IAM Identity Center에서 인증 - AWS IAM Identity Center

IAM Identity Center에서 인증

사용자가 사용자 이름을 사용하여 AWS 액세스 포털에 로그인합니다. 로그인하면 IAM Identity Center는 사용자 이메일 주소와 연결된 디렉터리를 기반으로 요청을 IAM Identity Center 인증 서비스로 리디렉션합니다. 인증을 받으면 사용자는 추가 로그인 메시지 없이 포털에 표시되는 모든 AWS 계정과 타사 서비스형 소프트웨어(SaaS) 애플리케이션에 Single Sign-on 액세스할 수 있습니다. 즉, 사용자는 매일 사용하는 다양한 할당 AWS 애플리케이션에 대해 여러 계정의 보안 인증을 더 이상 추적할 필요가 없습니다.

인증 세션

IAM Identity Center에서 관리하는 인증 세션에는 두 가지 유형이 있습니다. 하나는 IAM Identity Center에 대한 사용자의 로그인을 나타내는 것이고 다른 하나는 Amazon SageMaker Studio 또는 Amazon Managed Grafana와 같은 AWS 관리형 애플리케이션에 대한 사용자의 액세스를 나타내는 것입니다. 사용자가 IAM Identity Center에 로그인할 때마다 IAM Identity Center에 구성된 기간(최대 90일) 동안 로그인 세션이 생성됩니다. 자세한 내용은 AWS 액세스 포털 및 IAM Identity Center 통합 애플리케이션의 세션 지속 시간 구성 단원을 참조하십시오. 사용자가 애플리케이션에 액세스할 때마다 IAM Identity Center 로그인 세션을 사용하여 해당 애플리케이션에 대한 IAM Identity Center 애플리케이션 세션을 확보합니다. IAM Identity Center 애플리케이션 세션의 수명은 1시간으로 갱신할 수 있습니다. 즉, IAM Identity Center 애플리케이션 세션은 생성된 IAM Identity Center 로그인 세션이 여전히 유효하다면 1시간마다 자동으로 새로 고침됩니다. 사용자가 AWS 액세스 포털을 사용하여 로그아웃하면 사용자의 로그인 세션이 종료됩니다. 다음에 애플리케이션이 세션을 새로 고칠 때 애플리케이션 세션이 종료됩니다.

사용자가 IAM Identity Center를 사용하여 AWS Management Console 또는 CLI에 액세스하는 경우, IAM Identity Center 로그인 세션을 사용하여 해당 IAM Identity Center 권한 세트에 지정된 대로 IAM 세션을 얻습니다. 보다 구체적으로 말하자면, IAM Identity Center는 대상 계정에서 IAM Identity Center가 관리하는 IAM 역할을 맡습니다. IAM 세션은 권한 세트에 지정된 시간 동안 조건 없이 유지됩니다.

참고

IAM Identity Center는 ID 소스 역할을 하는 ID 제공업체가 시작한 SAML Single Logout을 지원하지 않으며, IAM Identity Center를 ID 제공업체로 사용하는 SAML 애플리케이션에 SAML Single Logout을 전송하지 않습니다.

IAM Identity Center에서 사용자를 비활성화하거나 삭제하면, 해당 사용자는 즉시 로그인하여 새로운 IAM Identity Center 로그인 세션을 생성할 수 없게 됩니다. IAM Identity Center 로그인 세션은 1시간 동안 저장됩니다. 즉, 활성화된 IAM Identity Center 로그인 세션이 있는 동안 사용자를 비활성화하거나 삭제하면 로그인 세션이 마지막으로 갱신된 시기에 따라 기존 IAM Identity Center 로그인 세션이 최대 1시간 동안 유지됩니다. 이 기간 동안 사용자는 새 IAM Identity Center 애플리케이션 및 IAM 역할 세션을 시작할 수 있습니다.

IAM Identity Center 로그인 세션이 만료된 후에는 사용자가 더 이상 새 IAM Identity Center 애플리케이션 또는 IAM 역할 세션을 시작할 수 없습니다. 하지만 IAM Identity Center 애플리케이션 세션을 최대 1시간 동안 저장할 수도 있으므로 사용자는 IAM Identity Center 로그인 세션이 만료된 후 최대 1시간 동안 애플리케이션에 대한 액세스 권한을 유지할 수 있습니다. 기존의 모든 IAM 역할 세션은 IAM Identity Center 권한 세트에 구성된 기간(관리자 구성 가능, 최대 12시간)에 따라 지속됩니다.

아래 표에는 이러한 행동이 요약되어 있습니다.

사용자 경험/시스템 행동 사용자 비활성화/삭제 후 남은 시간
사용자는 더 이상 IAM Identity Center에 로그인할 수 없으며 새 IAM Identity Center 로그인 세션을 가져올 수 없습니다. 없음(즉시 적용)
사용자는 더 이상 IAM Identity Center를 통해 새 애플리케이션 또는 IAM 역할 세션을 시작할 수 없습니다. 최대 1시간
사용자는 더 이상 애플리케이션에 액세스할 수 없습니다(모든 애플리케이션 세션이 종료됨). 최대 2시간 (IAM Identity Center 로그인 세션 만료의 경우 최대 1시간, IAM Identity Center 애플리케이션 세션 만료의 경우 최대 1시간)
사용자는 IAM Identity Center를 통해 더 이상 어떤 AWS 계정에도 액세스할 수 없습니다. 최대 13시간 (IAM Identity Center 로그인 세션 만료의 경우 최대 1시간, 권한 세트의 IAM Identity Center 세션 기간 설정에 따라 관리자가 구성한 IAM 역할 세션 만료의 경우 최대 12시간)

세션에 대한 자세한 내용은 AWS 계정 세션 기간 설정 단원을 참조하세요.