을 사용하여 IE 또는 Chrome을 위한 Single Sign-On 활성화하는 방법
-
다음 단계를 수행하여 그룹 정책 객체를 새로 생성합니다.
-
그룹 정책 관리 도구를 열고 도메인을 탐색한 후 그룹 정책 객체를 선택합니다.
-
메인 메뉴에서 작업을 선택한 후 새로 만들기를 선택합니다.
-
새 GPO 대화 상자에서 그룹 정책 객체를 설명하는 이름(예:
IAM Identity Center Policy)을 입력하고 원본 스타터 GPO 설정은 (없음)으로 유지합니다. 확인을 클릭합니다.
-
-
다음 단계를 수행하여 Single Sign-On이 승인된 사이트 목록에 액세스 URL을 추가합니다.
-
그룹 정책 관리 도구에서 도메인을 탐색한 후 그룹 정책 객체를 선택하고 IAM Identity Center 정책의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열어 편집을 선택합니다.
-
정책 트리에서 사용자 구성 > 기본 설정 > Windows 설정으로 이동합니다.
-
Windows 설정 목록에서 레지스트리의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 새 레지스트리 항목을 선택합니다.
-
새 레지스트리 속성 대화 상자에서 다음 설정을 입력하고 확인을 선택합니다.
- 작업
-
Update - Hive
-
HKEY_CURRENT_USER - 경로
-
Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\<alias><alias>의 값은 액세스 URL에서 파생됩니다. 액세스 URL이https://examplecorp.awsapps.com이면 별칭이examplecorp이고 레지스트리 키가Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\awsapps.com\examplecorp가 됩니다. - 값 이름
-
https - 값 유형
-
REG_DWORD - 값 데이터
-
1
-
-
액티브 스크립팅을 활성화하려면 다음 단계를 수행합니다.
-
그룹 정책 관리 도구에서 도메인을 탐색한 후 그룹 정책 객체를 선택하고 IAM Identity Center 정책의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열어 편집을 선택합니다.
-
정책 트리에서 컴퓨터 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > Internet Explorer > 인터넷 제어판 > 보안 페이지 > 인트라넷 영역으로 이동합니다.
-
인트라넷 영역 목록에서 액티브 스크립팅 허용의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 편집을 선택합니다.
-
액티브 스크립팅 허용 대화 상자에서 다음 설정을 입력하고 확인을 선택합니다.
-
사용 라디오 버튼을 선택합니다.
-
옵션에서 액티브 스크립팅 허용을 사용으로 설정합니다.
-
-
-
자동 로그인을 활성화하려면 다음 단계를 수행합니다.
-
그룹 정책 관리 도구를 열고 도메인을 탐색한 다음, 그룹 정책 객체를 선택하고 SSO 정책의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 편집을 선택합니다.
-
정책 트리에서 컴퓨터 구성 > 정책 > 관리 템플릿 > Windows 구성 요소 > Internet Explorer > 인터넷 제어판 > 보안 페이지 > 인트라넷 영역으로 이동합니다.
-
인트라넷 영역 목록에서 로그온 옵션의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 편집을 선택합니다.
-
로그온 옵션 대화 상자에서 다음 설정을 입력하고 확인을 선택합니다.
-
사용 라디오 버튼을 선택합니다.
-
옵션에서 로그온 옵션을 인트라넷 영역에서만 자동으로 로그온으로 설정합니다.
-
-
-
통합 인증을 활성화하려면 다음 단계를 수행합니다.
-
그룹 정책 관리 도구에서 도메인을 탐색한 후 그룹 정책 객체를 선택하고 IAM Identity Center 정책의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열어 편집을 선택합니다.
-
정책 트리에서 사용자 구성 > 기본 설정 > Windows 설정으로 이동합니다.
-
Windows 설정 목록에서 레지스트리의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 새 레지스트리 항목을 선택합니다.
-
새 레지스트리 속성 대화 상자에서 다음 설정을 입력하고 확인을 선택합니다.
- 작업
-
Update - Hive
-
HKEY_CURRENT_USER - 경로
-
Software\Microsoft\Windows\CurrentVersion\Internet Settings - 값 이름
-
EnableNegotiate - 값 유형
-
REG_DWORD - 값 데이터
-
1
-
-
그룹 정책 관리 편집기 창이 아직 열려 있으면 닫습니다.
-
이 단계에 따라 도메인에 새 정책을 할당합니다.
-
그룹 정책 관리 트리에서 도메인의 컨텍스트 메뉴(마우스 오른쪽 버튼 클릭)를 열고 기존 GPO 연결을 선택합니다.
-
그룹 정책 객체 목록에서 IAM Identity Center 정책을 선택하고 확인을 선택합니다.
-
다음에 클라이언트에서 그룹 정책이 업데이트되고 나서, 또는 다음에 사용자가 로그인을 할 때 이러한 변경 사항이 적용됩니다.
Firefox에서의 Single Sign-On
Mozilla Firefox 브라우저가 Single Sign-On을 지원하도록 하려면 액세스 URL(예: https://<alias>.awsapps.com)을 Single Sign-On이 승인된 사이트 목록에 추가합니다. 수동 추가나 스크립트를 통한 자동 추가가 가능합니다.
Single Sign-On의 수동 업데이트
Firefox에서 승인된 사이트 목록에 액세스 URL을 수동으로 추가하려면 클라이언트 컴퓨터에서 다음 단계를 수행합니다.
Firefox에서 승인된 사이트 목록에 액세스 URL을 수동으로 추가하는 방법
-
Firefox를 열고
about:config페이지를 엽니다. -
network.negotiate-auth.trusted-uris기본 설정을 열고 사이트 목록에 액세스 URL을 추가합니다. 쉼표(,)를 사용해 여러 항목을 구분합니다.
Single Sign-On의 자동 업데이트
도메인 관리자는 스크립트를 사용해 네트워크 상의 모든 컴퓨터에서 Firefox network.negotiate-auth.trusted-uris 사용자 기본 설정에 액세스 URL을 추가할 수 있습니다. 자세한 내용은 https://support.mozilla.org/en-US/questions/939037
